Smishing v Česku: jak poznat podvodnou SMS a bránit se

Trojnásobek podvodných SMS za jediný rok

Smishing — podvodné SMS zprávy napodobující banky, poštu nebo úřady — je v Česku nejrychleji rostoucí formou kybernetické kriminality. Česká bankovní asociace zachytila v roce 2023 téměř 70 tisíc podvodných SMS, trojnásobek oproti předchozímu roku, a třetina dospělých Čechů podvod nedokáže rozpoznat.

Když vám v roce 2026 přijde SMS od „České pošty" s odkazem na doplacení 29 Kč za zásilku, je vyšší šance, že jde o podvod, než že na vás skutečně čeká balík. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) jen 20. května 2026 varoval před kampaní, v níž se útočníci vydávali za Policii ČR — a vytvořili přes 100 falešných domén napodobujících oficiální policejní portály.

Co je smishing a jak funguje

Smishing je phishing prostřednictvím SMS — útočník se vydává za důvěryhodnou instituci (banku, poštu, úřad) a láká oběť na falešnou stránku, kde zadá přihlašovací údaje nebo údaje platební karty. Název vznikl spojením slov SMS a phishing.

Mechanismus je jednoduchý: útočník rozešle tisíce SMS z anonymní SIM karty. Zpráva obsahuje naléhavou výzvu — nezaplacená zásilka, zablokovaný účet, pokuta od policie — a odkaz na stránku, která vypadá téměř identicky jako oficiální web. Oběť zadá přihlašovací údaje nebo číslo karty. Útočník je použije okamžitě, často do několika minut.

Co se změnilo v posledních letech: generativní umělá inteligence umožňuje vytvářet personalizované podvody bez gramatických chyb. Experti NÚKIB varují, že phishingové zprávy vypadají stále důvěryhodněji — včetně deepfakes v navazujících telefonátech. Doba, kdy jste podvod poznali podle „špatné češtiny", je pryč.

Jak podvodné SMS vypadají v praxi

Nejčastější smishingové kampaně v Česku zneužívají jména České pošty, bank, České správy sociálního zabezpečení (ČSSZ) a nově i Policie ČR. Společným znakem je naléhavost a odkaz na falešnou stránku.

Nejrozšířenější legendy podvodných SMS v Česku:

Legenda	Typická zpráva	Cíl útočníka
Nedoručená zásilka	„Vaše zásilka čeká. Doplaťte 29 Kč: [odkaz]"	Údaje platební karty
Zablokovaný účet	„Váš účet byl zablokován. Ověřte identitu: [odkaz]"	Přihlašovací údaje k bankovnictví
Pokuta od policie	„Nezaplacená pokuta 2 500 Kč. Uhraďte do 24 h: [odkaz]"	Údaje karty + osobní data
Falešný bankéř	„Zaznamenali jsme podezřelou transakci. Volejte: [číslo]"	Převod peněz pod tlakem
Sociální dávky	„Máte nárok na doplatek od ČSSZ: [odkaz]"	Osobní údaje + přístup k účtu

Podvody s legendou „falešný bankéř" zaznamenaly v roce 2025 stoprocentní nárůst oproti předchozímu roku. Útočník zavolá po SMS, představí se jako pracovník banky a přesvědčí oběť, aby převedla peníze na „bezpečný účet". Policie ČR opakovaně zdůrazňuje: „Banky, úřady ani poskytovatelé doručovacích služeb po vás nikdy nebudou chtít osobní informace prostřednictvím SMS."

Proč je Česko zvlášť zranitelné

Česká republika patří k posledním zemím EU, kde je stále možné koupit anonymní SIM karty bez ověření identity — hlavní kanál pro rozesílání podvodných SMS. Legislativní novela přišla pozdě a systémová ochrana teprve nabíhá.

Anonymní SIM karty znamenají, že útočník si koupí předplacenou kartu v trafice, rozešle tisíce podvodných zpráv a SIM zahodí. Vysledovat ho je prakticky nemožné. Ve většině zemí EU musíte při koupi SIM prokázat totožnost — v Česku ne.

Čísla mluví jasně: Středočeská policie zaznamenala v roce 2025 celkem 2 542 případů kybernetické kriminality — o 484 více než rok předtím, tedy meziroční nárůst o 23 %. NÚKIB v prvním čtvrtletí 2026 evidoval více než 70 kybernetických incidentů, nejvyšší počet za posledních 12 měsíců.

Pozitivní zpráva: od dubna 2025, kdy se jako poslední přidal Vodafone k systému T-Mobile a O2, funguje společný mechanismus ochrany proti spoofingu telefonních čísel. Spolupráce dříve konkurenčních firem napříč všemi hlavními sítěmi je v českém telekomunikačním prostředí bezprecedentní.

Jak smishing poznat a jak se bránit

Podvodnou SMS prozradí kombinace naléhavosti, neznámého odkazu a žádosti o osobní údaje. Klíčové pravidlo: žádná legitimní instituce po vás nikdy nebude chtít přihlašovací údaje přes SMS.

Pět varovných signálů podvodné SMS:

1. Naléhavost a časový tlak — „uhraďte do 24 hodin", „váš účet bude zablokován".
2. Odkaz na neznámou doménu — místo „ceskaposta.cz" vidíte „ceska-posta-doruceni.com" nebo zkrácený odkaz.
3. Žádost o osobní údaje nebo platbu — legitimní instituce toto přes SMS nežádají.
4. Obecné oslovení — „Vážený zákazníku" místo vašeho jména.
5. Neočekávanost — nečekáte zásilku, nemáte u dané banky účet, nedlužíte pokutu.

NÚKIB doporučuje: „Neklikejte na odkazy v nevyžádaných SMS zprávách, zejména pokud obsahují výzvu k úhradě pokuty." Pokud si nejste jistí, otevřete si web dané instituce ručně v prohlížeči — nikdy přes odkaz v SMS.

Co dělat, když podvodná SMS přijde

Podezřelou SMS můžete nahlásit přeposláním na číslo 7726 (SPAM), které funguje u všech mobilních operátorů v Česku. Pokud jste již zadali údaje na podvodné stránce, okamžitě kontaktujte svou banku.

Tři kroky při podezřelé SMS:

1. Neklikejte na odkaz a SMS nepřeposílejte známým.
2. Přepošlete zprávu na číslo 7726 — operátor ji analyzuje a může zablokovat odesílatele.
3. Pokud SMS napodobuje konkrétní instituci (banku, poštu, ČSSZ), nahlaste ji přímo této instituci.

Pokud jste již klikli a zadali údaje:

1. Okamžitě kontaktujte banku a zablokujte kartu nebo přístup k internetovému bankovnictví.
2. Změňte hesla ke všem účtům, kde používáte stejné přihlašovací údaje.
3. Podejte trestní oznámení — smishing je kvalifikován jako trestný čin podvodu podle § 209 trestního zákoníku. Při škodě nad 10 000 Kč hrozí pachateli trest odnětí svobody až 2 roky, při vyšších škodách výrazně více.

Kdo nese odpovědnost — vy, nebo banka?

Zákon o platebním styku chrání banky před odpovědností, pokud klient jednal s hrubou nedbalostí. Soudy řeší případy, kdy banka odmítla náhradu škody klientovi, který zadal údaje na podvodné stránce — a často stojí na straně banky.

Právní situace je pro oběti smishingu složitá. Banka může odmítnout vrátit peníze s argumentem, že klient jednal neopatrně, když klikl na odkaz a zadal údaje. Otázka „co je hrubá nedbalost" v kontextu stále sofistikovanějších podvodů je předmětem soudních sporů. Kritici poukazují na nerovnováhu: banky přenášejí odpovědnost na klienty, přestože samy nemají dostatečné technické zábrany proti podvodným transakcím.

Praktický důsledek: pokud podvodu zabráníte včas (zablokujete kartu do minut), máte výrazně vyšší šanci na vrácení peněz. S každou hodinou klesá pravděpodobnost, že banka transakci stornuje.

Přišla vám někdy SMS, u které jste váhali, jestli je pravá? Co vás nakonec přesvědčilo, že jde o podvod — nebo naopak, co vás málem oklamalo?