nahoru
Pro firmy

Jak nenaletět podvodníkům při ověřování identity klientů

Některé zákony ukládají firmám povinnost ověřovat identitu svých zákazníků. To kvůli tomu, aby zločinci nezneužili danou firmu například k praní špinavých peněz nebo k financování terorismu. Jenže podvodníci využívají stále sofistikovanější metody, jak ověření identity obejít. Zvlášť když jim AI vygeneruje věrohodný občanský průkaz za pár minut.

Proč řešit bezpečnost při identifikaci zákazníků

Existuje hned několik českých a evropských nařízení, které přikazují firmám ověřování identity jejich zákazníků, zejména:

  • AML zákon neboli opatření proti praní špinavých peněz a financování terorismu (zákon č. 253/2008 Sb.) – aby podvodníci nevyužili firmu k závažným zločinům,
  • zákon o hazardních hrách (§ 17a a násl. zákona č. 186/2016 Sb.),
  • zákon o ochraně spotřebitele (§ 20z zákona č. 634/1992 Sb.),
  • zákon o platebním styku (§ 2 odst. 3 písm. l) zákona č. 370/2017 Sb.),
  • nařízení EU o jednotném trhu digitálních služeb (2022/2065).

Firmy, kterých se tyto zákony týkají, musí zákazníky identifikovat na základě platného dokladu totožnosti před uzavřením obchodního vztahu – tedy před prodejem zboží nebo poskytnutím služby. Jinými slovy firmy musí ověřit, že nový zákazník je skutečně tím, za koho se vydává.

U AML zákona je to kvůli tomu, aby firmy v případě nekalých finančních transakcí a jiných podvodů s jistotou věděly, kdo za nimi stojí, a mohli je v případě podezření včas nahlásit Finančnímu analytickému úřadu. Ten následně klienta prošetří a podá případné trestní oznámení – v roce 2024 podal FAÚ na základě hlášení od tzv. povinných osob 713 trestních oznámení. U jiných zákonů je to například kvůli tomu, aby se k alkoholu, tabáku nebo hazardním hrám nedostali děti a mladiství.

Firmy (povinné osoby) řeší identifikaci nových klientů různými způsoby – některé jsou spolehlivější, některé méně. Nejčastější způsoby ověřování totožnosti zákazníků jsou:

  • fyzicky na pobočce,
  • online pomocí kopií osobních dokladů,
  • online pomocí video hovoru nebo video záznamu klienta,
  • online pomocí bankovní identity.

Nejčastější způsoby, jak podvodníci obchází ověření identity

Metody, pomocí kterých podvodníci obchází procesy identifikace, se stále zdokonalují. Přinášíme ale přehled nejčastějších technik, na které by si firmy měly dát pozor.

1. Padělání a úprava osobních dokladů

Podvodníci si od nuly vytvoří falešné občanky, pasy nebo řidičáky patřící fiktivní osobě, pod kterou se k firmě registrují. S rozvojem umělé inteligence je tvorba falešného dokladu velmi jednoduchá a i technicky méně zdatní jedinci si věrohodný doklad vytvoří za pár minut.

Někteří podvodníci nevytvářejí celé doklady, ale pouze na svých vlastních občankách nebo pasech změní některé údaje (např. jméno, adresu, fotku nebo věk). Objevují se případy digitální úpravy dokladů (např. ve Photoshopu) i fyzické úpravy.

🟩 Jak to odhalit

  • Kvalita tisku a materiálu: originální doklady mají specifický papír, hologramy, vodotisky a další bezpečnostní prvky; pokud je materiál lesklý, příliš matný, nebo bez těchto prvků, může jít o padělek.
  • Nesrovnalosti v detailech: chyby v písmech, zarovnání textu, překlepy, rozmazané části nebo nekonzistentní fonty.
  • Nesoulad dat: např. datum narození neodpovídá věku na fotografii, neexistující číslo dokladu, nesprávné státní znaky.

2. Použití ukradených nebo ztracených osobních dokladů

Podvodníci k identifikaci často používají také skutečné doklady patřící někomu jinému. Může jít o doklady, které jejich majiteli cíleně ukradli, nebo je našli. Velmi časté jsou případy, kdy někdo ztratí občanku, podvodník ji nalezne a zneužije ji k získání půjčky na cizí jméno.

Velmi časté jsou situace, kdy si mladiství půjčí osobní doklad od staršího kamaráda, aby například nakoupili alkohol nebo hráli hazardní hry. Byť jsou tyto situace méně závažné, než když podvodník „pere“ peníze, stále z nich může firma sklidit vysoké pokuty.

🟩 Jak to odhalit

  • Ověření platnosti dokladu v registrech: například v Databázi neplatných dokladů.
  • Žádost o další doklady či doplňující informace: pokud zákazník váhá nebo odmítá poskytnout doplňující údaje, je to varovný signál. V takovém případě s ním firma nesmí uzavřít obchod.
  • Dvojí ověření identity: zeptejte se klienta na údaje o něm z dokladů či dalších veřejně dostupných míst (např. živnostenský rejstřík) a ověřte, zda údaje zná.

3. Deepfake fotografie a video

S rozmachem AI masivně roste množství tzv. deepfake podvodů. Když během identifikace firma požaduje, aby klient poslal kopii svých dokladů a zároveň se vyfotil, tak už si nemůže být jistá, že na fotografii je skutečně on. Pomocí umělé inteligence kdokoliv snadno vytvoří věrohodnou fotografii skutečného majitele dokladu, případně neexistující osoby.

Poměrně jednoduše podvodníci zfalšují i video – nahradí svůj obličej uměle vytvořenou a rozpohybovanou tváří z dokladu.

🟩 Jak to odhalit

  • Video identifikace v reálném čase: požádejte klienta o videohovor a vyzvěte ho, aby provedl specifické pohyby nebo reakce (např. aby otočil hlavu nebo na vás mrknul).
  • Nejčastější AI prohřešky: Nastudujte si, jak rozpoznat fotografie a videa vygenerovaná pomocí AI – například nekonzistentní osvětlení, neostré či příliš hladké obličeje.

4. Používání dočasných nebo falešných údajů

Podvodníci při registraci zadávají záměrně nesprávné nebo vymyšlené adresy, telefonní čísla či jiné kontaktní údaje, které nelze snadno ověřit.

🟩 Jak to odhalit

  • Ověření adresy přes mapové služby či veřejné registry: například jestli v nich skutečně existuje uvedená budova nebo firma.
  • Kontaktování uvedených telefonních čísel nebo e-mailů: pokud není možné se dovolat nebo jsou kontakty nefunkční, je to podezřelé.
  • Žádost o doložení dalšími dokumenty: např. faktury za služby nebo výpisy z banky.

Pozor: Všechny popsané metody jsou pro firmy hrozbou, zejména pokud klienta identifikují vzdáleně pomocí vyfocených kopií dokladů. Nejúčinnější prevencí podvodů je v tomto případě identifikace klientů pomocí bankovní identity (Bank iD), kdy firma klienty identifikuje pomocí osobních údajů, které již ověřila jejich banka. Takže firma už totožnost ověřovat nemusí a nehrozí, že při identifikaci zákazníka udělá chybu.

S příchodem AI je falšování identity snazší

Snadná dostupnost umělé inteligence podvodníkům otevřela brány k velkému množství nástrojů a postupů, s pomocí kterých zfalšují svou identitu jednodušeji než kdykoliv dřív a neodhalí je ani ostřílení zaměstnanci. Navíc totožnost pomocí AI zvládne zfalšovat i technicky méně zdatný jedinec.

AI podvodníkům usnadňuje „práci“ například tak, že:

  • pomocí nástrojů na generování obrázků vytvoří vysoce realistické fotografie a design dokladů nerozpoznatelný od originálu (médii proběhl například nástroj OnlyFake, kde si kdokoliv vygeneroval realistický falešný doklad za 15 dolarů.),
  • AI rozšíření v grafických programech (např. ve Photoshopu) umožňují snadnou změnu dílčích prvků na fotografii, jako je vkládání tváří nebo textů do původní fotografie nebo odstranění bezpečnostních prvků,
  • nástroje pro tvorbu deepfake videí nebo audiozáznamů jsou běžně dostupné a věrohodně napodobí hlas i vzhled kohokoliv,
  • zkušenější podvodníci využívají AI k automatizovanému hledání slabin v ověřovacích systémech nebo k cílenému sběru osobních údajů pro tvorbu falešných dokladů nebo krádež identit.

Podle dat společnosti TransUnion tyto typy podvodů masivně rostou. Počet podvodů s falešnými digitálními identitami vzrostl jen mezi lety 2019 a 2023 o 184 % a krádeže identit stouply o 112 %. Celosvětově.

Podobně alarmující data přináší společnost VeriDas. V roce 2024 mělo 49 % společností negativní zkušenost s deepfake podvody a falešné identity byly součástí 85 % všech finanční podvodů.

Co se stane, když firma podvodníky neodhalí

Firmy identifikují jednotky, desítky nebo klidně i stovky klientů denně a stává se, že občas se mezi nimi objeví podvodník. V lepším případě podvodníka během ověřování totožnosti odhalí a nahlásí úřadům, v horším případě podvodník procesem projde a začne páchat trestnou činnost. Jaký dopad to na firmu bude mít?

1. Právní postihy

Podle okolností, za kterých podvodník procesem projde, mohou povinným osobám hrozit tyto právní postihy:

  • vysoké pokuty za nedodržení zákona (například u AML až v milionech Kč),
  • ztráta licence k provozování činnosti,
  • povinnost sjednat nápravná opatření.

„Od roku 2021 došlo v AML zákoně ke zvýšení horní hranice pokut u některých přestupků, takže za vážné pochybení v oblasti AML hrozí povinným osobám pokuta až 10 milionů Kč. U kvalifikovaných skutkových podstat  to může být až 30 mil. Kč, přičemž pro úvěrové a finanční instituce je ta horní hranice až 130 mil. Kč,“ říká ředitelka právního odboru FAÚ, JUDr. Ing. Magdalena Plevová.

2. Ztráta reputace

Pokud se zjistí, že firma byla „průchodním místem“ pro praní špinavých peněz nebo financování nelegálních aktivit, poškodí to její důvěryhodnost u klientů, obchodních partnerů i veřejnosti. Zejména pokud se případ medializuje, může to vést k významnému odlivu klientů a ztrátě obchodních příležitostí.

Příklad z praxe: Realitní kancelář přijala kupujícího na základě falešných dokladů s neexistující adresou bydliště. Po podezření ze zneužití byla kancelář zapojena do vyšetřování praní peněz a byla podrobena auditům, což jí poškodilo vztahy s partnery a klienty.

3. Finanční ztráty

Každý podvodník, který projde ověřením totožnosti, může pro firmu znamenat finanční ztrátu hned na několika úrovních:

  • Přímé ztráty z podvodných transakcí (například přes půjčky, úvěry nebo pojistné podvody).
  • Kompenzace pro další strany, které kvůli podvodu přišly o peníze.
  • Náklady na nápravná opatření nebo vyšetřování (například právní služby, audit a zlepšení procesů).
  • Potenciální ztráty způsobené blokací firemních účtů po zjištění podvodu,
  • nebo už zmíněné pokuty ze strany úřadů.
Příklad z praxe: Několik finančních institucí neprovádělo pravidelné kontroly platnosti dokladů v centrálních registrech ztracených a odcizených dokladů. To umožnilo podvodníkům použít skutečné doklady cizích osob, což vedlo k trestním vyšetřováním a nákladným nápravným opatřením.

4. Trestní stíhání

Může se také stát, že firma (resp. odpovědné osoby v ní) bude trestně stíhaná pro spáchání trestného činu z nedbalosti (ať už půjde o praní špinavých peněz, financování terorismu, korupci nebo daňový podvod).

Nejbezpečnější řešení: ověřování pomocí bankovní identity

Identifikace pomocí bankovní identity je aktuálně nejbezpečnější způsob identifikace. Chrání před všemi výše uvedenými metodami podvodů a navíc povinné osoby zbavuje stresu z toho, že podvodníka nepoznají a ponesou za to následky.

Ověření identity pomocí bankovní identity probíhá následovně:

  • Klientovi se během registrace objeví výzva k ověření jeho identity (například v online rozhraní webu).
  • Klient se do rozhraní přihlásí pomocí své bankovní identity (stejným způsobem, jako když se přihlašuje například do internetového bankovnictví).
  • Jedním kliknutí potvrdí, že firmě předává své údaje.
  • A identifikace klienta je hotová. Klientovy údaje a záznam o transakci se automaticky archivují v rozhraní Bank iD, do kterého má firma přístup.

V čem spočívá vysoká bezpečnost této identifikace?

  • Klient předává již ověřené údaje – klienta díky bankovní identitě neidentifikuje firma, protože to před ní už udělala banka, u které má klient založený účet. Klientova banka firmě pouze odešle již ověřené údaje. Nehrozí, že během ověřovacího procesu firma udělá chybu.
  • Podvodníci nemají co zfalšovat – Když firma klienty identifikuje pomocí bankovní identity, tak podvodníci ani nemají prostor předkládat zfalšované doklady nebo deepfake videa. Žádné osobní doklady po nich firma při registraci nevyžaduje.
  • Od banky má firma spolehlivá data – Aby se klient vydával za někoho jiného, musel by nejprve zfalšovat svou identitu při ověření své totožnosti ve své bance. To je velmi obtížné – proces ověření podléhá u bank výrazně přísnějším pravidlům než u jiných povinných osob. K tomu mají banky přístupy do různých registrů, pomocí kterých podvodníky snáz odhalí.
  • Data klientů jsou bezpečně uložena – Data od bank se automaticky uloží do zabezpečeného elektronického archivu, do kterého potenciální útočníci proniknou výrazně složitěji než do běžných složek v počítači.

„Stávalo se, že se k nám jednou za čas snažil registrovat někdo s falešným dokladem totožnosti. Odpovědnost za to, že tyto podvodníky odhalíme, byla na nás a některé falešné doklady byly poměrně zdařilé, takže je nešlo poznat na první pohled. Díky bankovní identitě nás už tyto situace nestresují, protože identitu klienta už před námi ověřila jeho banka,“ říká Petr Volný, CTO a spoluzakladatel investiční platformy Upvest.

Identifikace pomocí bankovní identity je bezpečnější nejen pro firmy, ale také pro jejich klienty. Klienti totiž nemusí fotit a posílat firmě své osobní doklady přes nezabezpečené kanály (např. e-mailem) a zanechávat svoji digitální stopu na různých místech internetu. Takže se vystavují nižšímu riziku, že jejich osobní data uniknou.

Bankovní identita je pro klienty nejpohodlnějším způsobem ověřování totožnosti. Na rozdíl od kopírování osobních dokladů nebo chození na pobočku ho klienti zvládnou za pár minut a na ten postup jsou zvyklí například z přihlašování do datové schránky nebo do internetového bankovnictví.  

Bankovní identitu má k dispozici 6,5 milionu lidí v Česku. Firmy, které tento způsob identifikace zavedly, potvrzují, že se okamžitě stal jejich nejpoužívanějším typem ověření totožnosti.

Další články

Podrobné nastavení

Náš web používá soubory cookies, které jsou nezbytné k jeho fungování. S vaším souhlasem budeme používat další soubory cookies a zpracovávat vaše osobní údaje pro měření návštěvnosti a lepší cílení reklam.

Funkční Cookies

Zprostředkovávají základní funkčnost a web bez nich nemůže fungovat, nelze je proto vypnout.

Analytické cookies

Počítají návštěvnost webu a sběrem statistik nám umožní lépe pochopit, co návštěvníky zajímá, abychom mohli stránky neustále vylepšovat.

Marketingové cookies

Shromažďují informace o vašem chování na webu pro lepší přizpůsobení reklamy vašim zájmům, a to na těchto i jiných webových stránkách.