Phishing je dnes jednou z nejrozšířenějších forem online podvodu. Útočníci posílají falešné odkazy, které napodobují stránky bank nebo platebních portálů, oběť zadá své přihlašovací údaje a během chvíle o peníze přijde. Co se ale děje potom, když oběť zavolá do banky a požádá o vrácení peněz? Až dosud banky v celé EU mohly argumentovat, že si klient za škodu může sám, a vrácení odmítnout. Čerstvé stanovisko generálního advokáta Soudního dvora EU (SDEU) tento přístup zpochybňuje a pravděpodobně ukončí.
Mohlo by vás zajímat
Co se stalo a proč na tom záleží
Případ, který celou věc spustil, pochází z Polska. Zákaznice polské banky PKO BP prodávala zboží přes internetové tržiště. Kontaktoval ji falešný kupec, který jí poslal odkaz - údajně pro potvrzení platby. Stránka vypadala jako přihlášení k bankovnictví, ale byla falešná. Zákaznice zadala své přihlašovací údaje, útočník je okamžitě použil k provedení neoprávněné platby.
Oběť incident nahlásila bance i policii. Pachatelé nebyli dopadeni. Banka vrácení peněz odmítla s odůvodněním, že zákaznice jednala neopatrně: klikla na podezřelý odkaz a zadala své přihlašovací údaje na podvržené stránce. Zákaznice podala žalobu. Soud v Koszalinu si nebyl jistý výkladem evropského práva a obrátil se na SDEU s předběžnou otázkou.
Výsledkem je stanovisko generálního advokáta Athanasia Ranta ze dne 5. března 2026, označované zkráceně jako věc C-70/25, Tukowiecka.
Mohlo by vás zajímat
Dávejte pozor na své peníze: kyberzločinci se zaměřují na klienty bank a líčí zákeřnou past
Bezpečnost
Co stanovisko říká
Hlavní myšlenka je jednoduchá, i když má dalekosáhlé dopady. Podle evropské směrnice o platebních službách PSD2 (konkrétně článku 73) platí tzv. pravidlo D+1: banka je povinna vrátit částku neoprávněné transakce nejpozději do konce prvního pracovního dne po nahlášení podvodu. Okamžitě, bez čekání na výsledek šetření.
Generální advokát Rantos ve svém stanovisku upřesňuje, že tato povinnost platí i tehdy, pokud má banka dojem, že klient jednal neopatrně. Podezření z nedbalosti na straně klienta není důvodem k odmítnutí okamžitého vrácení peněz.
Existuje pouze jedna výjimka: banka může vrácení odložit, pokud má konkrétní a podložené důvody k podezření, že podvod páchá sám klient - tedy že nahlašuje fiktivní krádež. I v takovém případě musí toto podezření písemně nahlásit příslušnému vnitrostátnímu orgánu. Bez tohoto kroku výjimka neplatí.
Mohlo by vás zajímat
Případ nekončí vrácením peněz
Vrácení peněz není automaticky konec celého příběhu. Pokud banka později prokáže, že klient skutečně jednal úmyslně nebo se dopustil hrubé nedbalosti, tedy závažného a zjevného porušení bezpečnostních povinností, může po něm peníze zpětně vymáhat soudní cestou. Důkazní břemeno ale leží na bance. Ta musí nejdřív zaplatit a teprve pak si soudní cestou dokazovat, co se skutečně stalo.
Toto pořadí kroků je zásadní. Dosud platil v praxi opačný postup: banka mohla rovnou odmítnout vrácení a klient musel složitě prokazovat, že nic nezanedbal. Byl tak bez peněz, pod tlakem a mnohdy bez právního zastoupení.
Mohlo by vás zajímat
Proč je to důležité pro bezpečnost
Z technického pohledu jde v případech jako tento o tzv. credential phishing. Útočník vytvoří kopii přihlašovací stránky banky, zmanipuluje oběť k zadání přihlašovacích údajů a tyto údaje pak použije k provedení neoprávněné transakce. Pro bankovní systém přitom může transakce vypadat jako legitimní, protože proběhlo správné přihlášení, byl zadán správný kód. Technická správnost autentizace ale neznamená, že klient platbu vědomě autorizoval v právním slova smyslu. Tento rozdíl je podstatou celého sporu.
Stanovisko SDEU v tomto ohledu správně odděluje technickou stránku věci od právní. Samotný fakt, že útočník použil platné přihlašovací údaje, nestačí k tomu, aby banka odmítla vrácení peněz.
Pro bezpečnostní týmy bank z toho plyne praktický závěr: investice do detekce anomálií, analýzy chování uživatelů a monitoringu podezřelých operací se vyplatí víc než dřív. Pokud banka nenasadí dostatečné nástroje pro včasné odhalení phishingových kampaní a podezřelých transakcí, ponese finanční riziko primárně ona a nikoliv klient.
Formálně stanovisko, fakticky zlom
Stanovisko generálního advokáta není rozsudek. Je to odborné právní doporučení pro soudce SDEU, kteří rozhodnou v závěrečném řízení. Statisticky soud tato doporučení následuje ve více než 80 % případů, takže jejich váha je v praxi značná. Finální rozsudek bude závazný pro soudy ve všech státech EU, včetně České republiky.
Co to znamená pro české banky a jejich klienty
Česká republika jako člen EU je vázána směrnicí PSD2, implementovanou do českého práva zákonem o platebním styku. Pokud SDEU potvrdí závěry Rantosova stanoviska a nic nenasvědčuje tomu, že by tak neučinil, bude muset každá česká banka přizpůsobit své postupy při vyřizování reklamací neoprávněných transakcí.
V praxi to znamená: klient, který nahlásí neoprávněnou platbu, dostane peníze zpět do jednoho pracovního dne. Banka již nebude oprávněna reklamaci paušálně zamítnout s odkazem na neopatrnost klienta. Pokud bude chtít po klientovi peníze zpět, musí si na to sáhnout do vlastní kapsy, zahájit šetření a případně podat žalobu.
Pro klienty, kteří přišli o peníze kvůli phishingu, to znamená konec situací, kdy měsíce čekali na výsledek reklamace bez přístupu k vlastním penězům.
Mohlo by vás zajímat
Jak se chránit i přes změnu pravidel
Nová interpretace PSD2 neznamená, že klienti bank mohou přestat dbát na bezpečnost. Pokud banka prokáže hrubou nedbalost, může vymáhat peníze zpět. A i bez toho je psychická zátěž spojená s phishingem a následnou reklamací zbytečná.
Základní pravidla zůstávají stejná: přihlašovací stránku banky vždy otevírejte přímo. Zadejte adresu ručně do prohlížeče nebo použijte záložku, nikdy neklikejte na odkaz v e-mailu nebo zprávě od neznámé osoby. Pokud jste obdrželi odkaz od „kupce" nebo „prodejce", zacházejte s ním vždy s maximální opatrností. Pokud stránka po vás chce přihlašovací údaje, zkontrolujte adresní řádek.¨
Zdroj: Curia, Curia, Bleeping computer, security bez tabu, Cybernews
video
