Nezvaný host v telefonech Čechů? ČNB bije na poplach kvůli DeepSeek a únikům dat

Lukáš Neudert
Lukáš Neudert
Aktuality a Zprávy
Nezvaný host v telefonech Čechů? ČNB bije na poplach kvůli DeepSeek a únikům dat

V českém finančním sektoru vzrůstá napětí. Česká národní banka v posledních měsících znovu a znovu připomíná povinnost bank a pojišťoven chránit data klientů před neautorizovaným přístupem, zejména pokud jsou využívány externí digitální služby a generativní umělá inteligence. Do centra pozornosti se nyní dostává čínská aplikace a modely DeepSeek. Po rozhodnutí české vlády ze dne 9. července 2025 zakázat používání služeb DeepSeek ve veřejné správě kvůli obavám z úniků a možného přístupu státních orgánů v Číně, zvažuje řada firem – včetně těch finančních – okamžité interní restrikce.

Obsah

Co je DeepSeek a proč se o něm mluví

DeepSeek patří mezi nejdiskutovanější AI projekty roku 2025. Úspěch si získal díky kombinaci nízkých nákladů a vysokého výkonu, přičemž verze modelů s otevřenými váhami lákají vývojáře k experimentům. Zároveň však vyvolává otázky ohledně toho, kam a jak se ukládají data koncových uživatelů – a zda je lze zpřístupnit třetím stranám mimo EU. Zahraniční regulátoři i bezpečnostní úřady v průběhu letoška rozběhli šetření a někteří poskytovatelé veřejných služeb přístup k aplikaci rovnou omezili. V Česku po varování národního kybernetického úřadu přišel zákaz pro úřady, a tím i jasný signál byznysu: bezpečnost dat je důležitější než pohodlí.

Co říká ČNB a dohledové předpisy

Česká národní banka opakovaně zdůrazňuje, že banky nesou plnou odpovědnost za ochranu údajů, i když využívají externí technologie. V praxi to znamená, že žádná „nová“ AI služba nesmí obejít pravidla pro outsourcing ICT, správu třetích stran nebo nakládání s bankovním tajemstvím. Na finanční sektor od 17. ledna 2025 naplno dopadá evropské nařízení DORA, které klade přísné požadavky na řízení ICT rizik, odolnost a dohled nad dodavateli. Paralelně se do českého prostředí promítají principy směrnice NIS2, posilující kyberbezpečnost i mimo bankovní sektor. K tomu se přidává GDPR, které vyžaduje, aby správcové věděli, kde jejich data končí, na jakém právním základu se zpracovávají a zda nedochází k předávání mimo EU bez odpovídajících záruk.

Jinými slovy: i kdyby se z AI nástrojů stali „nezbytní pomocníci“ pro psaní e-mailů, analýzy nebo testování kódu, finanční instituce je mohou používat pouze za podmínky, že mají smluvně i technicky pod kontrolou každý bit citlivých informací. A právě zde vzniká konflikt mezi lákavou praktičností a tvrdou realitou regulace.

Riziko špionáže: jak by k němu mohlo dojít

Obava, že data mohou být použita pro špionáž, nevzniká z ničeho. V řadě jurisdikcí existují zákony, které firmám ukládají povinnost spolupracovat s bezpečnostními složkami. Pokud navíc poskytovatel služby provozuje servery v zemi s odlišným právním rámcem než EU, stává se kontrola nad daty obtížnější. V praxi může jít o zdánlivě banální situace – zaměstnanec zkopíruje do chatbota část interního reportu, uloží v něm výstupy provázané s unikátními identifikátory klientů, nebo požádá model o opravu kódu, v němž zůstaly tvrdě zakódované přístupové údaje. Výsledek? Metadatové stopy, které mohou opustit bezpečné hranice evropských regulovaných infrastruktur.

Rizikový je i způsob, jakým se AI učí. I když seriózní poskytovatelé umožňují vypnout trénování na uživatelských datech, stále jde o otázku důvěry a ověřitelnosti – zejména tam, kde je provozní infrastruktura „daleko“ a auditní mechanismy jsou neprůhledné. Pro finanční instituce proto dává smysl držet se zásady „co není nezbytné sdílet, to zůstává uvnitř“ a preferovat řešení, která jsou plně pod jejich kontrolou, ideálně on-premise nebo v evropských cloudech s jasnými zárukami.

Příběh z praxe: Když se „nevinné“ vložení dat vrátilo jako bumerang

Jana, IT risk manažerka středně velké regionální banky, si vzpomíná na moment, který jejich tým přesvědčil jednat rychle. „Nejde nám o paniku, ale o fakta,“ říká. V lednu začala interní kontrola zaznamenávat netypický provoz na koncových stanicích. Nic kritického – jen spike v komunikaci s několika AI službami, včetně zahraničních domén. Z analýzy vyplynulo, že malý tým vývojářů posílal do generativního chatbota části skriptů kvůli refaktoringu. V jednom z logů se objevily obfuskované řetězce, které po dešifrování připomínaly testovací API klíče. Záznamy ukazovaly, že úryvky kódu mohly opustit korporátní síť, byť z „neškodných“ notebooků na home office.

„Nebyl to únik klientských údajů, ale varovný signál,“ popisuje Jana. Banka okamžitě vyhlásila stopku na veškeré používání neschválených AI platforem a spustila pilot s lokálně nasazeným modelem, který běží v izolovaném prostředí a neodesílá nic ven. Na úrovni sítě přibyly blokace domén a nové zásady DLP (Data Loss Prevention). Zaměstnanci prošli školením: co je citlivý údaj, co je interní know-how, a proč i „neškodný“ dotaz může znamenat problém. „Nezajímá mě, že to něco píše rychleji. Důležité je, aby to psalo bezpečně,“ uzavírá.

Co dál pro banky, fintechy a firmy

  • Inventura dat a toků: identifikujte, která data jsou kritická (bankovní tajemství, osobní údaje, obchodní tajemství) a kudy mohou téct mimo organizaci.
  • Politika AI: stanovte jasná pravidla pro používání generativních nástrojů. Zakázat vše je snadné, ale dlouhodobě neudržitelné. Lepší je řízený přístup s katalogem schválených řešení a schvalovacím procesem.
  • On-premise nebo EU cloud: preferujte nasazení modelů, které lze provozovat v infrastruktuře pod vaší kontrolou, s možností logování a auditu.
  • Smlouvy s dodavateli: DORA a GDPR vyžadují přesné vymezení odpovědností – včetně místa zpracování, subzpracovatelů a povinnosti informovat o incidentech.
  • DLP a monitorování: nastavte filtry pro citlivé řetězce (IBAN, rodná čísla, API klíče) a pravidelně testujte, zda nedochází k obcházení politik.
  • Školení lidí: nejčastější „únik“ není hackerský útok, ale nepozornost. Díky osvětě klesají rizika exponenciálně.

Co dělat jako běžný uživatel

  1. Nevkládejte do veřejných chatbotů nic, co byste neposlali na pohlednici – čísla účtů, rodná čísla, kopie smluv a interní dokumenty tam nepatří.
  2. Ověřujte nastavení soukromí. U seriózních služeb lze vypnout využití konverzací pro trénování modelu. Nestačí to vždy, ale je to minimum.
  3. Preferujte lokální nebo evropské služby, pokud s AI pracujete s osobními daty. Existují i snadno použitelné aplikace, které běží přímo na počítači.
  4. Aktualizujte software a používejte dvoufaktorové ověřování. AI nástroje často vyžadují přihlášení – chraňte účet stejně pečlivě jako internetové bankovnictví.
  5. Nepodlehněte „wow efektu“. Rychlá odpověď neznamená správnou či bezpečnou odpověď.

Co na to vláda, NÚKIB a Evropa

Česká vláda 9. července 2025 oficiálně zakázala používání služeb DeepSeek ve veřejné správě na základě bezpečnostního doporučení. Krok navazuje na postup některých dalších zemí, které v průběhu roku 2025 přistoupily k omezením na vládních zařízeních, případně zahájily vyšetřování z pohledu ochrany osobních údajů. Evropské nařízení o umělé inteligenci (AI Act) běží v postupných vlnách: vybrané zákazy a povinnosti začínají platit už v roce 2025, přísné požadavky pro vysoce rizikové systémy pak v letech 2026 a 2027. Firmy by proto neměly čekat na poslední chvíli – to, co je dnes „doporučení“, bude brzy „povinnost“.

Jak reaguje DeepSeek

Společnost v minulosti prezentovala své technologie jako levnější alternativu k západním modelům a část svého ekosystému uvolnila ve formě otevřených vah. Debata o ochraně dat se však vede hlavně kolem oficiálních webových a mobilních aplikací, jejichž provoz a ukládání dat se odehrává mimo kontrolu uživatelů. Kritické otázky míří na rozsah sběru údajů, místo uložení a režimy sdílení – tedy přesně na body, které finanční regulace vyžadují mít smluvně a technicky ošetřené. Na české politické rozhodnutí z července 2025 firma bezprostředně nereagovala, což ale nic nemění na tom, že se banky musí rozhodovat podle principu obezřetnosti a práva evropského trhu.

Proč se ČNB staví do role „brzdy“

Neběží o technologickou skepsi, ale o ochranu vkladů a důvěry. Bankovní sektor stojí na stabilitě: jeden špatně zvládnutý incident, jeden větší únik interních modelů proti praní špinavých peněz nebo pravidel pro řízení úvěrového rizika a dopad může být systémový. ČNB proto dlouhodobě trvá na tom, aby každá novinka prošla standardním kolečkem řízení rizik. A to platí dvojnásob v době, kdy se inovace šíří rychleji, než stíhá vznikat praxe i judikatura.

Co by měly dělat české banky hned zítra

  • Formálně zařadit veřejné AI služby mezi „kritické aplikace třetích stran“ a podřídit je stejným kontrolám jako jiné externí nástroje.
  • Provést gap analýzu podle DORA a NIS2: máte jasně definované role, odpovědnosti a kontakty pro incidenty u AI dodavatelů?
  • Vyjednat nebo obnovit smluvní dokumentaci s garancí místa zpracování dat, auditních práv a okamžitého vypnutí ve chvíli, kdy zhodnocení rizik nevyjde.
  • Nasadit bezpečné alternativy: sandboxované, lokálně hostované modely pro interní experimenty; případně evropské poskytovatele s transparentní správou dat.
  • Komunikovat s klienty: pokud AI používáte v jakékoliv části front-office, buďte transparentní, jak pracujete s jejich údaji a jaká mají práva.

Komu aktuální spor nejvíc ubližuje

Nejde jen o „válku“ velmocí, ale o každodenní provoz tisíců českých firem. Startupy ztrácejí nástroj, který jim šetřil čas. Úřady musejí přehodnotit interní procesy a hledat bezpečnější varianty. A obyčejní uživatelé jsou vystaveni chaosu doporučení, kde se přetahují politické a bezpečnostní argumenty s pohodlím a cenou. Z těchto dilemat vede jediná rozumná cesta: přiznat si rizika, změřit je, a podle toho upravit chování i technologie.

Jak si nastavit „bezpečnou AI“ doma i v práci

  1. Definujte si „červené linie“: čísla dokladů, finanční detaily, interní smlouvy a zdrojové kódy neposílat do veřejných chatbotů.
  2. Pokud AI potřebujete, preferujte režimy bez sdílení dat pro trénink a zvažte varianty, které běží lokálně.
  3. Nechte si poradit od bezpečnostních specialistů – nastavení DLP a monitoringu dnes není luxus, ale základní hygiena.
  4. Průběžně testujte: zkoušejte, co by se stalo, kdybyste do chatbota vložili náhodně vygenerovaná „citlivá“ data. Jak systém reaguje? Co ukládá? Jak dlouho?

Realita roku 2025: rychlé inovace, pomalejší pravidla

AI se vyvíjí mnohem rychleji než legislativa i firemní governance. Vlády. regulátoři i firmy proto musí jednat pragmaticky: zkoušet nové technologie, ale zároveň je držet na krátkém vodítku. Český zákaz pro státní správu je signál srozumitelný: dokud nejsou jasno a záruky, citlivá data se drží doma. Banky k tomu přidávají desítky stran interních směrnic a technických opatření – není to krásné, ale je to bezpečné.

Shrnutí

ČNB zdůrazňuje, že ochrana klientských dat je nepřekročitelná. V kontextu letošních kroků vlády a bezpečnostních úřadů se DeepSeek stal symbolem širší otázky: komu svěřujeme informace a jak je chráníme. Přestože žádná technologie není sama o sobě „dobrá“ nebo „zlá“, bez transparentnosti a právní jistoty nemá v citlivých sektorech co dělat. Pro firmy z toho plyne jasný plán – zmapovat rizika, nastavit pravidla a teprve pak inovovat. Pro jednotlivce: používat zdravý rozum a nevkládat do AI to, co by nemělo opustit naše zařízení. Pokud se tím budeme řídit, můžeme si výhody umělé inteligence užít bez toho, aby se nám vrátily v podobě noční můry jménem únik dat a špionáž.

Štítky:
Sdílej tento článek

Mohlo by se vám také líbit

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den
Aktuality a Zprávy

Dělají to chytřeji než kdy dřív: 10 triků, které okrádají Čechy každý den

Lukáš Neudert
Lukáš Neudert
Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní
Aktuality a Zprávy

Konec „levného Premium“? YouTube blokuje sdílení mimo domácnost, o výhody můžete přijít už za 14 dní

Lukáš Neudert
Lukáš Neudert
Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti
Aktuality a Zprávy

Používáte tuhle powerbanku? Okamžitě přestaňte – hrozí požár, škody i problémy na letišti

Lukáš Neudert
Lukáš Neudert
Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data
Aktuality a Zprávy

Šok: Hackeři útočí přes známé služby Googlu. Slovensko je pod palbou a může to odnést i vaše data

Lukáš Neudert
Lukáš Neudert