Odpovědnost zaměstnanců za škodu při hackerských a phishingových útocích: kde leží hranice?

Praxe ukazuje, že i relativně zkušený zaměstnanec může podlehnout sofistikovanému phishingu – a zaměstnavatel pak řeší, zda (a v jakém rozsahu) lze škodu přenést na něj.

Nejvyšší soud se nedávno touto problematikou podrobně zabýval v rozhodnutí sp. zn. 21 Cdo 3349/2024, které řešilo situaci, kdy se podvodník vydával za generálního ředitele a vylákal prostřednictvím phishingu provedení zahraniční platby. Klíčovým faktorem v tomto případě nebyla samotná sofistikovanost útoku (v posuzovaném případě se jednalo o událost z roku 2017 a z dnešního pohledu útok vykazoval hned několik tzv. „red flags“), ale porušení konkrétních interních předpisů zaměstnavatele ze strany odpovědných zaměstnanců. Právě existence jasně nastavených interních pravidel hrála v hodnocení odpovědnosti zásadní roli.

Co když ale žádná konkrétní interní pravidla porušena nejsou?

V praxi se zaměstnavatelé často dostávají do složitější situace. Ne vždy lze prokázat porušení konkrétní interní směrnice – a to zejména tehdy, pokud bezpečnostní pravidla buď vůbec neexistují, nebo jsou formulována vágně.

Představme si typický scénář:

• zaměstnanec neporušil žádný explicitní vnitřní předpis,
• přesto si mohl všimnout mírně pozměněné emailové adresy domnělého obchodního partnera,
• platba měla být odeslána na účet v jiné zemi, než kde sídlí smluvní partner,
• případně existovala další varovná znamení, která dnes označujeme jako „red flags“.

Lze i v takovém případě dovodit odpovědnost zaměstnance?

Teoreticky ano – porušením obecné zákonné povinnosti zaměstnance střežit a ochraňovat majetek zaměstnavatele [§ 301 písm. d) ZP]. Soudy jsou však při tomto posouzení spíše zdrženlivé, zejména s ohledem na čím dál tím sofistikovanější metody útoků.

Odpovědnost ano, ale s limity

Mediálně známé byly extrémní případy, kdy zaměstnanci naletěli podvodníkům opakovaně – například účetní nadace, která v řadě po sobě jdoucích plateb odeslala podvodníkům částky v řádech milionů korun. V takových situacích bývá pochybení zaměstnance zjevné. Přesto zpravidla půjde o nedbalostní zavinění, u kterého zákoník práce stanoví limit odpovědnosti do výše maximálně 4,5násobku průměrného měsíčního výdělku zaměstnance. Zaměstnavatel tedy i při úspěšném uplatnění nároku obvykle získá jen zlomek skutečně vzniklé škody.

Prevence je klíčová – právně i ekonomicky

V době, kdy jsou phishingové útoky stále propracovanější, je pro zaměstnavatele čím dál obtížnější prokázat, že zaměstnanec „si měl a mohl všimnout“ podezřelých znaků a že tedy porušil svou povinnost.

O to větší význam má:

• nastavení vícestupňových kontrolních mechanismů při provádění plateb a nastavené pravidel tzv. onboardingu obchodní partnerů
• jasná a srozumitelná interní pravidla pro nakládání s finančními prostředky,
• prokazatelné seznámení zaměstnanců s těmito pravidly.

Jak ostatně ukazuje i výše uvedené rozhodnutí Nejvyššího soudu, právě existence a dodržování interních procesů může být rozhodující.

Závěrem platí jednoduché pravidlo: investice do prevence a nastavení kontrolních mechanismů je téměř vždy výhodnější než následné a nejisté vymáhání škody po zaměstnanci, který navíc bude zpravidla odpovídat jen v omezeném rozsahu.