Elektronická válka a AI: Právní limity rušení a klamání
Elektronické útoky a umělá inteligence představují novou frontu, kde se setkávají technologie s právem. Pokud vaše společnost operuje online nebo používá AI nástroje, musíte vědět, jaké hrozby vám hrozí a jak vás chrání aktuální české a evropské právo. V tomto článku se dozvíte, kde je hranice mezi legálním chováním a tím, co je zakázáno.
Obsah článku
Rychlé shrnutí
- Kybernetické útoky mohou naplňovat skutkové podstaty trestných činů, jejich mezinárodněprávní klasifikace jako „válečného aktu“ však závisí na intenzitě dopadů.
- AI generuje obsah i dezinformace; právní odpovědnost za škodu či porušení zákona nese primárně ten, kdo obsah používá a publikuje.
- Zákon o kybernetické bezpečnosti a nařízení EU AI Act zavádějí tvrdé sankce v řádech desítek až stovek milionů korun a zdůrazňují odpovědnost statutárních orgánů.
- Ochrana vyžaduje komplexní přístup – od technických opatření přes právní dokumentaci (compliance) až po krizový plán.
Elektronická válka, AI a právní realita
Elektronické útoky a umělá inteligence nejsou záležitostí budoucnosti. Státní i nestátní aktéři je dnes používají masivně – od dezinformačních kampaní přes kybernetické útoky na kritickou infrastrukturu až po generování falešných videí. Počet kybernetických bezpečnostních incidentů v Česku dlouhodobě roste a útoky jsou stále sofistikovanější.
Zatímco technologie postupují rychle, právní výklad v oblasti mezinárodního práva a ozbrojeného konfliktu je stále předmětem odborných diskusí.
Právní dilema je zásadní: kde je hranice mezi kybernetickou kriminalitou a činností, kterou můžeme klasifikovat jako použití síly? A co když útok není fyzicky ničivý, ale vytváří iluzi prostřednictvím obsahu generovaného AI? Odpovědi nejsou jednoduché, ale pro vaši firmu mohou být kritické.
Související otázky k elektronické válce
1. Považuje se kybernetický útok za válečný akt?
Ne automaticky. Podle mezinárodního práva a výkladu obsaženého v tzv. Tallinnském manuálu se útok může kvalifikovat jako použití síly, pokud má dopad srovnatelný s kinetickým útokem. Běžná kybernetická špionáž nebo krádež dat tuto hranici zpravidla nepřekračují.
2. Kdo je při kybernetickém útoku od státu odpovědný?
Přičitatelnost útoku státu je právně i technicky složitá. V mezinárodním právu platí právo na sebeobranu podle článku 51 Charty OSN, pokud útok dosáhne intenzity ozbrojeného útoku. Problémem zůstává prokázání, že za útokem stojí konkrétní stát.
3. Má právo na sebeobranu i soukromá firma?
Firma se může bránit pouze v mezích nutné obrany a krajní nouze dle českého trestního práva. To v praxi znamená pasivní obranu (blokování, filtrování, zálohování). Aktivní protiútok je v České republice i většině zemí světa nelegální.
Kybernetické útoky a jejich právní vymezení
Kybernetické útoky mají různé právní kvalifikace v závislosti na způsobu provedení a následcích. Český trestní zákoník na tyto činy pamatuje, byť vyšetřování bývá komplikované.
DDoS útoky – mezi aktivismem a agresí
DDoS útok je častým nástrojem, který má za cíl zahltit a znepřístupnit cílovou službu. Často jej využívají hacktivistické skupiny k politickým protestům. Ačkoli fyzicky „pouze“ vyřadí server z provozu, právní dopad je závažný.
V českém právu je DDoS útok klasifikován jako trestný čin Neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 trestního zákoníku.
Firmy se často ptají: „Smím na zdroj DDoS útoku zaútočit zpět?“ Odpověď zní ne. Smíte blokovat IP adresy, filtrovat provoz, využívat služby scrubbing center. Aktivní útok na počítače by byl trestným činem, za který by vaše firma a její zaměstnanci nesli odpovědnost.
Ransomware a vydírání v kyberprostoru
Ransomware představuje útok, při kterém pachatelé zašifrují data a požadují výkupné za jejich obnovení. Právní kvalifikace je zde jednoznačná: jde o souběh trestných činů neoprávněného přístupu k počítačovému systému a vydírání.
Pokud jsou útočníci na sankčních seznamech, může platba představovat porušení mezinárodních sankcí nebo financování terorismu. Právníci z ARROWS advokátní kanceláře řeší tyto situace krizově – čas je kritický a rozhodnutí musí padnout rychle, avšak s vědomím všech právních rizik.
Hacking a neoprávněný přístup
Hacking, tedy prolomení ochrany a vniknutí do systému, je trestným činem podle § 230 trestního zákoníku. Trestní sazba může v základní skutkové podstatě činit až čtyři roky odnětí svobody, u organizovaných skupin nebo velkých škod i více.
V praxi dochází k souběhu s dalšími trestnými činy. Pokud hacker data zkopíruje a zneužije, může jít o zneužití záznamu na nosiči informací. Pokud někoho uvede v omyl k obohacení se, jde o podvod.
Související otázky k kybernetickým útokům
1. Jak se liší DDoS útok od ransomwarového útoku z právního hlediska?
Oba jsou trestné činy dle § 230. U ransomwaru však přistupuje i trestný čin vydírání (§ 175), protože pachatel nutí oběť k placení pod pohrůžkou škody. U DDoS jde primárně o omezování funkčnosti systému.
2. Kdo je odpovědný, když zaměstnanec neúmyslně umožní hackerovi přístup?
Zaměstnanec může odpovídat pracovněprávně za škodu způsobenou z nedbalosti. Trestní odpovědnost za úmyslný útok nese hacker. Společnost však může čelit správním pokutám za nedostatečné zabezpečení (GDPR, zákon o kybernetické bezpečnosti), pokud zanedbala prevenci.
3. Jaké jsou sankce za hacking?
Kromě trestu odnětí svobody hrozí pachateli i náhrada škody a propadnutí věci. Pro poškozenou firmu je však klíčová prevence, protože vymáhání náhrady škody na anonymním hackerovi v zahraničí je v praxi extrémně obtížné.
Právní limity rušení v kyberprostoru
Hranice mezi povoleným a zakázaným se v kyberprostoru prolíná několika právními odvětvími – od trestního práva přes správní právo až po právo mezinárodní.
Co se smí a co ne?
V kontextu mezinárodního práva se zkoumá tzv. "scale and effects" (rozsah a dopady). Pokud kybernetický útok způsobí následky srovnatelné s konvenčním útokem, může být považován za použití síly.
Pokud jste obětí útoku, vaším jediným legálním postupem je defenziva, zajištění důkazů a nahlášení incidentu policii, případně NÚKIB. Pokud se rozhodnete „bránit“ protiútokem, riskujete trestní stíhání. Právní řád nezná institut „kybernetické sebeobrany“ formou odvetného hackingu.
Mezinárodní právo a suverenita
Ačkoliv neexistuje jediná globální úmluva o kybernetické bezpečnosti, státy aplikují existující mezinárodní právo i na kyberprostor. Česko, stejně jako ostatní státy EU a NATO, zastává názor, že mezinárodní právo v kyberprostoru platí.
Pro firmu to znamená, že nemůžete brát spravedlnost do vlastních rukou ani v mezinárodním měřítku. Pokud vás napadne konkurence z jiné země, cestou je právní pomoc a mezinárodní justiční spolupráce, nikoliv digitální odveta.
AI, dezinformace a klamání – právní hledisko
Umělá inteligence přinesla do elektronického boje novou dimenzi. Generativní AI dokáže vytvořit vysoce uvěřitelný, ale zcela fiktivní obsah.
Generativní AI a halucinace – kdo za to ručí?
Modely jako ChatGPT, Claude či Copilot mohou „halucinovat“ – tedy generovat fakticky nesprávné informace, které působí věrohodně. Právní odpovědnost je zde jasná: za výstup AI odpovídá uživatel (nebo firma), který jej použil a publikoval.
Pokud právník nebo firma použije AI k přípravě dokumentů a ty obsahují chyby nebo smyšlené citace, nese plnou odpovědnost za odbornou chybu. V českém prostředí by takové jednání bylo porušením advokátních předpisů a mohlo by vést ke kárnému řízení i náhradě škody.
Důsledky pro firmy:
- Nekalá soutěž
- Porušení autorských práv
- Ochrana osobnosti
Deep fakes a jejich regulace
Deep fake jsou videa či zvuky vytvořené AI, které napodobují skutečné osoby. Nová evropská legislativa AI Act, která je v roce 2026 již plně aplikovatelná, stanovuje přísná pravidla.
Uživatel musí vědět, že nesleduje realitu, ale uměle vytvořený obsah.
V České republice lze tvorbu škodlivých deep fakes postihovat i přes stávající instituty. Jedná se například o pomluvu (§ 184 trestního zákoníku), poškozování cizích práv (§ 181), nebo civilní žalobu na ochranu osobnosti a ochranu před nekalou soutěží.
AI Act a zakázané praktiky
Nařízení AI Act zavádí kategorizaci systémů AI. Některé praktiky jsou zcela zakázané (s účinností již od února 2025):
- Manipulativní techniky
- Sociální skórování
- Rozpoznávání emocí na pracovišti a ve školách
Sankce za porušení zákazů mohou dosáhnout až 35 milionů EUR nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší.
Odpovědnost za elektronické útoky a AI obsah
Odpovědnost v této oblasti je vrstvená a dotýká se jak pachatelů, tak obětí, které zanedbaly své povinnosti.
Odpovědnost útočníka
Útočník odpovídá trestně (za hacking, vydírání, podvod) i občanskoprávně (náhrada škody). Hlavním problémem zůstává faktická vymahatelnost práva vůči pachatelům ze zemí, které nespolupracují v trestních věcech.
Obraťe se na naše ARROWS specialisty:
.png)
Odpovědnost společnosti a vedení (NIS2 a ZKB)
V roce 2026 je již plně účinný nový zákon o kybernetické bezpečnosti (ZKB), který do českého práva transponoval evropskou směrnici NIS2. Tento zákon výrazně rozšířil okruh povinných subjektů.
Statutární orgány jsou přímo odpovědné za schvalování opatření k řízení kybernetických rizik a dohled nad nimi.
Pokud firma (regulovaný subjekt) poruší své povinnosti:
- Pokuta pro společnost
- Dopad na management (péče řádného hospodáře)
- Pozastavení výkonu řídící funkce
Odpovědnost za AI nástroje
Pokud vaše firma vyvíjí nebo nasazuje AI systémy, musí dodržovat AI Act. U vysoce rizikových systémů platí povinnost certifikace, řízení rizik a lidského dohledu. Za porušení odpovídá ten, kdo systém provozuje.
Jak se chránit?
Prevence je z právního i ekonomického hlediska vždy výhodnější než řešení následků.
Technická a procesní opatření
Základem je soulad s novým zákonem o kybernetické bezpečnosti nebo standardem ISO/IEC 27001. To zahrnuje řízení rizik, zálohování, šifrování, vícefaktorové ověřování a pravidelné penetrační testy.
Důležitá je ochrana proti sociálnímu inženýrství a phishingu, které jsou vstupní branou pro většinu útoků. Zaměstnanci musí být pravidelně školeni.
Právní opatření (Legal Compliance)
Právní ochrana spočívá v připravenosti:
- Smluvní ošetření
- Interní směrnice
- Incident Response Plan
Monitoring a reporting
Podle nového zákona o kybernetické bezpečnosti mají regulované subjekty povinnost hlásit významné incidenty NÚKIB. První hlášení (včasné varování) musí proběhnout do 24 hodin od zjištění incidentu.
Právníci z ARROWS advokátní kanceláře pomáhají klientům nastavit procesy tak, aby tyto lhůty zvládli a vyhnuli se sankcím za neohlášení incidentu.
Co vám hrozí a jak pomáhá ARROWS
|
Rizika a sankce |
Jak pomáhá ARROWS (office@arws.cz) |
|
Kybernetický útok a ztráta dat: Ransomware, hacking nebo DDoS útok, který vyřadí firmu z provozu a způsobí ztrátu dat. Riziko pokut od ÚOOÚ (GDPR) a NÚKIB. |
Právní podpora v reálném čase. Pomůžeme s hlášením incidentu regulátorům (NÚKIB, ÚOOÚ) ve stanovených lhůtách a s minimalizací právních škod. |
|
Porušení nového zákona o kybernetické bezpečnosti (NIS2): Pokuta až 10 mil. EUR nebo 2 % obratu. Odpovědnost managementu za škodu. |
Provedeme audit připravenosti, připravíme bezpečnostní dokumentaci a pomůžeme nastavit procesy řízení rizik tak, aby vyhověly zákonu. |
|
Porušení AI Act – nelegální manipulace nebo neoznačení deepfakes: Pokuta až 35 mil. EUR nebo 7 % obratu. Riziko zákazu činnosti. |
Připravíme interní směrnici pro bezpečné využívání AI ve firmě. Posoudíme, zda vaše AI nástroje spadají do vysoce rizikových kategorií a zajistíme soulad s AI Act. |
|
Osobní odpovědnost vedení (péče řádného hospodáře): Riziko náhrady škody vůči společnosti v případě kybernetického incidentu z důvodu zanedbání prevence. Pozastavení výkonu funkce. |
Vysvětlíme vedení jejich povinnosti dle nového zákona a pomůžeme nastavit systém kontroly, který je ochrání před osobní odpovědností. |
|
Autorská a majetková práva – plagiát AI obsahu: Žaloby na porušení autorských práv či nekalou soutěž. |
Zkontrolujeme licenční podmínky používaných nástrojů a nastavíme pravidla pro nakládání s výstupy AI. |
Závěr článku
Elektronická válka a AI přinášejí reálná rizika, která mohou ohrozit existenci firmy. Legislativa, jako je nový zákon o kybernetické bezpečnosti a AI Act, dává státu silné nástroje k vymáhání pravidel. Ignorování těchto povinností může vést k likvidačním pokutám a osobní odpovědnosti vedení.
Právníci z ARROWS advokátní kanceláře se specializují na právo informačních technologií a kybernetickou bezpečnost. Chcete mít jistotu, že vaše firma splňuje požadavky NIS2 a AI Act? Napište nám na office@arws.cz a domluvme si konzultaci.
FAQ – Nejčastější právní dotazy k elektronické válce a AI
1. Jaká je právní odpovědnost mé firmy, pokud nás napadne hacker a ukradne data zákazníků?
Pokud prokážete, že jste měli zavedena přiměřená technická a organizační opatření, riziko sankce se výrazně snižuje. Pokud jste však zabezpečení zanedbali, hrozí vám pokuta od ÚOOÚ a od NÚKIB, plus povinnost nahradit škodu dotčeným osobám.
2. Musím jako jednatel osobně ručit za kybernetickou bezpečnost?
Nový zákon o kybernetické bezpečnosti vyžaduje, aby statutární orgány schvalovaly opatření k řízení rizik a dohlížely na ně. Pokud tuto povinnost zanedbáte a firmě vznikne škoda, odpovídáte za tuto škodu z titulu porušení péče řádného hospodáře.
3. Jaké sankce hrozí, pokud poruším AI Act?
Sankce jsou odstupňované dle závažnosti. Za používání zakázaných praktik AI hrozí pokuta až 35 mil. EUR nebo 7 % obratu. Za porušení povinností u vysoce rizikových systémů až 15 mil. EUR nebo 3 % obratu.
4. Co je to "deep fake" a je to legální?
Vytvoření deep fake není samo o sobě nelegální, ale dle AI Act musí být takový obsah jasně označen jako uměle vytvořený. Pokud je deep fake použit k podvodu, pomluvě nebo diskreditaci, jedná se o protiprávní jednání a trestný čin.
5. Můžu se bránit DDoS útoku protiútokem?
Ne. Aktivní protiútok je v ČR trestným činem neoprávněného přístupu k počítačovému systému. Legální je pouze pasivní obrana a spolupráce s orgány činnými v trestním řízení.
6. Jaký je rozdíl mezi dezinformacemi a nelegálním obsahem?
Nelegální obsah musí platformy mazat. Dezinformace nemusí být vždy trestné, pokud nenaplňují skutkovou podstatu.
Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je proto nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme žádnou odpovědnost za případné škody či komplikace vzniklé samostatným užitím informací z tohoto článku bez naší předchozí individuální právní konzultace a odborného posouzení. Každý případ vyžaduje řešení na míru, proto nás neváhejte oslovit.
Čtěte také
- Kybernetická bezpečnost, hackování dronů a odpovědnost za škodu
- Integrace satelitních dat a AI pod vojenským dohledem EU/NATO
- Autonomní drony v městském prostředí a ochrana civilistů
- Role člověka v rozhodovacím cyklu dronů a pravidla ozbrojeného konfliktu
- ARROWS: AI používáme jako standard. Rychleji, přesněji, s odpovědností právníků
- Kontrola webových referencí: Lze zakázat zveřejňování recenzí zákazníků na firemním webu?
- Právníci z ARROWS pomohli propojit svět technologií a obchodu
- Precizní obhajoba ARROWS zastavila trestní stíhání pro údajné zneužití know-how
- IT A SOFTWAROVÉ PRÁVO, KYBERBEZPEČNOST