Napřed vrátit, až pak zkoumat. EU řeší spory o bankovní podvody
foto: Redakce Deníku Vektor, vygenerováno pomocí AI (ChatGPT 5.2) /Ilustrační obrázek
Evropské banky mají vracet peníze obětem online podvodů mnohem rychleji než dnes. Generální advokát Soudního dvora EU navrhl nový výklad směrnice pro platební služby v Evropské unii.
Problém je, že většina dnešních bankovních podvodů stojí mezi dvěma definicemi evropského platebního práva.
Směrnice PSD2, která upravuje pravidla pro platební služby v EU, předepisuje, že banka musí bez zbytečného odkladu klientovi vrátit neautorizovanou platbu. Tu definuje jako takovou, s níž klient nesouhlasil. Výjimkou však je, pokud jde ze strany klienta o hlubou nedbalost. Tak banky klasifikují porušení bezpečnostních pravidlel – například, když klient sdělí přihlašovací údaje nebo jednorázový kód. V takových případech může banka tvrdit, že klient ztrátu způsobil sám, a refundaci odmítnout.
Typický scénář podvodu vypadá takto: útočník pošle oběti odkaz na podvodnou stránku, která napodobuje internetové bankovnictví. Oběť na stránce zadá přihlašovací údaje a podvodník je následně použije k převodu peněz z účtu.
Klient transakci sice nechtěl provést, ale zároveň sám zadal bezpečnostní údaje. Banky proto často argumentují, že šlo o hrubou nedbalost, a refundaci odmítnou.
Psali jsme
Revolut završil jednu z největších sekundárních transakcí na evropském trhu a dostal se na ocenění 65 miliard eur – o dvě třetiny víc než…
Vraťte peníze…
Právě takový případ stojí za sporem, který nyní řeší Soudní dvůr EU. Polská klientka banky přišla o peníze poté, co zadala údaje na falešné stránce banky. Banka odmítla refundaci s odkazem na její nedbalost a spor se dostal až k evropské justici.
Generální advokát Soudního dvora EU ve svém stanovisku navrhl změnit pořadí kroků. Podle jeho výkladu směrnice musí banka nejprve vrátit peníze za neautorizovanou transakci, a to i v případě, že se domnívá, že klient jednal nedbale. Teprve poté může banka zkoumat, zda klient porušil své povinnosti při ochraně bezpečnostních údajů. Pokud by hrubou nedbalost prokázala, může ztrátu od klienta vymáhat zpět – případně i soudní cestou.
…a nečekejte na novou regulaci
Podstatná změna tedy není v definici podvodu, ale v tom, kdo nese finanční riziko v prvním kroku. Také to je předmětem připravované nové generace pravidel pro platební služby – směrnice PSD3 a doprovodného nařízení Payment Services Regulation (PSR). Ty reagují právě na prudký nárůst phishingu a dalších forem sociálního inženýrství a mají zpřesnit odpovědnost bank za podvodné transakce, rozšířit sdílení dat o podvodech mezi bankami a posílit systémy pro odhalování podezřelých plateb.
Banky tvrdí, že současná praxe funguje a že změny mají přijít až s novou regulací. Generální advokát naopak tvrdí, že postavení klientů bank je třeba zlepšit, a to hned – protože boj o podobu nové regulace a její schvalování a implementace může trvat roky.
Stanovisko generálního advokáta není pro soud závazné. V praxi ale často naznačuje směr, kterým se soudní rozhodnutí může ubírat. A může také předznamenat, jakým směrem se bude v EU rozdělení rizik z digitálních podvodů ubírat.
Pokud by Soudní dvůr EU jeho výklad potvrdil, mohlo by to změnit praxi bank v celé EU. Spory o refundace po phishingových útocích totiž dnes patří mezi nejčastější konflikty mezi bankami a klienty digitálního bankovnictví.
Psali jsme
V září 2025 bylo 14 procent účtenek, které zaměstnanci předložili firmám k proplacení, padělaných; rok předtím to přitom byla nula. Tvrdí to jedna…
Banky by zdražily
Případný neúspěch bank v tomto sporu by přesunul okamžité finanční riziko podvodů na banky. Nepochybně by musely více investovat do systémů, které dokážou podezřelé transakce odhalit ještě před jejich provedením. A také lépe shromažďovat důkazy o tom, zda klient skutečně porušil bezpečnostní pravidla – například prostřednictvím analýzy zařízení, IP adres nebo autentizačních logů.
A dalším důsledkem by nevyhnutelně bylo zdražení bankovních služeb: banky by nově vzniklé náklady promítly do cen.