Internetové bankovnictví — autentizace, PSD2 a bezpečnost

Internetové bankovnictví prošlo v posledních 20 letech od okrajové služby (přihlášení certifikátem na disketě) do hlavního kanálu pro správu peněz. V roce 2026 většina bankovních klientů v ČR provádí drtivou většinu interakcí s bankou přes mobilní aplikaci nebo internetové bankovnictví v prohlížeči — pobočku navštěvuje jen výjimečně. Kvalita digitálních nástrojů se stala jedním z hlavních kritérií při výběru banky.

Tento článek popisuje vrstvy internetového bankovnictví — autentizaci, PSD2 a otevřené bankovnictví, mobilní platby, bezpečnostní mechanismy a obranu proti hlavním hrozbám. Cílem není návod na používání konkrétní aplikace (banky mají vlastní), ale popis sdílené struktury, na které všechny aplikace stojí.

Autentizace klienta

Autentizace je proces, kterým banka ověří, že klient je opravdu on — že druhý člověk nepředstírá jeho identitu. Zákon 370/2017 Sb. ^[1] implementující směrnici PSD2 ukládá pro online přístup k účtu a pro autorizaci plateb silnou autentizaci klienta — kombinaci dvou ze tří faktorů:

• Něco, co klient zná — heslo, PIN, odpověď na bezpečnostní otázku.
• Něco, co klient má — fyzické zařízení (telefon s aplikací, autentizační kalkulátor, hardwarový klíč), SIM karta s konkrétním číslem.
• Něco, čím klient je — biometrie (otisk prstu, obličej, hlas).

Standardní setup mobilní aplikace v ČR roku 2026: klient se přihlašuje biometrií (otisk prstu nebo obličej v telefonu) a krátkým PINem aplikace; větší transakce autorizuje znovu biometrií; změnu citlivých nastavení (limit transakcí, přidání nového příjemce) potvrzuje druhým faktorem (push notifikace s biometrií, jednorázový SMS kód, autorizace přes druhé zařízení). Pro internetové bankovnictví v prohlížeči klient zadává jméno a heslo, druhý faktor je obvykle push notifikace v mobilní aplikaci nebo SMS kód.

Výjimky ze silné autentizace povoluje regulace u nízkorizikových transakcí — opakující se předplatné u prověřeného obchodníka, malé transakce do limitu (typicky 30 EUR pro online), platby v rámci vlastních účtů u téže banky. Tyto výjimky banka aplikuje automaticky podle interních pravidel a regulatorního rámce.

PSD2 a otevřené bankovnictví

PSD2 (Payment Services Directive 2) je evropská směrnice z roku 2015, implementovaná v ČR zákonem 370/2017 Sb. Hlavní strukturální novinka byla otevření přístupu k bankovním datům třetím stranám se souhlasem klienta. Klient má právo, aby autorizovaná třetí strana (typicky fintech aplikace, srovnávač sazeb, agregátor účtů) směla:

• Číst informace o jeho platebním účtu (zůstatky, transakce) — služba „informování o platebním účtu" (AISP).
• Iniciovat platby z jeho účtu — služba „iniciování platby" (PISP). Místo toho, aby klient platil kartou nebo manuálně přes internetové bankovnictví, autorizuje platbu rovnou přes třetí stranu, která komunikuje s bankou v jeho jménu.

Třetí strana musí mít licenci platební instituce s příslušným rozšířením, vydanou ČNB nebo jinou evropskou centrální bankou. Klient dává souhlas v aplikaci třetí strany, banka klienta autorizuje přes vlastní bezpečnostní mechanismy (klient se přihlásí do aplikace banky a souhlas potvrdí), poté má třetí strana po dohodnutou dobu (typicky 90 dní) přístup k datům nebo právo iniciovat platby. Souhlas klient může kdykoliv odvolat.

Praktické důsledky pro spotřebitele: agregátorové aplikace, které zobrazí zůstatky a transakce z více bank na jednom místě. Rozpočtové aplikace s automatickou kategorizací výdajů. Srovnávače sazeb fungující na reálných datech. Platební metody fintechů (například „Trustly", "Klarna Pay") — místo zadávání čísla karty klient autorizuje platbu přes vlastní banku.

Mobilní platby a peněženky

Mobilní peněženka (Apple Pay, Google Pay, Samsung Wallet) ukládá tokenizovanou verzi karty do telefonu. Token je unikátní identifikátor, který nahrazuje skutečné číslo karty — pokud telefon ztratíte, útočník z něj nemůže získat původní číslo karty. Platba probíhá NFC technologií, podobně jako bezkontaktní karta, ale autorizace probíhá přes biometrii v telefonu (otisk prstu, Face ID), ne přes PIN.

Mobilní peněženka je strukturálně bezpečnější než klasická plastová karta: token je vázán na konkrétní zařízení (přenos do jiného telefonu vyžaduje novou registraci), biometrie je silnější autentizace než PIN. Riziko zneužití existuje hlavně, pokud někdo získá fyzický telefon a obejde jeho zámek (slabý PIN, kompromitované zařízení) — proto má smysl mít na telefonu silný odemykací PIN nebo biometrii.

Vedle mezinárodních peněženek (Apple, Google, Samsung) v ČR funguje řada specifických bankovních aplikací s integrovanou peněženkou. Funkčnost srovnatelná s mezinárodními, ale s lepším napojením na lokální banku (zobrazení historie transakcí, kategorizace výdajů, integrace s rozpočtem).

Instantní platby a QR kódy

Instantní platby v ČR fungují od roku 2018 a v roce 2026 jsou prakticky standard ve všech tuzemských bankách. Princip: platba odeslaná z banky A do banky B se připíše příjemci do 10 sekund, 24/7 (včetně víkendů a státních svátků). Pro klienta to znamená, že odešlete peníze a příjemce je má prakticky okamžitě.

QR kódy (QR platba) jsou doplněk instantních plateb — místo zadávání IBANu, čísla účtu a variabilního symbolu klient načte QR kód kamerou aplikace banky. Aplikace předvyplní platbu, klient potvrdí. Použití: účtenky v restauraci, faktury od dodavatelů, peer-to-peer platby (přátelé sdílí účet po obědě). Standardizace QR kódů v ČR je řízena platebním standardem ČNB.

Hlavní bezpečnostní hrozby

Internetové bankovnictví je z pohledu banky velmi dobře zabezpečené — silná kryptografie, monitoring podezřelých transakcí, anti-fraud systémy v reálném čase. Slabým článkem zůstává klient sám. Hlavní hrozby:

Phishing

E-mail nebo SMS, která vypadá jako od banky a žádá klienta o přihlášení nebo zadání údajů. Útočník přesměruje klienta na falešnou stránku, která se vizuálně podobá oficiálnímu internetovému bankovnictví. Klient zadá heslo a SMS kód — útočník je v reálném čase použije pro přihlášení do skutečného bankovnictví a převod peněz.

Obrana: nikdy se nepřihlašujte přes odkaz v e-mailu nebo SMS. Otevřete oficiální aplikaci nebo zadejte URL banky ručně do prohlížeče. Banka nikdy nežádá heslo, PIN ani CVC po telefonu nebo e-mailu — pokud někdo tvrdí opak, je to phishing. NÚKIB i ČNB pravidelně publikují analýzy aktuálních phishingových kampaní ^{[2] [3]} .

Sociální inženýrství

Útočník zavolá klientovi, představí se jako pracovník banky nebo policie, sděluje, že klient je obětí útoku a musí „pro ochranu" převést peníze na jiný účet, nebo prozradit přístupové údaje. Cíl: přesvědčit klienta, aby provedl transakci dobrovolně (banky vrácení částky odmítají, protože klient transakci sám autorizoval).

Obrana: žádný oficiální subjekt (banka, policie, ČNB, soud) nikdy nežádá převody peněz po telefonu ani neoznamuje útok přes nečekaný hovor. Při takovém hovoru hovor ukončete, nezávisle si ověřte na oficiální infolince banky, zda něco takového nastalo. Nátlak na rychlé jednání („musíme to vyřešit teď, nebo přijdete o peníze") je signál podvodu — legitimní instituce poskytují klientovi čas a jasnou písemnou komunikaci.

Malware a kompromitované zařízení

Vir nebo trojan na počítači nebo telefonu může číst stisky kláves, zachytávat data z aplikace, dokonce přesměrovat platbu (klient zadá platbu pro pronajímatele, malware v aplikaci nahradí číslo účtu jiným). Riziko hlavně u nedůvěryhodných stažených aplikací, neoficiálních verzí oficiálních aplikací, prolomeného (jailbreak/root) operačního systému.

Obrana: aplikaci banky stahovat výhradně z oficiálního obchodu (App Store, Google Play). Operační systém aktualizovat. Nedůvěryhodné aplikace na zařízení s bankovní aplikací neinstalovat. Pokud zařízení vykazuje neobvyklé chování (pomalý chod, neznámé reklamy, vyskakující okna), zvážit restart do továrního nastavení a novou registraci aplikace banky.

Co dělá kvalitní bankovní aplikaci

Kvalita aplikace je dnes jedním z hlavních rozhodovacích kritérií při výběru banky. Co konkrétně sledovat:

• Rychlost základních akcí. Kolik kliků pro odeslání platby? Kolik sekund od otevření aplikace ke schválené transakci? Dobré aplikace umožňují platbu do 10 sekund od otevření, slabé vyžadují 30+ sekund.
• Biometrická autentizace. Otisk prstu / obličej pro přihlášení a autorizaci. Standardní v moderních aplikacích.
• Push notifikace o transakcích. Okamžité oznámení o každé transakci kartou — klient má kontrolu nad reálným časem.
• Kategorizace transakcí. Aplikace automaticky třídí výdaje (jídlo, doprava, bydlení, zábava), klient vidí, kam jdou peníze.
• Plánovač rozpočtu. Nastavení limitů na kategorie, upozornění při překročení, vizualizace měsíčního trendu.
• Sdílené účty rodiny. Možnost sledovat účty partnera nebo dětí (s souhlasem) v jedné aplikaci.
• QR platby. Načítání QR kódů pro automatické vyplnění platby.
• Otevřené bankovnictví. Zobrazení účtů u jiných bank přes PSD2.
• Investiční nástroje v aplikaci. Pro klienty banka s investičními produkty (fondy, akcie, ETF) přímý přístup.

Před výběrem banky má smysl vyzkoušet aplikaci v demo režimu (pokud banka nabízí), případně se podívat na screenshoty v App Store / Google Play. Recenze hodnotit s rezervou — nespokojení uživatelé píší více než spokojení, ale závažné a opakující se stížnosti mohou indikovat reálný problém.

Co dělat při výpadku aplikace

Aplikace banky občas mají výpadky — typicky během nasazení nové verze nebo při technických problémech. Pokud výpadek trvá hodiny a vy potřebujete urgentně provést platbu, alternativy:

• Internetové bankovnictví v prohlížeči — typicky funguje samostatně i při výpadku mobilní aplikace.
• Pobočka — pokud má banka pobočku v dosažitelnosti, lze platbu provést tam.
• Telefonní bankovnictví — některé banky umožňují platbu přes telefonní operátorku po ověření.
• Bankomat — pro hotovostní výběr i mimo aplikaci.

Strategická úvaha: pro klienty s vysokou závislostí na digitálním bankovnictví má smysl mít účty alespoň u dvou bank — pokud výpadek postihne jednu banku, druhá funguje. Argumenty pro single bank (administrativa, ekosystém slevy) je třeba vážit proti riziku jednoho selhání. Pro běžnou domácnost stačí jedna banka s občasným výpadkem; pro klienty, kteří závisí na bankovních platbách v reálném čase (například podnikatelé), je dual setup robustnější.

Praktické shrnutí

Internetové a mobilní bankovnictví je dnes plnohodnotný kanál pro správu peněz — pohodlnější než pobočka, většinu úkonů zvládá v reálném čase. Bezpečnostní rámec PSD2 a silná autentizace klienta činí infrastrukturu velmi odolnou; slabým článkem zůstává klient sám a jeho zranitelnost vůči phishingu a sociálnímu inženýrství. Pravidla pro bezpečné používání jsou jednoduchá — banka nikdy nežádá heslo a citlivé údaje po telefonu nebo e-mailu, přihlášení vždy přes oficiální aplikaci, pochybnosti ověřit zpětným voláním na oficiální infolinku. Kvalita konkrétní aplikace banky se dnes stala jedním z hlavních kritérií pro výběr banky a stojí za to ji při rozhodování posuzovat aktivně.

Časté otázky o internetovém bankovnictví

Co je dvoufaktorové ověření a proč ho banka vyžaduje?▾

Dvoufaktorové ověření (2FA) znamená, že přihlášení nebo schválení transakce vyžaduje dva nezávislé faktory ze tří kategorií — něco, co znám (heslo, PIN), něco, co mám (telefon, autentizační kalkulátor), něco, čím jsem (otisk prstu, obličej). Banka 2FA vyžaduje podle směrnice PSD2 implementované v zákoně 370/2017 Sb. — zvyšuje bezpečnost proti phishingu a krádeži přístupových údajů. Pokud útočník získá heslo, bez druhého faktoru se přesto nedostane.

Jak poznám phishing a co dělat, když mi přijde podezřelý e-mail z banky?▾

Phishing rozpoznáte podle: žádost o citlivé údaje (heslo, PIN, CVC) — banka je nikdy nežádá; URL banky je odlišná od oficiální (drobné rozdíly typu „cs0b.cz" místo „csob.cz"); nátlak na rychlé jednání („účet bude zablokován za 24 hodin"); nestandardní oslovení nebo gramatické chyby. Při podezření: e-mail neotevírejte přes odkaz, ale otevřete oficiální web banky přes prohlížeč nebo aplikaci. Podezřelý e-mail přepošlete bance (banky mají adresu typu phishing@banka.cz) a smažte.

Co se stane, když ztratím přístupové údaje k aplikaci banky?▾

Standardní postup: kontaktujte infolinku banky, nechte si zablokovat aktuální přihlášení a vygenerovat nové. Banka vás ověří přes osobní údaje a doplňující otázky (rodné číslo, předchozí transakce, datum narození), případně vás pozve na pobočku s občanským průkazem. Po ověření vám banka vygeneruje nové přístupové údaje (novou registraci aplikace v telefonu, nové heslo do internetového bankovnictví). Proces typicky 1–24 hodin. Při této situaci se vyplatí mít jako záložní kanál fyzickou pobočku v dostupné vzdálenosti nebo platnou kartu pro hotovostní výběr.

Mohu přes aplikaci banky vidět účty u jiných bank?▾

Ano, podle směrnice PSD2 (otevřené bankovnictví). Vaše banka i řada nezávislých aplikací (agregátorové fintech aplikace) může s vaším souhlasem přistupovat k zůstatkům a transakcím u jiných bank a zobrazit je na jednom místě. Banka, která data zobrazuje, musí mít licenci platební instituce s rozšířením o službu informování o platebním účtu. Klient dává souhlas v aplikaci, který lze kdykoliv odvolat.

Funguje mobilní aplikace v zahraničí?▾

Ano, pokud má telefon datové připojení (Wi-Fi nebo roaming). Pozor na ověření přes SMS — některé banky posílají při přihlášení nebo transakci jednorázový kód SMS na české číslo. V zahraničí, kde nemáte český signál, SMS nemusí dorazit. Před cestou si v aplikaci ověřte, zda lze místo SMS používat push notifikace nebo alternativní autentizaci (biometrie, hardwarový klíč). Banka mívá pro problematické regiony specifický postup — předem informujte banku o cestě, případně si aktivujte alternativní kanál.