Když banka požádá klienta o aktualizaci občanského průkazu, daňové rezidence, kontaktních údajů, účelu účtu nebo informací o příjmech, nemusí jít o obtěžující spam. Ve skutečnosti se tu potkávají dvě povinnosti, které se v očích klienta snadno pletou: AML kontrola, tedy prevence praní peněz a financování terorismu, a bezpečnostní hygiena proti phishingu. Banka má klienta znát. Klient má zároveň právo nevěřit odkazu, který přišel v e-mailu nebo SMS a žádá citlivé údaje mimo ověřené prostředí.
AML rámec nestojí jen na založení účtu. FAÚ v Metodickém pokynu č. 9 ke kontrole klienta popisuje průběžné sledování obchodního vztahu a samostatně pracuje s aktualizací informací o klientovi. Prakticky to znamená, že informace získané při zakládání účtu nejsou jednou provždy hotové. Změní se doklad, bydliště, typ příjmů, podnikání, daňová rezidence nebo obvyklý způsob používání účtu a banka může potřebovat údaje znovu ověřit. Ne proto, aby klienta trestala za běžnou změnu, ale aby uměla doložit, že klientský profil odpovídá realitě.
ČNB stejnou logiku přenáší do dohledu nad monitoringem transakcí. V dohledovém benchmarku č. 2/2023 uvádí, že pravidla průběžné kontroly klienta a pravidelného monitoringu transakcí jsou podstatná pro odhalování a šetření podezřelých obchodů. Pokud se účet dlouhodobě choval jedním způsobem a najednou přes něj teče jiný objem, jiný typ plateb nebo platby do rizikovějších zemí, banka se nemá tvářit, že původní dotazník z doby založení účtu stačí.
Z pohledu klienta je ale rozhodující kanál. Legitimní žádost obvykle vede do internetového nebo mobilního bankovnictví, na pobočku, do ověřeného hovoru nebo jiného postupu, který banka předem popisuje ve svých pravidlech. Raiffeisenbank na stránce k povinným údajům pro AML/KYC, tedy pro prevenci praní peněz a poznání klienta, popisuje více způsobů oslovení klienta a výslovně upozorňuje, že telefonní bankéř nikdy nevyžaduje přístupové údaje do internetového bankovnictví ani autorizaci platby; stejně tak je banka nevyžaduje e-mailem. To je dobrý praktický filtr: AML formulář může být legitimní, ale přístupové heslo, PIN, CVV nebo potvrzení platby do něj nepatří.
Česká spořitelna na stránce o phishingu upozorňuje, že podvodné zprávy často pracují s naléhavostí a mohou se tvářit jako výzva k aktualizaci bezpečnostních údajů. Komerční banka zase u aktuálních internetových podvodů zdůrazňuje, že skutečný bankéř po telefonu nebude chtít citlivé údaje. ČNB v upozornění k elektronickému bankovnictví popisuje phishing jako snahu získat přihlašovací nebo osobní údaje klienta a uvádí, že banka by tímto způsobem autentizační údaje nepožadovala. Jinými slovy: samotná věta „aktualizujte údaje“ není důkazem podvodu, ale odkaz mimo bankovní prostředí a požadavek na přístupové prvky je silný varovný signál.
Rozdíl mezi rutinní aktualizací a doložením původu peněz je také důležitý. Rutinní aktualizace řeší, zda banka ví, kdo je klient, jaké má aktuální identifikační a kontaktní údaje, jaký je účel vztahu a jaký profil transakcí lze očekávat. Doložení původu peněz jde o krok dál: banka se ptá na konkrétní ekonomický příběh určité částky nebo transakce. U prodeje nemovitosti to může být kupní smlouva, u dědictví rozhodnutí z řízení, u podnikání faktura nebo daňové přiznání, u investic výpis z účtu obchodníka. Obě věci spadají do AML kontroly, ale klientovi by mělo být jasné, zda jen potvrzuje profil, nebo vysvětluje konkrétní peněžní tok.
Podezřelý požadavek obvykle poznáte podle toho, že chce obejít bankovní kanál. Typicky přichází z neznámé domény, tlačí na okamžitou reakci, vyhrožuje blokací bez možnosti ověření, vyžaduje přihlášení přes odkaz v e-mailu, žádá číslo karty včetně CVV, přístupové údaje, bezpečnostní kódy nebo potvrzení operace v aplikaci, kterou klient sám nezadal. U vishingu, tedy podvodného telefonátu, se přidává psychologický tlak: volající tvrdí, že peníze jsou v ohrožení a že klient musí jednat hned. To není standardní AML aktualizace. To je scénář, ve kterém má klient hovor ukončit a banku kontaktovat přes číslo z oficiálního webu nebo aplikace.
Pro banky a poradce z toho plyne komunikační povinnost, i když formálně nejde o individuální poradenství. Pokud má klient dodat citlivé údaje, musí být jasné, jaký kanál je bezpečný, co banka skutečně potřebuje a co naopak nikdy chtít nebude. Neurčitá zpráva „klikněte a aktualizujte vše“ vypadá v roce 2026 skoro stejně jako phishing. Profesionálně napsaná výzva má klientovi umožnit nezávislé ověření: přihlaste se do aplikace vlastní cestou, otevřete zprávy v bankovnictví, navštivte pobočku, případně zavolejte na veřejné číslo banky.
Pro spotřebitele je praktické pravidlo strohé. Aktualizaci údajů neignorovat, protože banka může při chybějící součinnosti omezit nebo zdržet některé operace. Zároveň ji nevyřizovat přes odkaz, který nelze ověřit. Nejčistší postup je otevřít bankovní aplikaci nebo internetové bankovnictví ručně, bez kliknutí v příchozí zprávě, a zkontrolovat, zda výzva existuje i tam. Pokud ne, použít oficiální kontakt banky. Pokud ano, dodat jen ty údaje, které odpovídají požadavku, a neschvalovat žádnou platbu ani změnu, kterou klient sám nezamýšlel. U firemního účtu má stejnou logiku interní kontrola: doklady posílá osoba, která je k tomu oprávněná, a ne zaměstnanec oslovený náhodnou zprávou.
Tento text není právní rada pro spor s konkrétní bankou. Jde o rozlišení dvou věcí, které se v praxi překrývají: banka má zákonný důvod chtít aktuální informace o klientovi, ale podvodník má stejný slovník. Rozhodující není jen obsah žádosti. Rozhodující je kanál, rozsah požadovaných údajů a možnost ověřit si výzvu nezávisle.
Zdroje
- FAÚ: Metodický pokyn č. 9 – Kontrola klienta a informace o aktualizaci pokynu.
- ČNB: dohledový benchmark č. 2/2023 k AML monitoringu a upozornění k elektronickému bankovnictví a phishingu.
- Bankovní bezpečnostní a AML stránky: Česká spořitelna – phishing, Raiffeisenbank – AML/KYC oslovení klienta, Raiffeisenbank – phishing, Komerční banka – aktuální internetové podvody.
Discussion
Sign in to join the discussion.
No comments yet. Be the first to share your thoughts.