Úvod

V posledních letech v rámci finančního sektoru rapidně stoupá počet platebních podvo­dů využívajících metod sociálního inženýrství, zejména ve formě phishingu a vishingu.[1] [2] V současné době prakticky každý týden média sdílí příběhy obětí těchto podvodů, informují o nových praktikách útočníků, ale také o způsobech, jak se jim bránit.[3] Na tyto útoky taktéž intenzivně upozorňují jak úvěrové instituce, tak například Česká bankovní asocia­ce, Česká národní banka nebo Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).[4] I přes tuto značnou informační osvětu a nastavování ochranných opatření ze strany poskytovatelů platebních služeb[5] však kvůli zvyšující se sofistikovanosti těchto podvodů a přesvědčivé manipulaci ze strany útočníků úspěšných podvodů stále rapidně přibývá.

Aktuálně se podle Evropského orgánu pro bankovnictví (dále jen „EBA“) považují za nejrozšířenější typ online platebních podvodů tzv. podvody s autorizovanými platbami (anglicky authorised push payment frauds).[6] Výše ztrát z těchto podvodných transakcí nejsou rozhodně zanedbatelné. Podle EBA se průměrná finanční ztráta pohybuje okolo 4 300 eur.[7] Dle Evropské komise finanční ztráty z podvodů s autorizovanými platbami v roce 2020 činily v rámci EU přibližně 323 milionů eur.[8] 

Četnost těchto podvodných transakcí přitom ve většině evropských států nadále narůs­tá.[9] Jako příklad lze uvést Irsko, kde v roce 2023 došlo ke zvýšení počtu úspěšných podvo­dů s autorizovanými platbami o 26 % v porovnání s předchozím rokem.[10] Zvlášť robustní problém představuje tento typ podvodů ve Velké Británii, kde pouze v první polovině roku 2023 bylo nahlášeno 112 459 takovýchto případů, což představuje nárůst o 22 % ve srov­nání s předchozím rokem. Celkové finanční ztráty byly vyčísleny na téměř 240 milionů britských liber.[11]

Podle EBA je jedním z významných faktorů vedoucích k rapidnímu vzestupu tohoto typu podvodu v posledních letech zejména skutečnost, že současná ochranná opatření bank nebo systém monitorování transakcí jsou vůči podvodům s autorizovanými platba­ mi ve většině případů neúčinné (viz níže).[12] Vzhledem ke skutečnosti, že ke zpracování platebních transakcí v dnešní době dochází v reálném čase, příkazy k provedení platby jsou pro klienty neodvolatelné. Nemohou tudíž sami nijak danou transakci zrušit či bloko­vat, jakmile zjistí, že byli podvedeni.[13] Proto se nabízí otázka, zda v současné době existují určité právní nástroje, které by vedly ke snížení výskytu těchto podvodných jednání, a pokud ke ztrátě finančních prostředků skutečně dojde, jaké nástroje právní ochrany klienta je možné v takovém případě aplikovat. Lze je v současné době považovat za dostatečné? Těmito otázkami se bude tento příspěvek primárně zabývat.

Článek je rozdělen do třech částí. První z nich se věnuje obecnému představení pod­vodů s autorizovanými platbami a aktuálním trendům v této oblasti. Následující část lze považovat za stěžejní, jelikož analyzuje a hodnotí současná opatření v boji proti finanč­ním podvodům a ke zvýšení ochrany podvedených klientů. Autorka se v této části zamě­řila jak na opatření stanovených ve finančněprávních předpisech, tak v obecné občan­skoprávní úpravě. Zohledněna je v této části taktéž dosavadní soudní praxe. V poslední části práce je věnována pozornost připravované unijní legislativě, jež si klade za cíl posí­lit opatření na straně poskytovatelů platebních služeb v boji proti finančním podvodům, a kritickému zhodnocení její očekávané efektivity.[14]

Přestože útočníci mohou cílit jak na běžné spotřebitele, tak na jiné subjekty (např. ob­chodní společnosti prostřednictvím jejich zaměstnanců), tento článek je limitován pou­ze na případy, kdy je klient banky spotřebitel[15] (dále jen „klient“).[16] Za účelem zachování konzistentní terminologie je za klienta považován taktéž plátce.[17]

1. Podvody s autorizovanými platbami a aktuální trendy

Za podvody s autorizovanými platbami se považují platební podvody využívající metody sociálního inženýrství,[18] v jejichž rámci pachatel kontaktuje klienta banky a za pomoci manipulativních praktik se jej snaží přesvědčit, aby provedl platební transakci na účet ovládaný útočníkem, přičemž oběť v daném případě sama platbu autorizuje.[19] V praxi při­ tom útočníci využívají různé komunikační vektory, nejčastěji e­mail (tzv. phishing, spear phishing[20]), hlasový hovor (tzv. vishing), textovou zprávu (tzv. smishing) nebo sociální sítě.[21] Na rozdíl od tradičních kybernetických útoků jsou cílem samotní lidé, nikoliv technologie (např. útok za pomoci škodlivého malwaru, DDoS). Útočníci v těchto případech využívají lidské zranitelnosti, jako jsou strach, chamtivost nebo nedostatek technických znalostí, k získání požadovaného chování a privilegovaných informací prostřednictvím psychologicky konstruované komunikace.[22]

Platební podvody založené na sociálním inženýrství, včetně podvodů s autorizovaný­ mi platbami, se vyznačují značnou variabilitou a různorodostí, co se týká způsobu jejich provedení. Útočníci přitom mají tendenci tyto praktiky nadále zlepšovat a zdokonalovat. Mezi nejčastější způsoby provedení tohoto typu podvodu v ČR lze zařadit případy, kdy se útočníci vydávají za zástupce určité instituce nebo známé společnosti (např. exekutora, MPSV,[23] Policii ČR, společnost Microsoft[24] atd.).[25] V poslední době jsou velmi časté přede­ vším případy, kdy útočník kontaktuje klienta banky prostřednictvím telefonního hovoru jako zaměstnanec banky klienta a tvrdí mu, že došlo k napadení jeho bankovního účtu a že jediným způsobem, jak finanční prostředky na něm uložené „zachránit“, je jejich okamžitý převod na jiný účet nebo okamžitý výběr hotovosti všech financí z účtu a jejich následné vložení do bitcoinmatu (tzv. případ falešných bankéřů).[26] Při přímé interakci se útočník většinou snaží na potenciální oběť vyvinout časový nátlak, aby se daným způsobem zachovala bez většího rozmyslu ihned.

Podle Europolu však přední příčky zaujímají a klíčovou hrozbu v rámci podvodů s autorizovanými platbami představují zejména investiční podvody,[27] kdy klienti bank s vidinou snadného výdělku[28] zašlou útočníkovi na základě online nabídky (např. pří­spěvku či reklamy na sociálních sítích) nebo přímého oslovení své peněžní prostředky v domnění, že budou zhodnoceny v rámci investičního portfolia.[29] Neméně časté jsou tak­ též tzv. romance scams,[30] kdy útočníci využívají zranitelnosti a důvěryhodnosti uživatelů toužících po nalezení vztahu a lásky. Prostřednictvím sociální sítě nebo seznamovací aplikace postupně navazují kontakt s potenciální obětí, ve které vyvolávají pocity zájmu, a následně danou osobu (např. z důvodu tvrzení, že se nenadále ocitli ve špatné finanční situaci) přesvědčí k zaslání finančních prostředků.[31]

Přestože tato problematika nespadá do rozsahu této práce, je vhodné zmínit, že útoční­ci často nemíří pouze na běžné spotřebitele, ale taktéž na obchodní společnosti či insti­tuce. Mezi tyto případy patří zejména CEO fraud[32] nebo podvody s falešnými fakturami (tzv. invoice frauds).[33]

Podle zprávy Europolu z roku 2023 lze očekávat, že výskyt platebních podvodů založe­ných na metodách sociálního inženýrství bude nadále narůstat jak co do počtu poškoze­ných, tak co do rozsahu vzniklých škod. Podle zprávy se totiž předpokládá, že útočníci budou nadále rozvíjet nové metody, příběhy, nabízené produkty, čímž nový modus ope- randi přiláká více obětí než kdy jindy a bude pro ně stále obtížnější podvodné jednání rozeznat.[34]

Domnívám se, že k větší přesvědčivosti podvodného jednání budou výrazně přispívat taktéž vývoj a použití technologických inovací, jež mají nezanedbatelný potenciál přispět k oklamání oběti. Již nyní útočníci často využívají např. překladačů založených na stro­jovém učení[35] nebo tzv. spoofingu, díky kterému je útočník schopen napodobit prakticky jakékoliv ID volajícího[36] (např. infolinku banky) nebo e­mailovou adresu.[37] Za největší aktuální hrozbu v tomto ohledu však považuji využití tzv. deepfakes,[38] jež se díky rychlému rozvoji umělé inteligence v současné době každým dnem zdokonalují,[39] stávají se pro útočníky čím dám tím dostupnější a jejich výstupy jsou v některých případech téměř nerozeznatelné od reality.[40]

Vzhledem k výše popsanému stavu a skutečnosti, že obdobné incidenty nemusí mít za následek pouze finanční ztráty na straně klientů, ale taktéž mohou představovat reputač­ní riziko pro úvěrové instituce a vést k nedůvěře společnosti v platby a finanční systém, je nezbytné se zabývat otázkou, jaká právní opatření lze aplikovat ve vztahu k prevenci a ochraně spotřebitele vůči těmto typům útoků.

2. Právní ochranná opatření vedoucí k ochraně spotřebitelů před podvody s autorizovanými platbami

Tato kapitola se podrobněji věnuje analýze současných zákonných opatření, která mají vést ke snížení úspěšnosti podvodných jednání, k jejich včasnému rozpoznání a hodno­ cení jejich efektivnosti. V první řadě bude pozornost věnována opatřením vyplývajícím ze zákona č. 370/2017 Sb., o platebním styku (dále jen „z. p. s.“), a ze zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále jen „AML zákon“). Následně se článek taktéž zaměří na potenciální aplikaci některých institutů podle zákona č. 89/2012 Sb., občanského zákoníku (dále jen „o. z.“), jenž je ve vztahu k z. p. s. považován za lex specialis.[41] Před samotným rozborem jednotlivých opatření je však nezbytné se věnovat otázce, jak se podvodná transakce v případě tohoto typu podvodu právně kvalifikuje, jelikož právní opatření se v závislosti na této diferenci mohou významně lišit.

2.1 Právní kvalifikace podvodné transakce

Za platební transakci se považují vložení peněžních prostředků na platební účet, výběr peněžních prostředků z platebního účtu nebo převod peněžních prostředků, je­li prová­děna v rámci platební služby.[42] Z. p. s. rozlišuje platební transakce podle toho, zda klient banky dal k převodu souhlas, či nikoliv, na autorizované a neautorizované. Přestože de­finice neautorizované platební transakce není v z. p. s. uvedena, lze ji a contrario odvodit z § 156 odst. 1 z. p. s., který stanovuje, že se za autorizovanou platební transakci považuje taková transakce, ke které dal plátce (klient) souhlas. Ve výše popsaném případě pod­vodných jednání se bude daná transakce hodnotit jako autorizovaná, jelikož podstatou tohoto typu podvodu je přesvědčit klienta, aby sám ze své vlastní vůle platební převod provedl.

V tomto ohledu se právní posouzení liší od phishingových či obdobných platebních podvodů, kdy je cílem útočníkovy interakce s klientem zjistit citlivé údaje o dané osobě (typicky přihlašovacích údajů do internetového bankovnictví), a to například přesvědče­ním, aby tato osoba údaje útočníkovi sama poskytla, nebo získáním vzdáleného přístupu k zařízení klienta[43] a následného provedení bankovního převodu samotným útočníkem bez vědomí klienta. V takovém případě se daná platba bude většinou považovat za neauto­rizovanou kvůli absenci souhlasu klienta.

Článek byl publikován v časopise Právník č. 3/2025. Pokračování je dostupné zde.

---

[1] Podvody v platebním styku. In: Česká národní banka [online]. 2023 [cit. 2024-07-17]. Dostupné z: https://www.cnb.cz/ cs/casto-kladene-dotazy/Podvody-v-platebnim-styku/.

[2] Dle Národního úřadu pro kybernetickou a informační bezpečnost došlo v roce 2022 oproti předcházejícímu roku ke zdvojnásobení počtu pokusů o tyto typy kybernetických útoků vůči klientům bank, přičemž za největší hrozbu byl označen vishing. Zdroj: Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2022. In: Národní úřad pro kybernetickou a informační bezpečnost [online]. 19. 7. 2023, s. 24 [cit. 2024-07-17]. Dostupné z: https://www.nukib.cz/ cs/infoservis/dokumenty-a-publikace/zpravy-o-stavu-kb/.

[3] Např. MAGDOŇOVÁ, J. – CIBULKA, J. Podvody na internetu: Přístup do internetového bankovnictví nikomu nedávejte, radí Antivirus. In: radiozurnal.rozhlas.cz [online]. 23. 10. 2023 [cit. 2024-07-17]. Dostupné z: https://radiozurnal.rozhlas.cz/ podvody-na-internetu-pristup-do-internetoveho-bankovnictvi-nikomu-nedavejte-radi-9098765/. Viz též SKALKOVÁ, O. Kyberšmejdi letos nakradli už miliardu. Jak bránit platební karty a účty. In: penize.cz [online]. 8. 11. 2023 [cit. 2024-07-17]. Dostupné z: https://www.penize.cz/bezne-ucty/447936-kybersmejdi-letos-nakradli-uz-miliardu-jak-branit-platebni-karty-a-ucty.

[4] Viz např. Autentická nahrávka. Pozor, takto se podvodníci vydávají za zaměstnance ČNB. In: Česká národní banka [online]. 9. 4. 2024 [cit. 2024-07-17]. Dostupné z: https://www.cnb.cz/cs/cnb-news/aktuality/Autenticka-nahravka.-Pozor-takto-se-podvodnici-vydavaji-za-zamestnance-CNB/; viz též ČBA opět varuje před podvodníky. In: Česká bankovní asociace [online]. 22. 3. 2022 [cit. 17-05-2024]. Dostupné z: https://cbaonline.cz/cba-opet-varuje-pred-podvod niky-tentokrat-v-internetovych-bazarech; Upozorňujeme na phishingovou kampaň s cílem zneužít bankovní identitu. In: Národní úřad pro kybernetickou a informační bezpečnost [online]. 22. 8. 2022 [cit. 2024-07-17]. Dostupné z: https:// nukib.gov.cz/cs/infoservis/hrozby/1872-upozornujeme-na-phishingovou-kampan-s-cilem-zneuzit-bankovni-identitu/.

[5] Za poskytovatele platebních služeb se považují osoby oprávněná podle zákona upravujícího platební styk poskytovat evidovanou platební službu. Nejedná se tedy pouze o banky, ale dále například o platební instituce, poskytovatele elektronických peněž malého rozsahu, poskytovatelé platebních služeb malého rozsahu a další. In: Ustanovení § 5 zákona č. 370/2017 Sb., o platebním styku, ve znění pozdějších předpisů.

[6] K obdobnému závěru dospěla i centrální banka Francie (Banque de France), která v roce 2022 ve své zprávě uvedla, že incidenty s autorizovanými platbami tvoří 59 % všech platebních podvodů zaznamenaných ve Francii. Zdroj: Observatory for the security of payment means, annual report 202. In: Banque de France [online]. 22. 7. 2022, s. 7 [cit. 2024-07-17]. Dostupné z: https://www.banque-france.fr/en/publications-and-statistics/publications/observatory-security-payment-means-annual-report-2021.

[7] Commission staff working document impact assessment report Accompanying the documents Proposal for a regulation of the European parliament and of the Council on payment services in the internal market and amending Regulation (EU) No 1093/2010 and Proposal for a Directive of the European parliament and of the Council on payment services and electronic money services in the Internal Market amending Directive 98/26/EC and repealing Directives 2015/2366/EU and 2009/110/EC. In: eur­lex.europe.eu [online]. 28. 6. 2023. [cit. 2024-05-17]. https://eur-lex.europa.eu/legal-content/ EN/TXT/?uri=SWD:2023:231:FIN&qid=1688388693349.

[8] Ibidem.

[9] Europol: Online fraud schemes: a web of deceit. In: europol.europe.eu [online]. 20. 12. 2023, s. 6 [cit. 2024-07-17]. Dostup- né z: https://www.europol.europa.eu/publication-events/main-reports/spotlight-report-online-fraud-iocta-2023.

[10] V daném roce celkové finanční ztráty okolo 9,9 milionů eur. Zdroj: New figures show an almost 26 % jump in fraudulent scams in first half of 2023 as consumers warned to be on high alert for investment fraud – FraudSMART. In: Banking & Payment Federation Ireland [online]. 1. 2. 2024 [cit. 2024-05-17]. Dostupné z: https://bpfi.ie/new-figures-show-an-almost-26-jump-in-fraudulent-scams-in-first-half-of-2023-as-consumers-warned-to-be-on-high-alert-for-investment-fraud-fraudsmart/.

[11] GARNER, B. – HOWARD, L. What Is APP (Authorised Push Payment) Fraud? In: Forbes [online]. 9. 4. 2024 [cit. 2024-07-17]. Dostupné z: https://www.forbes.com/uk/advisor/personal-finance/what-is-app-fraud/.

[12] EBA Opinion on new types of payment fraud and possible mitigants (EBA-Op/2024/01). In: European Banking Authority [online]. 29. 4. 2024, s. 1 a 5–7 [cit. 2024-07-17]. Dostupné z: https://www.eba.europa.eu/sites/default/files/2024-04/36 3649ff-27b4-4210-95a6-0a87c9e21272/Opinion%20on%20new%20types%20of%20payment%20fraud%20and%20 possible%20mitigations.pdf.

[13] FEI MA, W. K. – DOT, T. – RAZE, M. Considerations for Using Artificial Intelligence to Manage Authorized Push Payment (APP) Scams. IEEE Engineering Management Review. 2013, Vol. 51, No. 3, s. 166–179.

[14] Payment services: revised rules to improve consumer protection and competition in electronic payments. In: European Commission [online]. 28. 6. 2023. [cit. 2024-07-17]. Dostupné z: https://ec.europa.eu/commission/presscorner/detail/ en/qanda_23_3544.

[15] V souladu s ustanovením § 419 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, se za spotřebitele považuje fyzická osoba, která mimo rámec své podnikatelské činnosti nebo mimo rámec samostatného výkonu svého povolání uzavírá smlouvu s podnikatelem nebo s ním jinak jedná.

[16] Je tomu tak zejména z důvodu, že v případě, kdy klient není spotřebitelem, současná česká právní úprava a připravovaná unijní legislativa umožňuje poskytovatelům platebních služeb, aby se od některých zákonných ustanovení, které jsou ve vztahu k dané problematice relevantní, mohli odchýlit v rámci svých smluvních podmínek, a to i v neprospěch klienta. Viz Komentář k zákonu o platebním styku, s. 364; Dle důvodové zprávy k zákonu č. 370/2017 Sb., o platebním styku, je důvodem stanovení zvýšené ochrany spotřebitelů především zájem na ochraně slabší strany, která nemá v zásadě možnost s dokonalou znalostí věci posoudit skutečné výhody a případná rizika odchylné smluvní úpravy. V této sou- vislosti je vhodné zmínit, že předchozí z. p. s. (z. č. 284/2009 Sb.) přistupoval stejně jako ke spotřebitelům i k drobným podnikatelům. Současná úprava však umožňuje tuto větší smluvní volnost všem podnikatelům bez ohledu na jejich velikost. Zdroj: Důvodová zpráva k návrhu zákona č. 370/2017 Sb. o platebním styku. In: Beck online [online]. 2017 [cit. 2024-07-17].

[17] Za plátce je dle zákona č. 570/2017 Sb., o platebním styku, považuje uživatel, z jehož platebního účtu mají být odepsány peněžní prostředky k provedení platební transakce nebo který dává k dispozici peněžní prostředky k provedení platební transakce.

[18] Sociální inženýrství lze v obecném smyslu definovat jako jakýkoliv způsob manipulace osob za účelem provedení urči- té akce nebo získání určité informace bez legitimního důvodu. Zdroj: What is “Social Engineering” ? In: enisa.europe.eu [online]. 2024 [cit. 2024-07-17]. Dostupné z: https://www.enisa.europa.eu/topics/incident-response/glossary/what-is-social-engineering.

[19] Payment Threats and Fraud Trends Report 2022. In: European Payments Counsil [online]. 23. 11. 2022, s. 269 [cit. 2024-07-17]. Dostupné z: https://www.europeanpaymentscouncil.eu/sites/default/files/kb/file/2022-12/EPC183-22%20v1.0%20202 2%20Payments%20Threats%20and%20Fraud%20Trends%20Report.pdf.

[20] Spear phishing je jeden v nejčastějších vektorů pro provedení platebního podvodu. Jedná se o personalizovanou formu phishingu, která cílí na konkrétní osobu nebo skupinu osob. Narozdíl od hromadných podvodných e-mailů, spear phishing vyžaduje znatelně větší přípravu. Útočník musí identifikovat konkrétní osobu, které pošle spear-phishingový e-mail a zároveň dostatečné znalosti k tomu, aby dokázal vytvořit takový e-mail, jenž bude působit věrohodně a nevzbudí u oběti pochybnosti. Viz např.: Podvodné e-maily nebo zprávy na sociálních sítích na míru: spear-phishing a jak se před ním chránit. In: Národní úřad pro kybernetikou a informační bezpečnost [online]. 3. 4. 2020, s. 1–2 [cit. 2024-07-17]. Dostupné z: https://www.govcert.cz/download/doporuceni/Spear-Phishing.pdf.

[21] Europol: Online fraud schemes: a web of deceit, s. 3.

[22] ATKINS, B. – HUANG, W. A Study of Social Engineering in Online Frauds. Open Journal of Social. 2013, Vol. 1, No. 3, s. 23.

[23] Upozorňujeme na phishingovou kampaň s cílem zneužít bankovní identitu. In: Národní úřad pro kybernetickou a infor­ mační bezpečnost [online]. 22. 8. 2022 [cit. 2024-07-17]. Dostupné z: https://nukib.gov.cz/cs/infoservis/hrozby/1872-upozornujeme-na-phishingovou-kampan-s-cilem-zneuzit-bankovni-identitu/.

[24] Upozorňujeme na novou vlnu podvodných vishingových telefonátů. In: Národní úřad pro kybernetickou a informační bezpečnost [online]. 11. 2. 2022 [cit. 2024-07-17]. Dostupné z: https://nukib.gov.cz/cs/infoservis/hrozby/1807-upozornu jeme-na-novou-vlnu-podvodnych-vishingovych-telefonatu/.

[25] Zpráva o činnosti státního zastupitelství za rok 2022. In: Soustava státního zastupitelství [online]. 22. 6. 2023, s. 16–17 [cit. 2024-07-17]. Dostupné z: https://verejnazaloba.cz/wp-content/uploads/2023/06/Zpr%C3%A1va-o-%C4%8Dinnosti-2022-_textov%C3%A1-%C4%8D%C3%A1st.pdf.

[26] Viz např. ŠRÝTROVÁ, V. Podvodníci se vydávají za zaměstnance bank či dokonce i za policisty. In: Policie ČR [online]. 4. 6. 2021 [cit. 2024-07-17]. Dostupné z: https://www.policie.cz/clanek/podvodnici-se-vydavaji-za-zamestnance-bank-ci-dokonce-i-za-policisty.aspx. Viz též Zpráva o činnosti státního zastupitelství za rok 2022, s. 35.

[27] Europol: Online fraud schemes: a web of deceit, s. 8–9.

[28] Většinou dané nabídky přislibují zhodnocení finančních prostředky v nereálných výších, např. zhodnocení 500 % měsíčně.

[29] Často útočníci v rámci takové podvodné reklamy zneužívají jména známých firem či osobností. Příkladem může být společnost ČEZ nebo z veřejně známých osobností současný prezident Petr Pavel. Zdroj: ADAMCOVÁ, P. Musk, Pavel i ČEZ. Nahlásit podvodné reklamy nepomáhá. Co dělat? In: Penize.cz [online]. 11. 1. 2024. [cit. 2024-07-17]. Dostupné z: https:// www.penize.cz/ochrana-spotrebitele/450411-musk-pavel-i-cez-nahlasit-podvodne-reklamy-nepomaha-co-delat.

[30] Europol: Online fraud schemes: a web of deceit, s. 7.

[31] Podobně jako investiční podvody, jsou romance scam většinou založené na dlouhodobějším kontaktu mezi útočníkem a potenciální obětí ve snaze vybudovat mezi sebou vztah a důvěru.

[32] Případy, kdy zločinci žádají naléhavé platby po zaměstnancích společnosti tím, že se vydávají za CEO společnosti.

[33] Podvodníci se v těchto případech vydávají za obchodní partnery a požadující platbu na fiktivní faktury nebo využívají pravých faktur, kde pouze změní bankovní údaje oprávněných dodavatelů. Zdroj: Europol: Online fraud schemes: a web of deceit, s. 10–11.

[34] Europol: Online fraud schemes: a web of deceit, s. 16.

[35] Dle zprávy SZ je většina útoků prováděna ze zahraničí osobami, jež neovládají český jazyk, a proto v případě kontaktování klienta prostřednictví textové zprávy (př. e-mailu nebo SMS) využívají internetové překladače založené na strojovém učení, kterou jsou dnes již na takové úrovni, že je velmi obtížné rozeznat, zda byl text přeložen nebo jej píše osoba ovládající daný jazyk. Zdroj: Zpráva o činnosti státního zastupitelství za rok 2022, s. 36.

[36] Spoofing ID volajícího využívá VoIP (Voice over Internet Protocol), který umožňuje podvodníkům vytvořit si telefonní číslo a ID volajícího dle vlastního výběru. Zdroj: What is Spoofing – Definition and Explanation. In: usa.kaspersky.com [online]. 2024 [cit. 2024-07-17]. Dostupné z: https://usa.kaspersky.com/resource-center/definitions/spoofing.

[37] E-mail spoofing lze snadno dosáhnout pomocí fungujícího serveru SMTP (Simple Mail Transfer Protocol) a běžné e-mailové platformy, jako je Outlook nebo Gmail. Jakmile je e-mailová zpráva vytvořena, podvodník může zfalšovat pole nalezená v záhlaví zprávy, jako jsou adresy „od“ nebo „komu“. Zdroj: LOSHIN, P. Definition: email spoofing. In: tachtarget.com [online]. 2024 [cit. 2024-07-17]. Dostupné z: https://www.techtarget.com/searchsecurity/definition/email-spoofing. Cílem využití spoofingu je zejména v potenciální oběti vyvolat pocit důvěry a přimět ji k interakci. Je před- vídatelné, že klient s větší pravděpodobností zvedne hovor nebo otevře e-mail, jež je odeslán z ID adresy banky či jiné důvěryhodné instituce, nikoli z neznámého čísla nebo e-mailové adresy. Zdroj: What is Spoofing – Definition and Expla­ nation [online].

[38] Deepfake lze definovat jako syntetické medium s manipulativním vizuálním a zvukovým obsahem, vytvořeným pomo- cí AI nebo výkonných technik strojového učení, které má velký potenciál klamat. Prostřednictvím této technologie je útočník schopen např. vytvořit falešný zvukový záznam nebo video zobrazující fiktivní či reálnou (např. CEO známé společnosti) Zdroj: KIETZMANN, J. – LEE, L. W. – MCCARTHY, I. P. – KIETZMANN, T. C. Deepfakes: Trick or treat? Business Horizons. 2020, Vol. 63, No. 2, s. 136.

[39] Velký skok v kvalitě a dostupnosti technologie deepfake zaznamenala adaptace metody generativních adversariálních sítích (GAN), jež vznikla v roce 2014. Tato výkonná metoda zjednodušuje proces učení, činí jej dostupnějším a také zlepšuje výsledky začleněním mechanismu, který minimalizuje možnost odlišení jeho produktu od autentického obsahu. Viz Facing reality? Law enforcement and the challenge of deepfakes: An Observatory Report from the Europol Innovation Lab. In: Europol [online]. 2024 [cit. 2024-07-17]. Dostupné z: https://www.europol.europa.eu/cms/sites/default/files/ documents/Europol_Innovation_Lab_Facing_Reality_Law_Enforcement_And_The_Challenge_Of_Deepfakes.pdf.

[40] Již je možné se s těmito typy podvodu setkat. Známým případem finančního podvodu s využitím deepfake byl útok britskou energetickou společnost, kdy pomocí falešné audio nahrávky útočník předstíral, že je generálním ředitelem německé energetické firmy, která s britskou společností spolupracovala, a telefonicky přesvědčil CEO dané společnosti, aby provedl bankovní převod výši 243 000 britských liber na zahraniční účet ovládaný útočníkem. Zdroj: STUPP, C. Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case. In: Wall Street Journal [online]. 30. 8. 2019 [cit. 2024-07-17]. Dostupné z: https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402.

[41] Rozhodování sporů v oblasti poskytování platebních služeb a vydávání a zpětné výměny elektronických peněz. In: Finanční arbitr ČR [online]. 2024 [cit. 2024-07-17]. Dostupné z: https://finarbitr.cz/cs/oblasti/platebni-sluzby.html.

[42] § 2 odst. 1 písm. a) z. p. s.

[43] Viz např. Upozorňujeme na novou vlnu podvodných vishingových telefonátů [online].