Je Trustly bezpečné pro sázení? PSD2, SCA a ochrana dat po česku

Redakce «Trustly Sázení» 8 května, 2026 Doba čtení: 14 min

Trustly nikdy nevidí číslo vaší karty — protože žádnou kartu ve hře nepoužíváte. Platba jde přímo z vašeho bankovního účtu přes zabezpečené API, přičemž vaše bankovní heslo nebo PIN zadáváte výhradně ve svém bankovním prostředí. Sázovka vidí jen potvrzení úspěšné transakce a vaše identifikační data, která banka explicitně předá v souladu s PSD2. To je architektonická bezpečnostní výhoda, které karty ani e-peněženky jednoduše nemohou dosáhnout — a v tomto průvodci vysvětlím přesně proč.

Za devět let práce s platebními metodami jsem analyzoval bezpečnostní incidenty, úniky dat i phishingové kampaně cílené na online hráče. A jeden vzorec se opakoval: zdrojem problémů bylo vždy přenášení platebních dat přes více systémů — karty, e-peněženky, manuální zadávání. Trustly tento vzorec přerušuje. Tím, že platba probíhá přes přímé bankovní připojení bez sdílení platebních přihlašovacích dat, odstraňuje nejčastější vstupní body pro útočníky.

V tomto průvodci rozeberu bezpečnostní model Trustly od základů: jak funguje PSD2 jako regulační základ, co je SCA a proč je silnější než standardní ověření, jaká data Trustly zpracovává a jaká ne, a jak se Trustly srovnává s kartami a e-peněženkami v reálném bezpečnostním kontextu. Jde o faktické vysvětlení pro hráče, kteří chtějí rozumět tomu, co se s jejich penězi a daty děje — nikoliv jen věřit slibu „jsme bezpeční“.

Jak PSD2 dělá z Trustly bezpečnější alternativu karet

PSD2 (Payment Services Directive 2) není marketingový termín — je to evropská právní norma, která od roku 2018 zásadně změnila pravidla pro platební služby. A Trustly je přímo produktem této regulace.

Před PSD2 byl bankovní systém uzavřený. Nikdo jiný než banka a její zákazník k bankovním datům neměl přístup. PSD2 toto pravidlo změnila: banky musejí na žádost zákazníka umožnit licencovaným třetím stranám (TPP — Third Party Providers) přístup k účtu. Trustly je TPP licencovaná Finansinspektionen (švédský finanční regulátor) s evropským passportem licence — to znamená, že je regulovaná v celé EU, včetně Česka.

Co to v praxi znamená pro bezpečnost? Kdykoliv platíte přes Trustly, probíhá toto: vy dáváte bance instrukci (ne Trustly), aby umožnila Trustly iniciovat platbu. Trustly nikdy přístup k vašemu účtu nezíská bez vaší explicitní autorizace v každé jednotlivé transakci. Jedná se o tzv. „consent-based“ model — každý přístup je vázán na konkrétní souhlas v konkrétním okamžiku. Je to bezpečnostní model zásadně odlišný od karet, kde číslo karty — jednou kompromitované — umožňuje opakované neoprávněné transakce.

Trustly je napojena na přes 12 000 bank ve více než 30 zemích. Tento rozsah je sám o sobě bezpečnostní zárukou: platforma ve velkém měřítku musí splňovat přísné technické a compliance standardy, jinak by regulátoři licenci odebrali. Trustly v iGaming sektoru zpracovala v roce 2024 desetitisíce transakcí denně s dostupností infrastruktury 99,95 %. To jsou čísla bankovního prostředí, ne herní platformy.

Olof Wirfelt, Chief Commercial Officer Trustly, to shrnuje jasně: platby A2A (account-to-account) jsou méně náchylné k podvodům než karty, poskytují lepší identifikační data a jsou zpravidla levnější. Za každou z těchto výhod stojí přímý technologický důvod — žádné platební data v tranzitu, ověřená bankovní identita a eliminace zprostředkovatelů.

Pojďme být konkrétní: jak přesně Trustly technicky zajišťuje, že vaše data jsou v bezpečí? Komunikace probíhá přes šifrované TLS kanály na úrovni bankovního standardu. Trustly nepersistuje vaše bankovní přihlašovací údaje — každá session je izolovaná. API volání jsou autentizována na obou stranách (Trustly vůči bance, banka vůči Trustly), což eliminuje možnost man-in-the-middle útoků. A celá architektura je auditována podle ISO 27001 standardu pro bezpečnost informací.

SCA: dvoufaktorové ověření a jak vás chrání

SCA (Strong Customer Authentication — silná autentizace zákazníka) je povinný bezpečnostní standard zavedený PSD2. Říká se mu „dvoufaktorové ověření“ a jde o jeden z nejdůležitějších bezpečnostních mechanismů v online platbách.

SCA vyžaduje kombinaci alespoň dvou z těchto tří faktorů: něco, co znáte (heslo, PIN), něco, co máte (mobilní telefon, token), a něco, čím jste (biometrické ověření — otisk prstu, Face ID). V praxi: přihlásíte se do banky heslem (faktor 1) a potvrdíte platbu v mobilní aplikaci (faktor 2), nebo dostanete SMS kód (faktor 2). Tato kombinace znamená, že ani únik jednoho faktoru nestačí k neoprávněné transakci.

Proč je SCA důležité právě pro sázkové platby? Protože herní platformy jsou historicky cílem phishingových útoků. Útočník, který získá vaše přihlašovací údaje k sázovce (uživatelské jméno a heslo), může při kartové platbě přistoupit k uloženým platebním údajům a iniciovat neoprávněný výběr. U Trustly + SCA toto selhává: přihlášení k sázovce útočníkovi nepomůže — výběr přes Trustly vyžaduje novou bankovní autorizaci, ke které přihlašovací údaje k sázovce nestačí.

Trustly platební infrastruktura dosahuje 99,95% dostupnosti — výpadky jsou výjimečné a krátkodobé. Ale dostupnost a bezpečnost jsou dvě různé věci: SCA je aktivní mechanismus, který chrání každou transakci individuálně. I kdyby Trustly infrastruktura na okamžik selhala, SCA zajišťuje, že žádná neoprávněná transakce nemůže proběhnout.

Jeden praktický tip: pokud vám přijde zpráva (SMS, e-mail) vyzývající k potvrzení transakce přes Trustly, kterou jste sami neiniciovali — tuto zprávu ignorujte a okamžitě kontaktujte svoji banku. SCA je navržena tak, aby k autorizaci vedla pouze transakce, kterou sami zahájíte. Nevyžádané ověřovací požadavky jsou signálem pokusu o phishing nebo neautorizovaný přístup.

Proč je SCA silnější bezpečnostní ochrana než standardní 3D Secure (3DS) u karet? 3DS přidává krok navíc ke kartové platbě, ale stále pracuje s číslem karty jako primárním identifikátorem. U Trustly žádné číslo karty v procesu není — identita je ověřena přihlášením do banky. To je strukturálně jiná úroveň ochrany. Phishingová stránka, která napodobuje Trustly, nemůže ukrást číslo karty (protože žádné nepoužíváte), a ani bankovní heslo (protože ho zadáváte přímo v bance, ne na stránce Trustly).

SCA také zabraňuje jednomu specifickému útoku, který byl historicky problémem u sázovek: „account takeover“ — převzetí sázkového účtu útočníkem. Při kartové platbě platební metoda útočníkovi umožní vložit peníze (ze ukradené karty) a pak je vybrat jinudy. U Trustly každá transakce — vklad i výběr — vyžaduje novou SCA autorizaci. Útočník s přístupem k sázovkovému účtu nemůže iniciovat Trustly transakci bez současného přístupu k bankovnímu telefonu nebo autentizátoru.

Regulace: Finansinspektionen, ČNB a evropský rámec

Trustly není platforma, která vznikla přes noc a může zmizet se stejnou rychlostí. Je to regulovaná finanční instituce s licencí, která podléhá dohledu na nejvyšší úrovni — a to je bezpečnostní fakt, nikoliv marketingový claim.

Trustly Group AB drží licenci jako platební instituce od švédského Finansinspektionen (SFSA). Tato licence je platná v celé EU díky evropskému licenčnímu passportu — technicky to znamená, že Finansinspektionen nese primární regulační odpovědnost za Trustly ve všech státech EU, kde operuje. V ČR Trustly jako platební instituce operuje pod touto licencí a podléhá dohledu České národní banky (ČNB) pro lokální compliance.

Co regulační dohled v praxi znamená? Trustly musí udržovat minimální kapitálové rezervy, podávat pravidelné compliance reporty, procházet externími audity bezpečnostních procesů a splňovat přísné technické standardy pro zpracování plateb. Porušení těchto pravidel by znamenalo odebrání licence — konec podnikání. To je motivace k bezpečnosti, která nemá alternativu.

Trustly v roce 2023 zpracovala přes 56 miliard dolarů v objemu transakcí — a v roce 2024 tento objem vzrostl na 87 miliard dolarů, nárůst o 54 %. Čistý výnos Trustly vzrostl ve stejném roce o 32 % na 239 milionů dolarů. Platforma s takovým objemem nemůže existovat bez nejvyšší úrovně regulační compliance. Každý větší bezpečnostní incident by okamžitě přilákal pozornost regulátorů a mohl by ohrozit licenci. Trustly proto investuje do bezpečnosti na bankovní úrovni — nikoliv protože chce, ale protože to regulace vyžaduje.

Pro srovnání: česká regulace herního trhu je jedna z nejpropracovanějších v Evropě. Zákon o hazardních hrách a jeho novely jasně definují požadavky na platební procesy, AML compliance a zodpovědné hraní. Trustly jako licencovaná platební instituce tyto požadavky splňuje ze své podstaty — KYC je zabudována do platebního procesu, AML kontroly probíhají automaticky a zodpovědné hraní je součástí Pay N Play implementace. Regulace a bezpečnost zde jdou ruku v ruce.

Co Trustly vidí a co ne: ochrana vašich dat

Toto je otázka, na kterou dostávám různé odpovědi od různých lidí — a obvykle plné nepřesností. Pojďme to vyjasnit konkrétně.

Co Trustly vidí: vaše jméno a příjmení (z bankovního záznamu), číslo IBAN vašeho bankovního účtu (pro účely platby), výši transakce a časové razítko, potvrzení od banky o úspěšné autorizaci, a v kontextu Pay N Play i vaši adresu bydliště (pro KYC ověření u operátora).

Co Trustly nevidí: vaše bankovní heslo nebo PIN (zadáváte ho přímo v bankovním rozhraní), historii vašich bankovních transakcí mimo aktuální platbu, zůstatek na účtu (pokud není nezbytný pro ověření pokrytí transakce), jakékoliv platební data karty (žádnou kartu ve hře nemáte).

Co Trustly s vašimi daty dělá: zpracovává je v souladu s GDPR pro účel konkrétní transakce a pro fraud prevention. Data jsou uložena po dobu stanovenou regulací (typicky 5–7 let pro finanční záznamy). Trustly nesmí data prodat třetím stranám pro marketingové účely — to je přímý požadavek GDPR.

Co sázovka vidí prostřednictvím Trustly: jméno hráče, IBAN, potvrzení transakce a — v Pay N Play kontextu — adresu. Sázovka nevidí vaše bankovní heslo ani kompletní bankovní historii. Je to přesně tolik informací, kolik potřebuje pro splnění svých KYC a AML povinností — a nic navíc.

GDPR práva v kontextu Trustly plateb: máte právo požádat Trustly o výpis dat, která o vás uchovává. Máte právo na opravu nesprávných dat. Máte právo na výmaz dat po uplynutí zákonné retenční doby (finanční záznamy musí být uchovávány 5–7 let ze zákona — tato povinnost má přednost před právem na výmaz po tuto dobu). Máte právo vznést námitku proti zpracování dat pro legitimní zájmy Trustly — ale toto právo nelze uplatnit pro zákonně povinné zpracování (jako jsou AML kontroly).

Praktická rada: pokud vás zajímá, jaká data o vás Trustly uchovává, kontaktujte jejich DPO (Data Protection Officer) přes oficiální web. Je to právo zakotvené v GDPR a Trustly jako regulovaná instituce je povinna na tyto žádosti odpovídat v zákonných lhůtách.

Praktické bezpečnostní tipy pro hráče používající Trustly

Teoretická bezpečnost je jedna věc — praktické návyky jsou druhá. Ani nejbezpečnější platební metoda vám nepomůže, pokud vaše bankovní aplikace nemá silné heslo nebo pokud kliknete na phishingový odkaz. Zde jsou konkrétní kroky, které zvyšují vaši bezpečnost při sázení přes Trustly.

Zaprvé: mějte vždy aktuální mobilní aplikaci vaší banky. Aktualizace obsahují bezpečnostní záplaty, které opravují známé zranitelnosti. Banka vydává tyto aktualizace pravidelně a jejich ignorování je jedním z nejčastějších bezpečnostních prohřešků, které hráče vystavují riziku.

Zadruhé: zapněte si biometrické ověření v bankovní aplikaci, pokud to vaše banka podporuje. Biometrie je silnější než PIN kód v kontextu obrany před neoprávněným přístupem — a zároveň je pohodlnější. Při Trustly platbě tak kombinujete pohodlí s bezpečností.

Zatřetí: nikdy neautorizujte Trustly transakci, kterou jste sami neiniciovali. Pokud vám přijde autorizační požadavek ve chvíli, kdy nejste na stránce sázovky a nevkládáte peníze — odmítněte ho a okamžitě kontaktujte banku. Může jít o pokus o podvod.

Začtvrté: pravidelně kontrolujte historii Trustly transakcí v profilu sázovky. Neočekávaná transakce je okamžitý signál k řešení. Čím dříve ji zachytíte, tím snazší je náprava.

A konečně: používejte Trustly výhradně přes oficiální web nebo aplikaci sázovky. Nikdy nezadávejte URL Trustly ručně a nikdy nepřistupujte k Trustly přes odkaz v nevyžádaném e-mailu nebo SMS. Legitimní Trustly platební flow vždy začíná na webu operátora — nikoliv e-mailovým odkazem.

Srovnání: jak je Trustly bezpečnější než kartové platby a e-peněženky

Přímé srovnání bezpečnostních modelů — bez přehánění v jednu ani druhou stranu.

Kartová platba u sázovky: zadáváte číslo karty, datum expirace a CVV kód. Tyto data jsou uložena u operátora (byť šifrovaně). Při úniku dat sázovky jsou tato data potenciálně kompromitována. Útočník s číslem karty může ji používat pro online platby bez fyzické karty. Chargeback ochrana existuje, ale vyžaduje zdlouhavý proces s bankou. Celkové riziko: střední až vysoké při bezpečnostním incidentu na straně operátora.

E-peněženka (Skrill, PayPal): vaše platební data jsou uložena u třetí strany. Přihlašovací údaje k e-peněžence jsou cílem phishingu — útočník s přístupem k e-peněžence má přístup ke všem prostředkům na ní uloženým. Při útoku na e-peněženkový systém jsou ohroženy prostředky všech uživatelů. Celkové riziko: střední — závisí na bezpečnosti e-peněženkové platformy.

Trustly: žádná platební data nezadáváte u operátora ani Trustly. Každá transakce vyžaduje novou bankovní autorizaci prostřednictvím SCA. Útok na sázovku nebo Trustly infrastrukturu nevede k přístupu k bankovnímu účtu. Phishingový útok musí prolomit SCA — tedy přístup k vašemu telefonu i heslu současně. Celkové riziko: nízké, vyžaduje kompromitaci na straně banky, která je ze všech systémů nejlépe chráněna.

Je Trustly bezpečnější než karty a e-peněženky pro online sázení? Ano — a není to blízké. Architektura přímého bankovního připojení bez tranzitu platebních dat je strukturálně odolnější vůči nejčastějším typům útoků na herní platformy. To neznamená, že Trustly je 100% bezpečné — nic takového neexistuje. Ale v kontextu reálných hrozeb v online sázení je to dnes nejbezpečnější dostupná metoda pro průměrného hráče.

Závěrečný pohled z perspektivy regulace: GamblingIQ, londýnská analytická agentura zaměřená na herní průmysl, v roce 2024 vyhodnotila Trustly jako nejvýznamnějšího poskytovatele open banking plateb v iGaming sektoru — s důrazem právě na bezpečnostní parametry a compliance s regulatorními požadavky. Hodnocení vycházelo z analýzy technické infrastruktury, bezpečnostních procesů a výsledků v ochraně hráčů. To je nezávislé potvrzení toho, co technická analýza ukazuje i bez marketingového filtru.

Detailní technické srovnání platebních metod a jejich podmínek pro sázení najdete na naší stránce srovnání platebních metod pro sázení.

Vytvořeno redakcí „Trustly Sázení“.