Prázdniny v Česku odstartovaly a tisíce rodin vyrazí za hranice. S nimi startuje i sezóna podvodů zacílených přímo na turisty. Falešné e-maily o „nedoplatku za ubytování“, podvodné wifi sítě na letištích, bankomaty s upravenou klávesnicí, NFC skenování karet a QR kódy s přepsanou adresou. Policie ČR i Česká bankovní asociace hlásí, že objem těchto podvodů roste každé léto o stovky procent oproti zbytku roku. Škody dosahují statisíců korun na jednu oběť. Většina útoků se přitom dá odvrátit dvěma minutami opatrnosti.
Rok 2026 přinesl podle bezpečnostních expertů rekordní nárůst kybernetických útoků na turisty. Podle společnosti ESET se detekce NFC malwaru zvýšila o 87 procent za rok a útoky přes falešné rezervační platformy (Booking.com, Airbnb) rostou v letních měsících o stovky procent. Policie ČR opakovaně varuje, že podvodníci pracují s reálnými daty obětí. Znají jméno hosta, datum pobytu, adresu ubytování. Působí věrohodně a odhalit útok laickým okem není snadné.
Falešný e-mail o „nedoplatku za ubytování“
Nejrozšířenější schéma sezóny 2026 vypadá takto. Zaplatíte si přes Booking.com nebo Airbnb ubytování. Za pár dní vám přijde e-mail nebo SMS, která obsahuje vaše skutečné jméno, název hotelu a datum pobytu, s výzvou k urgentní platbě údajného nedoplatku. Odkaz vede na stránku, která vypadá identicky s Booking.com nebo Airbnb, ale ve skutečnosti je to dokonalá imitace originálního webu.
Podle mluvčího Policejního prezidia ČR Ondřeje Moravčíka jde o modus operandi, kdy hackeři získají přístup k účtu firmy, která ubytování inzeruje. Vidí seznam všech rezervací a osobní data hostů. Falešný e-mail pak vypadá naprosto legitimně, protože obsahuje detaily, které zná jen skutečný poskytovatel.
Jak podvod poznat:
- Adresa v záhlaví prohlížeče není booking.com nebo airbnb.com, ale něco jako booking-payment.info, booking-secure.com, airbnb-verify.cz
- E-mail vyzývá k urgentnímu jednání („do 24 hodin nebo bude rezervace zrušena“)
- Odkaz vede na jinou platební bránu, než je oficiální rezervační systém
- Text obsahuje drobné gramatické chyby nebo cizí obraty
Bezpečná obrana: Nikdy neplaťte přes odkaz v e-mailu. Otevřete si booking.com nebo airbnb.com přímo v prohlížeči, přihlaste se a zkontrolujte, jestli tam skutečně existuje výzva k platbě. Pokud pochybujete, zavolejte přímo ubytovateli telefonem uvedeným na oficiální stránce.
Veřejná wifi na letišti a v hotelu
Podle bezpečnostních analytiků ESET jsou veřejné wifi sítě jedním z hlavních vektorů útoků na turisty. Riziko není v tom, že by wifi „nakazilo“ telefon virem. Riziko je odposlouchávání nešifrované komunikace nebo falešné sítě.
Man-in-the-Middle útok: Útočník vytvoří vlastní wifi síť s důvěryhodným názvem („Airport_Free_Wifi“, „Hotel_Guest_WiFi“, „Restaurant_Free“). Turista se připojí a útočník mezitím čte veškerou nešifrovanou komunikaci. Přihlašovací údaje, hesla, čísla karet.
Falešný captive portal: Vypadá jako přihlašovací stránka wifi, ale skutečně jde o phishing. Chce e-mail, telefon, číslo pokoje, nebo dokonce údaje karty. Data jdou přímo útočníkovi.
Jaké aplikace nás můžou ochránit?
- VPN aplikace (např. NordVPN, ProtonVPN, Mullvad) šifrují veškerou komunikaci. Cena 100 až 300 Kč měsíčně, na jednu dovolenou stojí za to
- Datový roaming z vlastního mobilního tarifu je bezpečnější než veřejná wifi. V EU je bez příplatku
- Bankovní aplikace a citlivé služby používat jen přes vlastní data, ne veřejnou wifi
- HTTPS ve všech prohlížečích (zelený zámek) — bez toho nezadávat žádné údaje
Bankomaty a upravené čtečky karet
Úroveň zabezpečení českých bankomatů je vysoká, ale ve turistických destinacích v zahraničí se objevují upravená zařízení pravidelně.
Hlavní podvody:
Cash trapping — do výdejního otvoru bankomatu je vlepena mřížka nebo lišta, která zadrží vydávané bankovky. Turista si myslí, že bankomat nevydal peníze, odejde. Podvodník pak přijde, mřížku odstraní a peníze si vezme.
Skimming — na slotu pro kartu je připevněna dodatečná čtečka, která zaznamenává údaje z magnetického proužku. Nad klávesnicí je miniaturní kamera nebo přehled klávesnice, který zaznamená PIN. S kopií karty a PIN mohou podvodníci vybrat peníze z jiného bankomatu.
Falešný pomocník — u bankomatu se objeví ochotný cizinec, který nabízí pomoc s obsluhou. V klíčovém okamžiku ukradne kartu nebo si zapamatuje PIN.
Bezpečná obrana:
- Zvolte bankomat na pobočce banky nebo v obchodním centru — je tam víc lidí, kamer a bankomat je pravidelně kontrolován
- Zkontrolujte klávesnici a slot pro kartu pohmatem — pokud něco vyčnívá nebo se hýbe, nepoužívejte
- Zakryjte klávesnici rukou při zadávání PIN — proti kamerám i pohledům svědků
- Používejte platbu virtuální kartou (Google Pay, Apple Pay) — kartu nikam nevkládáte
- V hotovosti si berte jen menší částky — kdyby vás okradli, ztráta je omezená

NFC a bezkontaktní platby: nový vektor útoků
Společnost ESET zaznamenala v roce 2025 nárůst detekcí NFC malwaru o 87 procent. Bezkontaktní platby jsou pohodlné, ale otevírají nové možnosti pro útočníky.
Skimming NFC v davě — útočník s upraveným čtečkou karet (schovaným v ruksaku nebo mikina) projde davem v metru, na letišti nebo v obchodním centru a odečte údaje z karet v peněženkách turistů. Pro bezkontaktní platbu do 500 Kč nemusí být zadán PIN, útočník proto může provést menší platbu nebo použít údaje pro jinou transakci.
Falešné aplikace — útočníci se vydávají za Google Play, mobilní banky, správce mýtného, aplikace pro zaplacení parkovného. Instalací dostane malware přístup k NFC modulu a může krást platby.
Bezpečná obrana:
- RFID peněženka nebo cestovní ledvinka pod oblečením brání skenování — cena 200-800 Kč
- Aplikace stahujte jen z oficiálních obchodů (Google Play, App Store)
- Nastavte si u karty limit na bezkontaktní platby — třeba 200 Kč místo 500 Kč
- Používejte hodinky nebo telefon místo fyzické karty — bezpečnější než plastová karta
- Kontrolujte SMS notifikace o platbách — okamžitě uvidíte podezřelou transakci
QR kódy a podvodné automaty
QR kódy na parkovištích, u nabíjecích stanic, na jídelních lístcích jsou v roce 2026 běžnou součástí turistické infrastruktury. Podvodníci ale často originální QR kód přelepí vlastní nálepkou vedoucí na phishing stránku.
Před naskenováním:
- Zkontrolujte, jestli QR kód není nálepkou přes původní kód
- Přečtěte URL adresu, na kterou kód vede, dřív než cokoliv zaplatíte
- Ověřte, že URL patří skutečnému poskytovateli (parkoviště města, provozovatel restaurace)
- Podezřelé jsou zkrácené odkazy (bit.ly, tinyurl) — legitimní služby je téměř nikdy nepoužívají
Falešné profily letiště a sdílení na sociálních sítích
Mluvčí Letiště Praha Denisa Hejtmánková upozorňuje, že se na Facebooku a Instagramu objevují falešné profily vydávající se za Letiště Praha. Nabízejí prodej ztracených nebo zpožděných kufrů, aukce zavazadel. „Je to nesmysl, nic takového se neděje. Letiště Praha žádná zavazadla neprodává.“
Vždy ověřte účet na oficiální stránce prg.aero. Skutečné profily letiště mají modrý ověřovací štítek.
Sdílení lokace a fotek z dovolené je další nešvar. Průběžné příspěvky „Ahoj z Chorvatska“ pro kamarády jsou zároveň signálem pro zloděje, že váš dům v Česku je prázdný. Statistiky Policie ČR ukazují, že letní vloupání rostou o 40 procent oproti zbytku roku a Britský think-tank CIFAS odhaduje, že 78 procent případů vloupání souvisí s informacemi zveřejněnými online.
Bezpečné pravidlo: Fotky a příspěvky z dovolené sdílet až po návratu. Sociální sítě přepnout na soukromé. Lokaci na Facebooku a Instagramu vypnout.

Co dělat, když už jste podvodu naletěli
Pokud jste zjistili, že jste se stali obětí, experti podle Policejního prezidia ČR doporučují postupovat v tomto pořadí:
Do 1 hodiny:
- Zablokovat kartu — okamžitě zavolat na infolinku banky, výpověď platby přes 3D Secure. Většina bank má nonstop linku.
- Změnit hesla ke všem účtům, kde jste použili stejnou kombinaci
- Zkontrolovat účet — pokud vidíte podezřelé transakce, banka je může vrátit, pokud je nahlásíte rychle
Do 24 hodin:
- Nahlásit incident na Policii ČR — osobně na služebně nebo přes online formulář na policie.gov.cz. Podvod je trestný čin s trestem odnětí svobody až 2 roky.
- Nahlásit podvod platformě — Booking, Airbnb i banky mají anti-fraud oddělení, které vyšetří případ
- Uschovat důkazy — screenshoty falešných e-mailů, URL adres, SMS
Do týdne:
- Vyžádat si od banky výpis operací a formálně nesouhlasit s podvodnými transakcemi. Banky mají povinnost reklamaci vyřídit do 15 dnů.
- Změnit hesla ke všem důležitým službám (e-mail, banka, sociální sítě, cloud)
- Zvýšit ochranu — 2FA (dvoufaktorové ověření) všude, kde to jde
Podle statistik má rychlé nahlášení podvodu na policii a bance šanci vrátit peníze v 30 až 60 procentech případů. Bez nahlášení peníze nevrátí prakticky nikdy.
Kontrolní seznam před odjezdem
Před dovolenou udělejte tuto minutu prevence:
- Vypněte data roaming pro problematické aplikace (sociální sítě mimo domov ze zvyku publikují)
- Zapněte 2FA u banky, e-mailu, hlavních platforem
- Nastavte limity karty na bezkontaktní platby (např. 300 Kč místo 500 Kč)
- Nainstalujte VPN aplikaci na telefon i tablet
- Zálohujte fotky a dokumenty na cloud před odjezdem
- Uložte si telefon banky, ambasády v jazyce destinace do kontaktů
- Sdílejte itinerář rodině nebo důvěryhodnému příteli — pro případ, že by vás neúspěšně kontaktovali
Co si z toho odnést
Podvody na dovolené v roce 2026 rostou meziročně o desítky procent. Falešný e-mail o nedoplatku, veřejná wifi, upravený bankomat, NFC skenování v davě a přelepený QR kód jsou pět hlavních vektorů, kterými pachatelé okrádají turisty. Ochrana je většinou banální. VPN pro veřejnou wifi, RFID peněženka proti NFC, bankomat na pobočce banky, ověření URL v prohlížeči, žádné sdílení lokace na sociálních sítích. Když už k podvodu dojde, klíčové je nahlásit ho do hodiny (bance, platformě, policii). Šance na vrácení peněz je 30-60 procent při rychlé reakci, prakticky nulová při pozdním nahlášení. Prevence tak stojí pár minut opatrnosti a šetří stovky tisíc korun.