Jak poznat podvodný e-shop a bezpečně nakupovat online

Počet podvodů s falešnými e-shopy v Česku vzrostl v prvním čtvrtletí roku 2024 meziročně o 1 190 %. Není to překlep — podle bezpečnostní firmy Gen Digital je Česká republika třetí nejohroženější zemí na světě, hůře jsou na tom jen Slovensko a Vietnam. Za rok 2024 policie evidovala 18 495 případů kyberkriminality se škodami přes 313 milionů korun. Přitom objasněnost dosáhla pouhých 15,4 %. Prevence je jednoduše nejlepší obrana — a začíná tím, že podvod vůbec poznáte.

Proč Česko patří mezi nejohroženější země

Česko je třetí nejohroženější zemí na světě v oblasti internetových podvodů. V roce 2024 tvořila kyberkriminalita 10,7 % veškeré registrované kriminality — celkem 18 495 případů se škodami 313 milionů korun. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zaznamenal rekordních 268 kybernetických incidentů.

Čísla sama o sobě jsou alarmující, ale ještě víc zarazí jejich dynamika. Škody z kyberkriminality vzrostly o 32,2 % oproti roku 2023 — přestože počet případů mírně klesl (z 1 981 na 1 962 v kategorii podvodů). Jinými slovy: podvodníci útočí méně často, ale každý útok je dražší.

Podle analýzy firmy ESET za čtvrté čtvrtletí roku 2025 byli cílem útočníků především přihlašovací údaje, a k distribuci podvodných zpráv nejčastěji využívali email. Phishing a deepfake vishing tvořily v roce 2025 celých 93 % kybernetických incidentů evidovaných NÚKIB. Gen Digital navíc upozorňuje, že umělá inteligence umožňuje i méně technicky zdatným útočníkům provádět masivní podvodné kampaně — kvalita falešných webů a emailů se tak dramaticky zvyšuje.

Jak poznat podvodný e-shop

Podvodný e-shop poznáte podle chybějících identifikačních údajů (IČO, kontaktní adresa), neúplných obchodních podmínek, podezřele nízkých cen a omezených platebních metod. Každý legální e-shop v Česku musí podle zákona č. 634/1992 Sb. o ochraně spotřebitele zveřejnit IČO, kontaktní údaje, obchodní podmínky a informace o vrácení zboží.

Zákon je přímočarý: pokud e-shop neuvádí IČO, sídlo firmy a kontakt na reklamace, porušuje zákon a s vysokou pravděpodobností jde o podvod. Ale podvodníci jsou čím dál chytřejší — některé falešné e-shopy vypadají na první pohled důvěryhodně. Proto se vyplatí kontrolovat víc věcí najednou.

Varovné signály podvodného e-shopu:

• Chybí IČO nebo je neověřitelné — zadejte IČO do Administrativního registru ekonomických subjektů ARES (ares.gov.cz) a ověřte, zda firma existuje
• Nereálné slevy — iPhone za třetinu běžné ceny? Podvodníci spoléhají na to, že chamtivost přebije opatrnost
• Pouze platba předem na účet — legitimní e-shopy nabízejí platbu kartou, dobírku nebo platební bránu
• Podezřelý doménový název — domény s .cz.co, .cz.lo nebo domény napodobující známé značky (alza-shop.com místo alza.cz)
• Chybí obchodní podmínky nebo informace o vrácení zboží — zákonná povinnost, kterou legitimní obchod nemá důvod skrývat
• Žádné recenze nebo jen samé pětihvězdičkové — ověřte e-shop na Heureka.cz nebo Zboží.cz

Česká obchodní inspekce (ČOI) vede veřejný seznam rizikových e-shopů s více než 300 záznamy. Než nakoupíte v neznámém obchodě, stojí za to tento seznam zkontrolovat. Asociace pro elektronickou komerci (APEK) ale kritizuje, že seznam je jen doporučením — ČOI nemá pravomoc podvodné weby přímo blokovat. A platformy jako Facebook odstraňují reklamy na prokazatelně falešné e-shopy příliš pomalu.

Jak poznat podvodný email a podvodný odkaz

Podvodný email (phishing) typicky obsahuje urgentní výzvu k akci, podezřelou adresu odesílatele a odkaz vedoucí na falešnou stránku. V roce 2025 tvořil phishing 93 % kybernetických incidentů v Česku. Podvodný odkaz poznáte tak, že na něj najedete myší bez kliknutí — zobrazí se skutečná cílová adresa.

Phishingové emaily se výrazně zlepšily. Zatímco před pěti lety jste falešný email poznali podle lámané češtiny a podezřelého formátování, dnešní podvodné zprávy jsou díky jazykovým modelům gramaticky bezchybné a vizuálně k nerozeznání od originálu.

Na co si dát pozor:

• Adresa odesílatele — nekontrolujte jen zobrazené jméno, ale celou emailovou adresu. „Česká spořitelna" z adresy info@ceska-sporitelna.xyz není Česká spořitelna
• Urgentní tón — „Váš účet bude do 24 hodin zablokován" je klasická taktika nátlaku. Banka takto nekomunikuje
• Odkaz v emailu — na počítači najeďte myší na odkaz a přečtěte si skutečnou URL adresu. Na mobilu odkaz podržte prstem. Pokud adresa neodpovídá doméně odesílatele, neklikejte
• Přílohy od neznámých odesílatelů — zejména soubory .exe, .zip nebo .docm mohou obsahovat malware

Podvodnou stránku poznáte podobně jako podvodný e-shop: chybí HTTPS (ikona zámku), doménové jméno se liší od originálu o písmeno nebo obsahuje přebytečnou pomlčku, a stránka požaduje přihlašovací údaje bez zjevného důvodu.

Jak poznat podvodnou SMS a podvodný hovor

Podvodné SMS (smishing) lze nahlásit na číslo 7726, které provozují čeští mobilní operátoři. Při podvodném hovoru (vishing) se na displeji může zobrazit skutečné číslo vaší banky díky technice zvané spoofing — banka ale nikdy po telefonu nežádá hesla, PINy ani kódy z SMS.

Smishing funguje stejně jako phishing, jen místo emailu přijde SMS. Typický scénář: zpráva tvářící se jako oznámení od České pošty o nedoručené zásilce s odkazem na „sledování balíčku". Odkaz vede na falešnou stránku, která požaduje platební údaje za „doplatek poštovného" v řádu desítek korun.

Vishing — podvodný telefonát — je zákeřnější. Podvodníci používají spoofing telefonních čísel: na vašem displeji se zobrazí skutečné číslo vaší banky, i když volá podvodník z druhého konce světa. Volající se představí jako pracovník banky a tvrdí, že na vašem účtu probíhá podezřelá transakce. Pod záminkou „zabezpečení účtu" pak žádá přihlašovací údaje nebo kódy z SMS.

Zlaté pravidlo: Banka nikdy nežádá hesla, PINy ani ověřovací kódy po telefonu. Pokud máte pochybnost, zavěste a zavolejte na číslo vytištěné na zadní straně vaší platební karty. Podvodnou SMS přepošlete na číslo 7726 — písmena na klávesnici odpovídají slovu SPAM.

Jak poznat podvodný inzerát na bazaru

Na bazarových portálech jako Bazoš nebo Sbazar podvodníci posílají falešné platební brány přes WhatsApp nebo Viber. Vydávají se za kupce a žádají prodejce o zadání údajů z platební karty pro „přijetí platby" — ve skutečnosti z karty strhávají peníze.

Tento typ podvodu cílí paradoxně na prodejce, ne na kupce. Scénář vypadá takto: na váš inzerát se ozve „kupující", který chce zaplatit ihned. Pošle vám odkaz přes WhatsApp nebo Viber na stránku, která vypadá jako platební brána — a požaduje, abyste zadali údaje z karty pro „přijetí platby". Žádná legitimní platební brána takto nefunguje.

Varovné signály:

• Komunikace mimo platformu (přesun na WhatsApp, Viber nebo Telegram)
• Příliš ochotný kupující, který neřeší cenu ani stav zboží
• Odkaz na „platební bránu" od kupujícího místo standardního bankovního převodu
• Tlak na rychlé jednání — „musím zaplatit dnes, zítra odjíždím"

Co dělat, když naletíte podvodníkům

Podvod prostřednictvím e-shopu je trestný čin podle § 209 trestního zákoníku (zákon č. 40/2009 Sb.). Oběť může podat trestní oznámení na kterékoli služebně Policie ČR a stížnost na Českou obchodní inspekci. Pokud jste platili kartou, požádejte banku o vrácení platby (chargeback).

Rychlost reakce je zásadní. Čím dříve kontaktujete banku, tím vyšší je šance na vrácení peněz. Postup v prvních minutách:

1. Zablokujte platební kartu přes mobilní aplikaci banky nebo na telefonní lince.
2. Požádejte banku o chargeback — vrácení karetní platby. Banky mají na reklamaci lhůtu, ale čím dříve, tím lépe.
3. Změňte hesla ke všem účtům, kde jste použili stejné přihlašovací údaje.
4. Podejte trestní oznámení na Policii ČR — lhůta pro podání není časově omezena.
5. Podejte stížnost na Českou obchodní inspekci prostřednictvím jejího online formuláře.

Důležitá změna se chystá: novela zákona, jejíž účinnost je plánována od 19. června 2026, má umožnit odstoupení od smlouvy uzavřené online jedním kliknutím — stejně snadno, jako ji bylo možné uzavřít. Návrh je aktuálně v legislativním procesu. Pro spotřebitele to znamená výrazně jednodušší cestu k vrácení peněz u legitimních, ale neférových obchodníků.

Právní rámec pro blokování přímo podvodných webů ale stále chybí. Seznam rizikových e-shopů ČOI nemá právní sílu — kontrolní orgány nemohou podvodné stránky okamžitě zablokovat. Ministerstvo průmyslu a obchodu ani Ministerstvo vnitra dosud nepřipravily legislativu pro rychlé blokování podvodných webů, což kritizuje jak APEK, tak bezpečnostní odborníci.

Říkali jste si někdy, jestli ten neuvěřitelně levný e-shop, na který jste narazili v reklamě na sociální síti, je skutečný? Nebo jak vlastně funguje spoofing telefonních čísel, že se na displeji zobrazí číslo vaší banky?