Rok 2026 přinesl zásadní změnu pro oběti phishingu v celé Evropské unii. Stanovisko Soudního dvora EU ve věci C-70/25 (Tukowiecka) zavádí pravidlo, které výrazně posiluje práva obětí neoprávněných transakcí vůči bankám. Co to znamená v praxi?
Co je phishing a proč roste
Phishing je forma podvodu, při které se pachatel vydává za důvěryhodnou instituci — banku, poštu, e-shop nebo úřad — a láká oběť k zadání přihlašovacích údajů nebo údajů platební karty na falešné stránce.
Typy phishingu v roce 2026:
- E-mailový phishing — falešné e-maily od „banky” s odkazem na podvodnou stránku
- Smishing (SMS phishing) — podvodné SMS s odkazem, typicky „Vaše zásilka čeká” nebo „Ověřte transakci”
- Vishing (voice phishing) — telefonáty od falešných „bankéřů”, kteří požadují přihlašovací údaje
- Voice cloning — nová forma využívající AI ke klonování hlasu skutečných zaměstnanců banky
- Fake webové stránky — dokonalé kopie internetového bankovnictví s URL, které se liší jedním znakem
Podle dat České bankovní asociace se počet phishingových útoků v ČR meziročně zdvojnásobil. V prvním čtvrtletí 2026 bylo nahlášeno přes 3 000 případů.
Stará pravidla vs nová — co změnil SDEU
Před rozhodnutím C-70/25:
Banky běžně odmítaly vrátit peníze obětem phishingu s argumentem, že klient „nedbal na bezpečnost” a „sám zadal údaje na podvodné stránce”. Důkazní břemeno bylo fakticky na klientovi, který musel prokazovat, že jednal s náležitou péčí.
Po rozhodnutí C-70/25 (Tukowiecka):
Soudní dvůr EU stanovil jasná pravidla:
- Pravidlo D+1: Banka musí vrátit peníze oběti nejpozději do konce prvního pracovního dne po nahlášení neoprávněné transakce
- Přesun důkazního břemene: Banka nese důkazní břemeno — musí prokázat, že klient jednal s hrubou nedbalostí
- Hrubá nedbalost ≠ běžná neopatrnost: Pouhé kliknutí na phishingový odkaz nebo zadání údajů na falešné stránce samo o sobě neprokazuje hrubou nedbalost
Jak postupovat — algoritmus D-day
Pokud zjistíte, že jste se stali obětí phishingu, postupujte podle tohoto algoritmu:
Den 0 (okamžitě po zjištění):
- Zavolejte bance — na infolinku (24/7) nahlaste neoprávněnou transakci
- Požádejte o blokaci — zablokujte internetové bankovnictví a kartu
- Vyžádejte potvrzení — banka Vám musí vydat písemné potvrzení o nahlášení
- Změňte hesla — ke všem účtům, kde jste použili stejné nebo podobné heslo
Den 1 (první pracovní den):
- Zkontrolujte vrácení — banka má povinnost vrátit peníze do konce tohoto dne
- Pokud nevrátila — podejte písemnou reklamaci s odkazem na C-70/25
Do 3 dnů:
- Podejte trestní oznámení — na Policii ČR nebo státním zastupitelství
- Zajistěte důkazy — screenshoty falešné stránky, e-maily, SMS
- Konzultujte advokáta — zejména pokud banka odmítla vrátit peníze
Co dělá banka, co dělá oběť, co dělá advokát
| Kdo | Co dělá | Kdy |
|---|---|---|
| Oběť | Nahlásí neoprávněnou transakci bance | Ihned |
| Banka | Prověří a vrátí peníze (D+1) | Do 1 prac. dne |
| Oběť | Podá trestní oznámení | Do 3 dnů |
| Advokát | Sepíše trestní oznámení, komunikuje s bankou | Průběžně |
| Banka | Může zpětně vymáhat při prokázání hrubé nedbalosti | Do 13 měsíců |
Kdy banka odmítne vrátit peníze
Banka může odmítnout vrácení, pokud prokáže hrubou nedbalost klienta. Co to znamená:
Je hrubou nedbalostí:
- Vědomé sdělení přihlašovacích údajů třetí osobě
- Opakované ignorování bezpečnostních varování banky
- Používání zařízení, o kterém klient ví, že je napadeno malwarem
Není hrubou nedbalostí:
- Kliknutí na phishingový odkaz v přesvědčivém e-mailu
- Zadání údajů na dokonalé kopii bankovního webu
- Reakce na falešnou SMS, která vypadala jako od banky
- Reakce na telefonát od osoby vydávající se za bankéře
Když banka odmítne — soudní cesta
Pokud banka odmítne vrátit peníze, máte tyto možnosti:
- Finanční arbitr ČR — mimosoudní řešení sporů s bankami, řízení je bezplatné
- Civilní žaloba — na bezdůvodné obohacení nebo porušení smlouvy
- Trestní oznámení na neznámého pachatele — a následné adhezní řízení
Doporučujeme konzultaci s advokátem, který posoudí Vaši konkrétní situaci. V naší kanceláři se specializujeme na pomoc obětem online podvodů a první konzultace je vždy zdarma.
Závěr
Pravidlo D+1 zavedené stanoviskem SDEU C-70/25 zásadně mění rovnováhu mezi bankou a klientem ve prospěch obětí phishingu. Pokud jste se stali obětí phishingu, neváhejte jednat — čas hraje ve Váš prospěch, pokud jednáte rychle.
Potřebujete pomoc? Kontaktujte nás — specializujeme se na zastupování obětí online podvodů a spolupráci s bankami.
