Nestačí jen změnit heslo – záleží na tom, co bylo odcizeno a jak zareagujete.
Když vám do schránky dorazí oznámení o úniku dat, obecná rada „změňte si heslo“ téměř nikdy nestačí – a někdy to ani není ten správný první krok. Co skutečně potřebujete udělat, závisí na tom, co bylo odcizeno. Ukradené heslo vyžaduje jiný postup než odcizené rodné číslo.
Pojďme si projít, jak oznámení správně přečíst, rozpoznat skutečné riziko a zvládnout správnou posloupnost kroků během 48 hodin – aby byla ochráněna vaše peněženka.
1. Zjistěte, co bylo skutečně odcizeno
Oznámení vám sdělí – někdy jasně, jindy méně – jaká kategorie dat byla zveřejněna. Existují dvě odlišné hrozby, které vyžadují dva různé přístupy.
Převzetí účtu – rychle působící hrozba
Převzetí účtu nastává tehdy, když zločinec použije vaše odcizené přihlašovací údaje k přístupu k některému z vašich stávajících účtů – bankovnímu, e-mailovému nebo investičnímu. Škoda se může projevit během hodin. Jde o přímou hrozbu pro vaše finanční prostředky.
Krádež identity – plíživá hrozba
Zloději identity používají vaše odcizené osobní údaje (rodné číslo, datum narození, celé jméno, adresu) k zakládání nových účtů na vaše jméno, podávání podvodných daňových přiznání nebo žádání o úvěr. Škoda se může projevit až po měsících. Jde o hrozbu vašeho právního postavení.
Přečtěte si oznámení, zjistěte, které hrozbě skutečně čelíte, a jednejte podle toho.
2. Jak číst oznámení o úniku dat
Oznámení o úniku dat jsou zpravidla navržena tak, aby vás informovala o zákonném minimu a zároveň omezila odpovědnost společnosti. Na co si dát pozor:
Jaká data byla zveřejněna?
Hledejte konkrétní kategorie: e-mail, heslo, rodné číslo, datum narození, číslo platební karty, číslo bankovního účtu, zdravotní záznamy. Vágní formulace jako „některé osobní údaje” jsou varovným signálem.
Byla hesla šifrována?
Heslo, které bylo řádně zahashováno – tedy zašifrováno – je při úniku mnohem méně nebezpečné než heslo uložené v prostém textu. Oznámení by to mělo uvádět. Pokud to neuvádí, počítejte s nejhorším.
Jaký je časový rámec?
Společnosti jsou obvykle povinny vás informovat do 30 až 90 dnů od zjištění úniku, nikoli od jeho vzniku. Vaše data mohla být v oběhu celé měsíce předtím, než vám přišel e-mail.
3. Posloupnost kroků během 48 hodin
Pořadí priorit závisí na tom, co bylo odcizeno.
Hodiny 0–4: Zabezpečte stávající účty
Pokud byly součástí úniku přihlašovací údaje:
Okamžitě změňte heslo na napadené platformě. Pokud stejné heslo používáte i jinde, změňte ho i tam – nástroje pro tzv. credential stuffing (zkoušení odcizených přihlašovacích údajů) testují ukradené údaje na stovkách webů během hodin. Na nejdůležitějších účtech – bankovním, brokerském a zejména e-mailovém (přes který se obnovují přístupy ke všem ostatním účtům) – aktivujte aplikaci pro dvoufaktorové ověření.
Hodiny 4–24: Chraňte své finanční údaje
Pokud bylo zveřejněno vaše rodné číslo, datum narození nebo úplné osobní údaje, jednejte neprodleně.
Americký postup: V USA existuje možnost zmrazit tzv. kreditní skóre u tří hlavních úvěrových agentur (Equifax, Experian, TransUnion), čímž znemožníte otevření jakéhokoli nového úvěru na vaše jméno bez vašeho PIN kódu. Tato služba je ze zákona zdarma a neovlivní stávající účty ani platební karty.
Pro českého čtenáře: V České republice fungují dva hlavní úvěrové registry – SOLUS a Bankovní registr klientských informací (BRKI). Na rozdíl od USA nelze u nás kredit „zmrazit“ stejným způsobem, ale můžete požádat svou banku o zablokování možnosti sjednání nových úvěrů na váš účet a o posílený dohled nad účtem. Zároveň kontaktujte Úřad pro ochranu osobních údajů (ÚOOÚ na uoou.cz), který řeší případy zneužití osobních dat. Pokud máte podezření na podvodné jednání, podejte trestní oznámení na Policii ČR.
Hodiny 24–48: Podejte hlášení, sledujte situaci a zajistěte účty
Zkontrolujte výpisy ze všech bankovních účtů a platebních karet a hledejte transakce, které neznáte. Na všech bankovních účtech a kreditních kartách nastavte upozornění na transakce, aby vás ihned informovala o jakékoli platbě přesahující vámi stanovený limit.
Americký postup: V USA si lze stáhnout bezplatné kreditní zprávy na AnnualCreditReport.com, podat hlášení o krádeži identity na FTC prostřednictvím IdentityTheft.gov a vyžádat si od daňového úřadu IRS speciální šestimístný PIN, který zabrání podání podvodného daňového přiznání na vaše rodné číslo.
Pro českého čtenáře: V České republice můžete svůj výpis z úvěrových registrů získat jednou ročně zdarma přímo na stránkách SOLUS (solus.cz) a BRKI (cbcb.cz). Pokud zjistíte podvodnou aktivitu, obraťte se neprodleně na svou banku, podejte trestní oznámení na Policii ČR a incident nahlaste ÚOOÚ. Zneužití osobních údajů lze také nahlásit prostřednictvím portálu gov.cz.
Poznámka: Pokud byl váš bankovní účet použit bez vašeho souhlasu, neprodleně to nahlaste bance. Čím rychleji jednáte, tím větší je šance na náhradu škody.
Nejčastější otázky o úniku dat a ochraně financí
Poškodí zmrazení kreditu mé kreditní skóre?
V USA platí, že zmrazení kreditu nemá na kreditní skóre žádný vliv a služba je ze zákona zdarma. Pro českého čtenáře: V ČR sice přesný ekvivalent neexistuje, ale zablokování možnosti nových úvěrů u vaší banky rovněž neovlivní vaše stávající produkty ani platební historii.
Jaký je rozdíl mezi upozorněním na podvod a zmrazením kreditu?
V americkém systému je upozornění na podvod 90denní příznak v kreditním spisu, který vyzývá věřitele k důkladnějšímu ověření totožnosti. Zmrazení kreditu je silnější nástroj – obecně brání otevření nového úvěru bez PIN kódu. Obě služby jsou v USA zdarma a lze je kombinovat. Pro českého čtenáře: Obdobou upozornění na podvod je v ČR možnost požádat banku o posílený dohled nad účtem a označení pro zvýšenou kontrolu při žádostech o nové produkty.
Jak zjistím, zda jsou moje odcizená data již zneužívána?
Okamžitě zkontrolujte výpisy ze všech účtů a hledejte neznámé transakce. Svůj e-mail můžete také zkontrolovat na webu Have I Been Pwned (haveibeenpwned.cz), kde zjistíte, zda se vaše adresa objevuje v databázích známých úniků. Pro českého čtenáře: Výpis z úvěrových registrů SOLUS a BRKI vám ukáže, zda někdo nezažádal o úvěr na vaše jméno. Podvodné zneužití odcizených osobních údajů se často projeví až měsíce po původním úniku.
Mám po úniku dat zrušit bankovní účet?
Zpravidla ne – pokud ovšem nebylo jako zveřejněné výslovně uvedeno celé číslo vašeho bankovního účtu. Zrušení a otevření nového účtu je zdlouhavé a zřídkakdy nutné. Raději nastavte upozornění na transakce v reálném čase, pečlivě zkontrolujte nedávnou aktivitu, dočasně snižte limity převodů a informujte oddělení pro prevenci podvodů své banky, že vaše údaje byly součástí úniku. Banka může váš účet označit pro posílený dohled, aniž byste museli začínat znovu od nuly.
