Ransomware, organizovaný zločin a právní postavení oběti

U ransomwaru je vhodné oddělit dvě roviny, které bývají v debatách zbytečně směšovány. První rovinou je trestní odpovědnost pachatelů. Druhou rovinou je právní postavení oběti, která se pod tlakem rozhodne zaplatit výkupné. Právě tato druhá rovina je daleko složitější, než jak se někdy prezentuje.

Na straně útočníků typicky nejde jen o vydírání, ale současně i o neoprávněný přístup k počítačovému systému a neoprávněný zásah do systému nebo dat. Nás zde ale nezajímá pachatel, nýbrž oběť, která stojí před otázkou, zda zaplacením výkupného nepřekračuje hranici zákona.

Nejde primárně o terorismus, ale spíše o organizovaný zločin

Má-li být debata vedena právně přesně, je vhodné nejprve pojmenovat, jaká právní kvalifikace vůbec přichází v úvahu. U běžného ransomwaru je teoreticky relevantní zejména úvaha o tom, zda zaplacením výkupného nedošlo k podpoře organizované zločinecké skupiny podle § 361 trestního zákoníku. Právě tento paragraf může na první pohled odpovídat situaci, kdy platba objektivně ekonomicky posiluje strukturu organizovaného zločinu.

To však samo o sobě nestačí k závěru o trestní odpovědnosti oběti. § 361 není nedbalostní trestný čin a bylo by proto nutné řešit také subjektivní stránku, tedy zejména to, zda osoba rozhodující o platbě věděla, komu prostředky směřují, a zda byla alespoň srozuměna s podporou organizované zločinecké skupiny.

Jen výjimečně by mohlo přicházet v úvahu financování terorismu podle § 312d trestního zákoníku. To by však vyžadovalo konkrétní a prokazatelnou vazbu na teroristickou skupinu, teroristu nebo teroristický trestný čin. Bez takové vazby by šlo spíše o spekulaci než o přesnou právní kvalifikaci. U typického ransomwaru je proto přesnější mluvit primárně o organizovaném zločinu než automaticky o mezinárodním terorismu.

Tomu ostatně odpovídají i mezinárodní zdroje. FATF popisuje ransomware jako formu extorze a analyzuje zejména to, jak jsou ransomwarové platby následně prané a převáděné v kriminální ekonomice. Europol současně řadí ransomware mezi nejzávažnější projevy kyberkriminality v Evropské unii a zasazuje jej do prostředí, v němž působí i kriminální sítě.

Oběť zpravidla neplatí dobrovolně

Z faktického hlediska je věc jednoduchá. Pachatel po zaplacení získá peníze a jeho ekonomický model tím je posílen. To je nesporné. Ale stejně nepřesné by bylo tvrdit, že oběť výkupné prostě a svobodně dává zločincům. Platba výkupného nebývá projevem loajality k útočníkovi, ale krizovým rozhodnutím učiněným pod tlakem hrozící závažné škody. Oběť se zpravidla nesnaží pachatele podpořit, ale odvrátit kolaps provozu, ztrátu dat, porušení smluv, reputační rozvrat nebo dokonce konec své existence na trhu.

Rozdíl mezi motivací pachatele a motivací oběti je přitom zásadní. Pachatel usiluje o zisk. Oběť se snaží přežít. To sice nemění nic na objektivním ekonomickém efektu platby, ale mění to způsob, jakým má být její jednání právně posuzováno. Zejména nelze bez dalšího dovozovat, že oběť jednala v úmyslu podporovat organizovanou zločineckou skupinu, pokud neměla konkrétní představu o tom, komu peníze skutečně směřují.

Krajní nouze jako možná právní obrana

I kdyby někdo chtěl na zaplacení výkupného nahlížet jako na podporu organizované zločinecké skupiny podle § 361, případně ve zcela výjimečných případech jako na financování terorismu podle § 312d, není tím právní posouzení vyřešeno. Nejprve by ovšem muselo být prokázáno, že byly naplněny všechny znaky trestného činu včetně úmyslného zavinění.Právě tehdy totiž nastupuje další otázka: zda v konkrétním případě nepřichází v úvahu krajní nouze podle § 28 trestního zákoníku.

Trestní zákoník výslovně stanoví, že čin jinak trestný není trestným činem, jestliže jím někdo odvrací nebezpečí přímo hrozící zájmu chráněnému trestním zákonem a toto nebezpečí nebylo možné za daných okolností odvrátit jinak, přičemž způsobený následek nesmí být zřejmě stejně závažný nebo závažnější než ten, který hrozil.

Právě zde je jádro celé věci. Pokud organizace neměla použitelné zálohy, technická analýza neidentifikovala realistickou možnost obnovy bez dešifrovacího klíče, incident response ani forenzní postupy nenabídly prakticky využitelnou cestu k obnově a pokračující odstávka bezprostředně směřovala k likvidačním hospodářským a provozním následkům, pak nelze úvahu o krajní nouzi odmítnout pouhou frází o „sponzorování zločinu“.

To samozřejmě neznamená, že každá platba výkupného bude automaticky ospravedlnitelná. Pokud měla organizace skutečně funkční zálohy, reálně dostupný náhradní provoz nebo jinou použitelnou cestu k odvrácení škody, argument krajní nouze slábne. Rozhodující jsou vždy konkrétní skutkové okolnosti, nikoli obecné heslo.

Podpora organizovaného zločinu? Ano, ale ne ve smyslu dobrovolného financování

Je pravda, že zaplacené výkupné objektivně posiluje ekonomický model ransomwarových skupin. Z čistě faktického hlediska tedy taková platba organizovaný zločin živí.

Jenže trestní právo nepracuje pouze s výsledkem, ale i s povahou jednání, jeho kontextem a především se zaviněním. Jinak se posuzuje ten, kdo zločineckou strukturu podporuje vědomě a z vlastního zájmu, a jinak ten, kdo jedná pod tlakem ve snaze odvrátit bezprostřední a závažný následek. U oběti ransomwaru navíc často chybí konkrétní vědomost o tom, kdo je skutečným příjemcem platby. Bez této představy bude obtížné dovozovat nejen přímý, ale i nepřímý úmysl. Právě proto je přesnější říci, že zaplacením výkupného může dojít k nechtěnému ekonomickému posílení organizovaného zločinu, nikoli bez dalšího k dobrovolnému financování pachatelů v běžném slova smyslu.

Jiná situace by mohla nastat tehdy, pokud by organizace měla před platbou kvalitní a konkrétní informace z threat intelligence, z nichž by vyplývalo, že za útokem stojí určitá organizovaná zločinecká nebo teroristická struktura. I tehdy by však šlo o velmi skutkově citlivé posouzení, nikoli o automatický závěr.

Politické doporučení státu není totéž co automatická trestnost

Česká republika se připojila ke společnému prohlášení proti platbám výkupného při ransomwarových útocích a NÚKIB dlouhodobě doporučuje výkupné neplatit. To je z pohledu bezpečnostní politiky logické. Platby výkupného motivují další útoky, neposkytují jistotu obnovy dat a prodlužují životaschopnost kriminálního modelu.

Z této bezpečnostní a politické pozice však ještě automaticky neplyne, že každá konkrétní oběť, která zaplatí, jedná trestněprávně postižitelným způsobem. Politické doporučení a individuální trestní odpovědnost nejsou totéž. Právní posouzení musí vždy vycházet z konkrétní skutkové situace, včetně otázky, zda bylo možné dovodit úmyslné zavinění, a teprve následně také z otázky, zda na straně oběti nebyly splněny podmínky krajní nouze.

Komparativní pohled ukazuje, že věc není právně tak jednoduchá

Určitou oporu pro zdrženlivější pohled nabízí i komparativní zkušenost. V Belgii bylo ve veřejné debatě výslovně uváděno, že za určitých podmínek může být zaplacené výkupné po kyberútoku považováno za daňově uznatelný profesní náklad. V Německu se v odborné daňové literatuře objevuje obdobná úvaha alespoň tehdy, je-li vydírání zaměřeno výlučně na podniková data, byť s praktickými komplikacemi spojenými s nemožností identifikovat skutečného příjemce platby. Naopak ve Spojeném království se upozorňuje na daňovou nejistotu těchto plateb. Ve Spojených státech se pak otázka typicky neřeší zvláštní úpravou pro ransomware, ale prostřednictvím obecných pravidel pro podnikové výdaje a ztráty.

Tyto komparativní přístupy samy o sobě samozřejmě nic neříkají o trestněprávním posouzení podle českého práva. Ukazují však, že na platbu výkupného nelze bez dalšího nahlížet jako na jednání, jehož právní nepřípustnost je zcela samozřejmá. Jestliže je v některých právních prostředích taková platba alespoň za určitých podmínek nahlížena jako ekonomicky vynucený náklad nebo ztráta spojená se zachováním podnikání, oslabuje to zkratku, že musí jít automaticky o jednání zjevně protiprávní i na straně oběti.

O zaplacení nemá rozhodovat účetní ani CISO

Další praktická otázka zní, kdo vlastně může se zaplacením výkupného vyslovit souhlas a kdo může platbu realizovat. U obchodní korporace nejde o čistě technické rozhodnutí, ale o otázku obchodního vedení společnosti. U společnosti s ručením omezeným proto typicky přísluší jednateli, u akciové společnosti představenstvu.

CISO může dodat technické podklady, vyhodnotit neexistenci realistické alternativy a popsat očekávané dopady nezaplacení, neměl by však bez výslovného oprávnění nést vlastní rozhodnutí o platbě. Účetní pak může vystupovat nanejvýš jako vykonavatel schváleného platebního a účetního procesu, nikoli jako osoba, která o něm sama rozhodla.

Z hlediska důkazního, účetního i odpovědnostního by bylo krajně nerozumné spokojit se s neformálním ústním pokynem. Má-li být později obhajováno, že šlo o poslední dostupný prostředek k odvrácení bezprostředně hrozící závažné škody, musí být dohledatelné, kdo rozhodl, na základě jakých podkladů, jaké alternativy byly prověřeny a kdo platbu technicky provedl. Součástí těchto podkladů by měla být i informace, zda organizace měla před platbou jakékoli konkrétní poznatky o identitě nebo povaze příjemce platby.

Závěr

U běžného ransomwaru je podle mého názoru přesnější mluvit primárně o organizovaném zločinu jako o faktickém a kriminologickém kontextu než automaticky o mezinárodním terorismu. Stejně tak je nepřesné nahlížet na oběť, která zaplatí, jako na někoho, kdo pachatele jednoduše a svobodně podporuje.

Samotné zaplacení výkupného však ještě neznamená, že je naplněna podpora organizované zločinecké skupiny podle § 361 trestního zákoníku. Tento trestný čin vyžaduje úmyslné zavinění. Nestačí tedy, že platba objektivně posílila kriminální model. Bylo by nutné zkoumat, zda osoba rozhodující o platbě věděla, komu peníze směřují, a zda byla alespoň srozuměna s tím, že tím podporuje organizovanou zločineckou skupinu.

I kdyby zaplacení výkupného bylo po splnění těchto podmínek předběžně nahlíženo jako podpora organizované zločinecké skupiny, právní úvaha tím nekončí. Právě tehdy je třeba zkoumat, zda v konkrétním případě nejsou splněny podmínky krajní nouze podle § 28 trestního zákoníku. Teprve tam se totiž ukáže, zda šlo o nepřípustnou podporu pachatele, nebo o poslední dostupný prostředek k odvrácení bezprostředně hrozícího závažnějšího následku.

LITERATURA

ČESKO. Zákon č. 40/2009 Sb., trestní zákoník. In: Zákony pro lidi.cz. Online. Dostupné z: https://www.zakonyprolidi.cz/cs/2009-40. [cit. 2026-04-23].

NÁRODNÍ ÚŘAD PRO KYBERNETICKOU A INFORMAČNÍ BEZPEČNOST. Česká republika se připojila k prohlášení proti platbám výkupného při ransomwarových útocích. 2023-11-03. Online. Dostupné z: https://nukib.gov.cz/cs/infoservis/aktuality/2039-ceska-republika-se-pripojila-k-prohlaseni-proti-platbam-vykupneho-pri-ransomwarovych-utocich/. [cit. 2026-04-23].

FATF. Countering Ransomware Financing. Paris: FATF/OECD, 2023-03-14. Online. Dostupné z: https://www.fatf-gafi.org/en/publications/Methodsandtrends/countering-ransomware-financing.html. [cit. 2026-04-23].

EUROPOL. Internet Organised Crime Threat Assessment (IOCTA) 2024. The Hague: Europol, 2024. Online. Dostupné z: https://www.europol.europa.eu/publication-events/main-reports/internet-organised-crime-threat-assessment-iocta-2024. [cit. 2026-04-23].

LE VIF. Piratages informatiques : la somme payée pour une rançon est déductible des impôts. 2021-06-21. Online. Dostupné z: https://www.levif.be/belgique/piratages-informatiques-la-somme-payee-pour-une-rancon-est-deductible-des-impots/. [cit. 2026-04-23].

CROWE MHL. Cyber extortion: Are ransom payments tax deductible? 2022-04. Online. Dostupné z: https://www.crowe.com/de/mhl/en-gb/-/media/crowe/firms/europe/de/crowe-mohrle-happ-luther/dateien_newsletter/220419-cyber-extortion.pdf. [cit. 2026-04-23].

RSM UK. Cybercrime victims face tax deduction difficulties. 2025-07-18. Online. Dostupné z: https://www.rsmuk.com/insights/tax-voice/cybercrime-victims-face-tax-deduction-difficulties. [cit. 2026-04-23].

INTERNAL REVENUE SERVICE. Topic no. 515, Casualty, disaster, and theft losses. Online. Dostupné z: https://www.irs.gov/taxtopics/tc515. [cit. 2026-04-23].

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!