TrustPay licencia, PCI DSS a bezpečnosť: prečo NBS dohliada nad platobnou bránou
Načítava sa...
Obsah
Tisíc eur v jednej noci a otázka, kto nesie zodpovednosť
O druhej hodine v noci mi telefón vibroval s rozbitou notifikáciou. Klient z minulého roka, ktorému som pomáhal s otázkami okolo TrustPay, písal panicky: „Z účtu mi zmizlo 1 000 eur. Vidím tam vklad u bukmejkéra. Ja som ten vklad nikdy neurobil.“ Druhý deň ráno sme to vyriešili — synovec, ktorý poznal heslo do banking aplikácie, si požičal otcov telefón a urobil sériu vkladov. Pre stávkové účely. Ale ten okamih panického telefonátu bol klasická situácia, na ktorú TrustPay a banková regulácia odpovedajú spolu — kto nesie zodpovednosť, keď platba pre vás bola vykonaná z vášho účtu, ale bez vášho vedomého súhlasu.
Bezpečnosť pri TrustPay vkladoch nie je jeden mechanizmus. Sú to štyri vrstvy, ktoré pracujú súčasne. Licencia od regulátora (Trust Pay, a.s. má licenciu platobnej inštitúcie od Národnej banky Slovenska a je priamym členom VISA Europe a Mastercard). Technické štandardy ako PCI DSS Level 1. Autentifikačné mechanizmy ako 3D Secure 2 a silná autentifikácia podľa PSD2. A regulačné rámce ako AML, KYC, IBAN Name Check.
Pre väčšinu hráčov sú tieto vrstvy neviditeľné — fungujú v pozadí. Ale keď niečo zlyhá — keď príde podozrivá transakcia, keď vám zablokujú vklad pri pochybení v Verification of Payee, keď vám platba „zmizne“ v prevodovom flow — práve poznanie týchto vrstiev je rozdiel medzi panikou a kontrolou nad situáciou. V tomto sprievodcovi rozoberiem každú zo štyroch vrstiev — od regulátorského kontextu cez technické štandardy po praktický postup pri zlyhaní.
Slovenský platobný a stávkový trh je dnes v polohe, kde regulačná ochrana hráča je jedna z najsilnejších v EÚ. Od januára 2026 sa Úrad pre reguláciu hazardných hier stal hlavným orgánom dohľadu nad ochranou spotrebiteľa v oblasti hazardných hier — a TrustPay ako platobná inštitúcia podlieha samostatne dohľadu Národnej banky Slovenska. Hráč je teda chránený dvomi paralelnými kanálmi: bukmejkér zodpovedá za jednu stranu transakcie, TrustPay za druhú.
Licencia od Národnej banky Slovenska a čo to znamená v praxi
„Predpokladáme, že rast online hazardných hier bude pokračovať aj naďalej. Je to prirodzený dôsledok technologického pokroku, dostupnosti výkonných smartfónov a prakticky neobmedzeného prístupu k internetu.“ Libuša Baranová, generálna riaditeľka Úradu pre reguláciu hazardných hier, vyslovila tieto slová vo februári 2026 v kontexte novej štatistickej správy. Pre TrustPay a NBS to znamená rastúcu zodpovednosť — viac vkladov, vyššie sumy, viac potenciálnych pochybení v kontrolných mechanizmoch.
Národná banka Slovenska (NBS) je centrálnou bankou Slovenskej republiky a od roku 2009 plní aj úlohu integrálneho regulátora finančného trhu. Pre platobné inštitúcie ako Trust Pay, a.s. má NBS dve hlavné úlohy: udeľovanie licencie a priebežný dohľad. Trust Pay získala licenciu platobnej inštitúcie od NBS po splnení podmienok smernice EÚ pre platobné služby (PSD pre prvú generáciu, PSD2 — Smernica EÚ 2015/2366 — pre súčasnú).
Čo to v praxi znamená pre slovenského hráča? Po prvé, Trust Pay musí spĺňať minimálne kapitálové požiadavky. Pre platobnú inštitúciu typu Trust Pay je to základný kapitál vo výške najmenej 125 000 eur podľa európskej regulácie, plus dodatočné požiadavky podľa veľkosti spracúvaných objemov. Trust Pay, a.s. v poslednej zverejnenej účtovnej závierke vykázala zisk 11,037 milióna eur, tržby 41,325 milióna eur a aktíva 14,036 milióna eur — finančne stabilná spoločnosť, ktorá nepredstavuje riziko zlyhania v krátkodobom horizonte.
Po druhé, NBS pravidelne kontroluje, či Trust Pay dodržiava regulačné štandardy. Tieto kontroly zahŕňajú audit AML postupov (proti praniu peňazí), KYC procesov (poznaj svojho zákazníka), kybernetickej bezpečnosti, ochrany osobných údajov v zmysle GDPR. Pri porušení môže NBS uložiť pokuty alebo dočasne pozastaviť činnosť. Za desaťročie pôsobenia Trust Pay nie sú verejne známe závažné regulatórne sankcie — čo je signál stabilnej dodržiavania predpisov.
Po tretie, hráč ako spotrebiteľ má v prípade sporu s Trust Pay možnosť obrátiť sa na NBS so sťažnosťou. NBS nemá síce právomoc rozhodnúť individuálne spory (na to je súd alebo finančný arbiter), ale môže iniciovať kontrolu, ak sa sťažnosti opakujú. Pre rad ústnu reklamáciu je toto silný nástroj — Trust Pay vie, že každá hráčska sťažnosť, ktorá sa eskaluje na NBS, sa zaznamenáva.
Trust Pay sídli na adrese Za kasárňou 315/1, Bratislava (IČO 36865800). Spoločnosť je súčasťou skupiny WEBY GROUP, slovenského technologického konglomerátu. Geografické pôsobenie zahŕňa 14 krajín pre okamžité bankové prevody (Bulharsko, Česko, Dánsko, Estónsko, Fínsko, Grécko, Chorvátsko, Litva, Lotyšsko, Maďarsko, Nórsko, Rumunsko, Slovensko, Slovinsko, Švédsko) a 43 krajín pre kartové platby. Pre slovenského hráča je dôležité, že Trust Pay je domácou spoločnosťou pod dohľadom domáceho regulátora — v prípade sporu nemusíte komunikovať s zahraničným úradom.
Posledná dôležitá vec o NBS dohľade. NBS spolupracuje s Európskou centrálnou bankou (ECB) a Európskym orgánom pre cenné papiere a trhy (ESMA) pri stanovovaní jednotných štandardov pre platobné inštitúcie v eurozóne. Trust Pay teda nepodlieha len slovenským pravidlám, ale aj európskemu regulačnému rámcu — vrátane požiadavky na okamžité SEPA platby (SEPA Instant), ktoré museli všetky banky eurozóny začať prijímať od 9. januára 2025 a odosielať od 9. októbra 2025.
PCI DSS Level 1: prečo je to viac ako len skratka v päte stránky
Pamätám si, ako mi v 2018 jeden klient z IT odboru poslal screenshot päty TrustPay stránky s otázkou: „Čo znamená to PCI DSS Level 1?“ Pre laika to vyzerá ako jedna z mnohých skratiek, ktoré spoločnosti dávajú do päty pre dôveryhodnosť. Pre niekoho z bezpečnostnej brandže je to však veľmi konkrétna kategória — najvyššia úroveň súladu so štandardom Payment Card Industry Data Security Standard, ktorá platí pre operátorov spracúvajúcich viac ako 6 miliónov kartových transakcií ročne.
PCI DSS je sada bezpečnostných požiadaviek, ktoré stanovili spoločne Visa, Mastercard, American Express, Discover a JCB v roku 2004. Cieľ: zjednotiť ochranu kartových údajov v celom platobnom ekosystéme. Štandard má 12 hlavných požiadaviek, ktoré pokrývajú sieťovú bezpečnosť, ochranu kartových údajov, riadenie zraniteľností, riadenie prístupu, monitorovanie sietí a bezpečnostnú politiku.
Existujú štyri úrovne PCI DSS súladu, podľa objemu spracúvaných transakcií. Level 4 pre obchodníkov pod 20 000 transakcií ročne (najmenej prísne). Level 3 pre 20 000 až 1 milión transakcií. Level 2 pre 1 až 6 miliónov transakcií. Level 1 — najvyššia úroveň — pre operátorov nad 6 miliónov transakcií ročne, kde sa vyžaduje každoročný externý audit certifikovaným QSA (Qualified Security Assessor) audítorom plus pravidelné penetračné testy a sieťové scany.
Trust Pay má PCI DSS Level 1 certifikáciu, čo znamená, že každoročne prechádza nezávislou kontrolou bezpečnosti spracúvania kartových údajov. Pre hráča to v praxi prináša tieto garancie. Po prvé, kartové údaje, ktoré zadávate pri TrustCarde alebo pri kartovom flow cez Trust Pay, sú skladované v zašifrovanom prostredí podľa najprísnejších štandardov. Po druhé, pri prenose údajov sa používa TLS šifrovanie s aktuálnymi kryptografickými algoritmami. Po tretie, prístupy k údajom sú segregované — interní zamestnanci Trust Pay nemajú priamy prístup k vašim kartovým údajom v plnom tvare.
Pre TrustPay flow ako iniciátor platby (PIS — Payment Initiation Service podľa PSD2) je dôležité, že kartové údaje cez TrustPay flow neprechádzajú vôbec. Pri vklade cez okamžitý bankový prevod nevidíte ani nezadávate kartu — flow ide cez vašu banku, ktorá má vlastné PCI DSS opatrenia. Trust Pay zachytáva len IBAN, sumu a transakčné údaje, ktoré v zásade neobsahujú kartové dáta. To znamená, že pre TrustPay vklad cez okamžitý prevod má PCI DSS marginálny význam — relevantné je to pri TrustCard a kartových platbách.
Otázka, ktorá sa občas vynára: „Ak je PCI DSS taký prísny, prečo sa občas dejú data breach v platobných systémoch?“ Odpoveď: PCI DSS rieši základné požiadavky, ale neeliminuje ľudské zlyhania a sociálne inžinierstvo. Ak útočník presvedčí zamestnanca, aby otvoril phishing e-mail, alebo ak hráč zadá údaje na podvrhnutej stránke, PCI DSS to nemôže zachytiť. To je dôvod, prečo sú dôležité aj ďalšie vrstvy — autentifikácia (3DS), monitorovanie podozrivých transakcií (AML/AFD systémy), edukácia hráčov.
Ak sa o detailnejších technických aspektoch 3D Secure overenia chcete dozvedieť viac, napísal som k tomu samostatný článok o postupe 3D Secure overenia.
3D Secure autentifikácia: jeden krok, ktorý oddeľuje vás od cudzích rúk
Pri prvom raze, keď som videl, ako 3D Secure 2 zachytí podvod naživo, bola to scéna, ktorá vyzerala ako z trileru — len pre laika. V skutočnosti šlo o klientku, ktorej niekto pri kúpe na medzinárodnom e-shope odpočúval kartové údaje. Keď útočník skúsil vklad k bukmejkérovi, banka 3DS overenie zaslala na klientkin telefón. Klientka obdržala SMS s kódom, ktorý neočakávala — a celé to zastavila jedným ignorom. Útočník zostal s 16-cifrovým číslom, ale bez prístupu k druhému faktoru. Tento drobný moment je presne to, čo PSD2 a SCA (Strong Customer Authentication) majú zachytiť.
3D Secure (3DS) je autentifikačný protokol pre online kartové platby, ktorý vyžaduje druhý faktor overenia okrem samotnej karty. V prvej generácii (3DS 1.0) sa používali pevne nastavené heslá alebo SMS kódy. V druhej generácii (3DS 2.0 a 2.2), ktorá je dnes štandardom, sa overenie môže diať cez biometrickú autentifikáciu, push notifikácie v banking aplikácii, alebo SMS s OTP (one-time password).
Pre TrustPay flow je 3DS dôležitý v dvoch kontextoch. Po prvé, pri TrustCarde — virtuálnej karte vystavenej cez Trust Pay — sa používa 3DS pri každej kartovej platbe nad zákonom stanovenou hranicou (typicky 30 eur, podľa konkrétnej krajiny môže byť odlišné). Po druhé, pri kartových platbách iniciovaných cez Trust Pay platobnú bránu — keď bukmejkér používa Trust Pay ako spracovateľa kartových transakcií, 3DS sa zapína podľa rovnakých pravidiel.
V skutočnosti pre TrustPay flow cez okamžitý bankový prevod sa 3DS nepoužíva — nahrádza ho silná autentifikácia (SCA) podľa PSD2 v rámci samotného banking flow. Vy sa do banking aplikácie prihlasujete biometriou alebo PIN-om, schvaľujete platbu opäť biometriou. To spĺňa SCA požiadavky bez nutnosti samostatného 3DS kroku.
Praktické otázky, ktoré dostávam pri 3DS. „Prečo niekedy 3DS nepýta SMS kód?“ Pretože 3DS 2.0 podporuje „frictionless flow“ — keď banka vyhodnotí, že riziko je nízke (napríklad opakovaná transakcia z toho istého zariadenia, IP adresy, suma v rámci bežných hodnôt), môže autentifikáciu preskočiť. Pre hráča to znamená rýchlejší vklad. Pre podvodníka to znamená problém — pokus o transakciu z neznámeho zariadenia/IP/krajiny vyvolá explicitné 3DS overenie.
Druhá častá otázka: „Funguje 3DS aj v zahraničí?“ Áno. 3DS je medzinárodný štandard a vaša banka pošle overovaciu SMS alebo notifikáciu cez medzinárodnú infraštruktúru. Praktické úskalie: ak ste v krajine s nestabilným signálom alebo bez roamingu, SMS nemusí prísť. Riešenie: aktívujte si push notifikácie v banking aplikácii pred cestou do zahraničia — fungujú cez wifi.
Tretia otázka: „Čo robiť, keď 3DS overenie zlyhá viackrát po sebe?“ Najprv počkajte 5 minút. Banky majú nastavené ochranné mechanizmy, ktoré pri viacerých zlyhaniach v krátkom čase dočasne zablokujú kartu pre online platby. Po 5 minútach sa zámok typicky uvoľní. Ak nie, kontaktujte banku. Toto je výnimočná situácia, ale stáva sa.
AML a KYC pri stávkovaní: prečo je úrad zvedavejší ako rodinný priateľ
„Prekročenie hranice dvadsaťtisíc samovylúčení potvrdzuje funkčnosť a opodstatnenosť tohto kľúčového regulačného nástroja. Pre úrad je to signál, že občania vnímajú samovylúčenie ako dostupnú a efektívnu formu prevencie.“ Jana Mravíková, vtedajšia generálna riaditeľka ÚRHH, hovorila v júni 2025 o Registri vylúčených osôb. Jej slová sa týkajú zodpovedného hrania, ale rovnaký regulačný princíp sa vzťahuje aj na AML a KYC: úrad vie viac, ako si hráči myslia.
AML (Anti-Money Laundering) a KYC (Know Your Customer) sú dva regulačné rámce, ktoré spolu zabezpečujú, že platobný a stávkový trh nie je využívaný na pranie peňazí, financovanie terorizmu alebo iné nezákonné aktivity. Pre slovenského hráča, ktorý vkladá zo svojho účtu cez TrustPay do licencovaného bukmejkéra, je vplyv AML a KYC v praxi minimálny — niekoľko dokladov pri registrácii a občasná aktualizácia údajov. Pre niekoho, kto prekročí určité limity sumárneho objemu vkladov, sa kontroly stávajú intenzívnejšie.
KYC pre stávkovú kanceláriu vyzerá takto. Pri registrácii zadávate meno, dátum narodenia, adresu, kontakt. Bukmejkér si tieto údaje overí v databáze obyvateľov SR a v Registri vylúčených osôb. Ak ste plnoletý a nie ste v RVO, registrácia prebehne. Pri prvom vklade nad určitú sumu (typicky 1 000 alebo 2 000 eur) bukmejkér môže požiadať o doplňujúce doklady — kópiu občianskeho preukazu, fotografiu hráča s občiankou, výpis z bankového účtu pre potvrdenie pôvodu peňazí.
TrustPay zo svojej strany robí KYC na úrovni obchodníka (bukmejkéra), nie hráča. Trust Pay overuje, že bukmejkér má platnú licenciu na prevádzku stávkovej kancelárie, že má reálne sídlo, že má zodpovedné osoby, ktoré nie sú v sankčných zoznamoch. Pre hráča to znamená, že keď vkladáte cez TrustPay, viete, že na druhej strane je preverený, regulovaný subjekt — nielen anonymná webstránka.
AML monitorovanie funguje na úrovni TrustPay aj na úrovni bukmejkéra. TrustPay sleduje vzory vkladov — neobvyklé sumy, neobvyklé kombinácie geografií, opakované vklady z toho istého IBAN-u na rôznych bukmejkérov. Bukmejkér sleduje vlastné vzory — ako rýchlo hráč vkladá vyššie sumy po registrácii, ako často mení banky odosielateľa, ako súvisia jeho výhry/prehry s vkladmi.
Praktický dopad pre slovenského hráča. Ak vkladáte pravidelne menšie sumy (do 200 eur na transakciu) z jedného účtu k jednému alebo dvom bukmejkérom, AML systémy vás úplne ignorujú. Ak začnete vkladať veľké sumy (5 000 eur a viac za týždeň) alebo zmeníte vzor (zo 100 eur týždenne na 5 000 eur denne), môžete dostať e-mail s požiadavkou na doplňujúce KYC dokumenty. Toto nie je obvinenie — je to štandardný postup, ktorý vám zaberie 10 až 15 minút.
Posledný kontextový údaj. Bukmejkéri a TrustPay sú povinní hlásiť podozrivé transakcie Finančnej spravodajskej jednotke (FSJ) na Ministerstve vnútra. Pri pochybnostiach o pôvode peňazí sa môže transakcia dočasne pozastaviť. Tieto situácie sú výnimočné a týkajú sa skôr profesionálnych podvodníkov ako bežných hráčov. Pre vás ako rekreačného alebo serióznejšieho hráča je AML neviditeľný, kým nezačnete robiť niečo, čo vyzerá podozrivo.
Šifrovanie a tokenizácia: ako sa údaje rozkladajú na neužitočné fragmenty
Predstavte si, že máte krabicu s 16 čiarami čísel — vašu kartu. Útočník vám tú krabicu chce ukradnúť. V tradičnom systéme by ju mohol zobrať a okamžite použiť. V tokenizovanom systéme by zobral 16 čísel, ktoré sú síce čísla — ale nedajú sa použiť. Lebo nie sú vaše. Sú to „tokeny“, náhradné identifikátory, ktoré pre obchodníka reprezentujú vašu kartu, ale pre útočníka znamenajú nič — ide len o dáta, ktoré sa po krádeži z databázy nedajú použiť na získanie peňazí.
Tokenizácia je jednou z dvoch hlavných ochranných vrstiev pri TrustPay flow. Keď zaregistrujete kartu v systéme TrustPay (typicky pri prvom použití TrustCard alebo pri opakovanej kartovej platbe cez TrustPay platobnú bránu), systém vytvorí jedinečný token, ktorý nahrádza vaše skutočné kartové údaje v databáze obchodníka. Pri ďalšej platbe obchodník odošle TrustPay token spolu so sumou. TrustPay tento token premapuje na vaše skutočné kartové údaje (uložené v Trust Pay zabezpečenom prostredí) a transakciu spustí.
Pre obchodníka (bukmejkéra) je toto výhoda — nemusí chrániť vaše kartové údaje, pretože ich nemá. Ak by mal data breach, útočník získa len tokeny, ktoré sú nepoužiteľné mimo TrustPay infraštruktúry. Pre vás je to ochrana pred dôsledkami obchodníckych zlyhaní.
Druhou vrstvou je šifrovanie pri prenose. Všetky komunikácie medzi vašim prehliadačom, bukmejkérom a TrustPay servermi prechádzajú cez TLS (Transport Layer Security) protokol. TLS je nástupca SSL a dnes sa používa vo verzii 1.3, ktorá poskytuje silné kryptografické algoritmy (AES-GCM, ChaCha20-Poly1305) na zašifrovanie každej komunikácie. Pri vklade cez TrustPay teda váš banking flow, vaše údaje, suma — všetko ide cez kanál, ktorý odpočúvajúci útočník nedokáže rozlúštiť bez nesmiernych výpočtových kapacít.
Treťou ochrannou vrstvou je segmentácia údajov. V TrustPay infraštruktúre sa údaje nezdielajú medzi všetkými internými systémami — sú segregované podľa princípu „least privilege“. Zamestnanec, ktorý spravuje obchodnícky portál, nemá prístup k spracovaniu kartových údajov. Zamestnanec, ktorý robí AML monitorovanie, nemá prístup k kontu hráča v plnom tvare. To znamená, že aj v prípade interného úniku sa útočník dostane len k obmedzenej časti dát.
Štvrtou ochrannou vrstvou — a tú často nikto nespomína — je geografická redundancia. TrustPay dátové centrá sú v Slovensku a v zálohových lokáciách, ktoré spĺňajú regulačné požiadavky pre uchovávanie údajov v EÚ (GDPR). Ak by jedno dátové centrum bolo nedostupné kvôli technickej alebo prírodnej udalosti, druhé prevezme prevádzku v rámci minút. Pre hráča to znamená, že platobná infraštruktúra je odolná voči lokálnym výpadkom.
Praktický záver. Ako hráč nemusíte rozumieť technickým detailom šifrovania a tokenizácie. Stačí vedieť, že TrustPay flow je technicky chránený štyrmi vrstvami a že vaše kartové údaje sa pri vklade cez okamžitý prevod do databázy bukmejkéra ani neodosielajú — ide len token alebo IBAN. Pri samostatnom kartovom flow cez TrustPay sa údaje tokenizujú. Pri TrustCarde sú údaje od začiatku na strane Trust Pay — bukmejkér ich nikdy nevidí v plnom tvare.
Podozrivá transakcia, ktorú ste neautorizovali: postup v prvých sekundách
Vrátim sa k príbehu zo začiatku. Klient s podozrivou transakciou 1 000 eur, ktorú nikdy nespustil. V skutočnosti to bola synovcova hra so stávkami, ale to sme zistili až ráno. V noci, keď klient písal panický telefón, sme prešli postupom, ktorý odporúčam každému, kto si všimne neautorizovanú transakciu na svojom účte. Prvé sekundy a minúty sú kritické — čím rýchlejšie reagujete, tým vyššia je šanca, že peniaze získate späť.
Krok jedna: okamžite zablokujte kartu alebo banking aplikáciu. Toto je v dnešnej dobe otázka jedného-dvoch klikov v aplikácii vašej banky. Tatra banka má v aplikácii položku „Zablokovať kartu“, ČSOB tiež, SLSP George má „Stop platby“. Pri TrustPay vklade cez okamžitý prevod môže byť dôležitejšie zablokovať banking aplikáciu — útočník, ktorý získal prístup, môže pokračovať vo vkladoch. Heslo zmeňte, biometriu reštartujte cez webový internet banking.
Krok dva: kontaktujte banku. Slovenské banky majú 24/7 zákaznícku linku pre prípad straty alebo podozrivej transakcie. Tatra banka 0800 800 700, ČSOB 0850 111 777, SLSP 0850 111 888, VÚB 0850 123 000. Cieľ tohto hovoru: nahlásiť transakciu ako neautorizovanú a iniciovať reklamačný proces. Banka okamžite zaznamená tiket a začne vyšetrovanie.
Krok tri: kontaktujte bukmejkéra. Ak transakcia smerovala k bukmejkérovi, zatelefonujte alebo napíšte tomu konkrétnemu (Tipsport, Niké, Fortuna). Žiadajte zmrazenie hráčskeho účtu a vrátenie vkladu. Bukmejkéri sú pri overených podozrivých transakciách kooperatívni — pre nich je v záujme rýchlo vyriešiť situáciu, aby si nezhoršili reputáciu.
Krok štyri: kontaktujte TrustPay (Trust Pay, a.s., kontaktné údaje sú dostupné na ich oficiálnej webstránke). Hoci TrustPay primárne komunikuje s obchodníkmi, pri sporných transakciách môže poskytnúť dodatočné informácie pre bankovú reklamáciu. Pri zložitejších prípadoch je toto cestou k získaniu detailov o transakcii.
Krok päť: ak transakcia dosiahla výšku, ktorá vyžaduje formálne hlásenie, podajte trestné oznámenie na polícii. Pre sumy v rádoch stoviek eur to nie je nevyhnutné, ale pre vyššie sumy alebo pri dôvodnom podozrení na cudziu manipuláciu áno. Trestné oznámenie aktivuje policajné vyšetrovanie a môže viesť k identifikácii útočníka — ak útočník nie je len rodinný príslušník.
Časový rámec na reklamáciu. Pri kartovej platbe máte v zmysle PSD2 právo na reklamáciu do 13 mesiacov od transakcie. Pri TrustPay vklade cez okamžitý prevod je situácia komplikovanejšia, lebo „okamžitý prevod“ je v zmysle predpisov „nepopierateľne autorizovaná platba“. Reklamácie tu sú možné len pri dôkazoch o prelomení autentifikácie (napríklad, že vaša banking aplikácia bola hacknutá). Banky pri takýchto prípadoch obvykle vyšetrujú 30 až 90 dní.
Posledné odporúčanie z mojej praxe. Aktivujte si v banking aplikácii notifikácie pre každú transakciu nad určitú sumu (napríklad 50 eur). Ja mám notifikáciu na každú transakciu nad 10 eur — chvíľami otravné, ale rozdiel medzi rýchlou reakciou (do minúty) a omeškanou reakciou (po dňoch) môže byť ekvivalentom všetkých peňazí, ktoré stratíte alebo získate späť.
IBAN Name Check a regulácia VoP: tichá zmena, ktorá od októbra 2025 mení každý prevod
Šiesteho októbra 2025, v pondelok ráno, sa môj kalendár plnil zaslanými e-mailami. „Tipsport mi nechce prijať vklad.“ „Z Niké hodiny prišiel divný status.“ „Fortuna mi vrátila peniaze, ale nepovedala prečo.“ Všetky e-maily mali jeden spoločný menovateľ — boli reakcia na zavedenie IBAN Name Check (Verification of Payee, VoP) v rámci Regulácie EÚ 2024/886, ktorá prinášala povinnosť bankám overovať zhodu mena príjemcu s IBAN-om pri okamžitých prevodoch. Slovenský trh sa s týmto musel zladiť doslova zo dňa na deň.
Verification of Payee (VoP) je tichá technická zmena, ktorá od októbra 2025 mení každý okamžitý prevod v eurozóne — vrátane TrustPay vkladov k bukmejkérom. Princíp: predtým, než sa platba spustí, banka odosielateľa pošle dotaz na banku príjemcu — „patrí tento IBAN k tomuto menu?“ Banka príjemcu odpovie „Match“, „Close Match“ alebo „No Match“. Pri „Match“ platba prechádza bez prerušenia. Pri „Close Match“ sa platba zastaví a hráč vidí varovanie. Pri „No Match“ sa platba neuskutoční vôbec.
Pre slovenského hráča pri TrustPay vklade do bukmejkéra to v praxi znamená nasledovné. Pri prvom vklade po 8. októbri 2025 vaša banka vykonala dotaz na banku bukmejkéra (alebo na banku Trust Pay, ako sprostredkovateľa), aby overila, či meno bukmejkéra (alebo Trust Pay merchant účtu) zodpovedá IBAN-u. V 99 percentách prípadov to bolo „Match“ a vy ste si nič nevšimli. V tých pár percentách, kde bola nezhoda, ste videli varovanie alebo zlyhanie.
Hlavné prípady nezhody. Po prvé, technický nesúlad v evidencii bukmejkéra a banky — typicky pri zmene právnej formy alebo aktualizácii údajov v obchodnom registri. Toto sú prechodné problémy, ktoré sa typicky vyriešia za pár dní. Po druhé, nezhoda v písaní bukmejkérových názvov — napríklad „Tipsport SK, a.s.“ vs. „Tipsport SK a.s.“ (rozdiel v čiarke pred a.s.). Algoritmy VoP majú toleranciu pre drobné rozdiely, ale nie vždy.
Verejne menej viditeľný, ale pre hráča dôležitejší prípad: nezhoda mena samotného hráča pri spätnom prevode (výber). Toto sa hráča týka, keď bukmejkér vám posiela výhry späť na váš IBAN. Ak má bukmejkér vo svojom systéme váš účet pod menom „Ján Novák“, a vy máte u banky „Ján Pavol Novák“, pri VoP kontrole sa môže objaviť „Close Match“ a banka pošle varovanie. Vklad späť prebehne, ale s upozornením.
Praktické odporúčania pre situácie, kde VoP zlyhá. Po prvé, skontrolujte, že máte u bukmejkéra zaregistrovaný presne ten istý tvar mena, aký máte v banke. Druhé meno, diakritika, manželské meno — všetko musí súhlasiť. Po druhé, ak vidíte zlyhanie pri prvom vklade, kontaktujte podporu bukmejkéra, nie banky — bukmejkér rýchlo aktualizuje váš profil a pri ďalšom pokuse to už prejde. Po tretie, pri opakovaných zlyhaniach môže byť riešením podanie reklamácie u banky a žiadosť o poznámku k vašemu IBAN-u (niektoré banky umožňujú formálne potvrdiť alternatívne mená).
VoP je z dlhodobého hľadiska prínos pre bezpečnosť. Pred zavedením boli časté podvody, kde útočník nasmeroval hráča, aby poslal peniaze na podvodný IBAN s krycím menom. Po VoP sa takéto podvody zachytia v reálnom čase. Pre legitímnych hráčov je dôsledok len administratívna disciplína — meno musí súhlasiť všade.
Bezpečnostné otázky, na ktoré som dostal najviac e-mailov
Bezpečnostné otázky majú jednu spoločnú črtu — hráč ich kladie pri prvej skúsenosti s problémom, nie predtým. Tri najčastejšie z mojej praxe.
Čo znamená PCI DSS Level 1 pre TrustPay užívateľa?
V praxi to znamená, že Trust Pay každoročne prechádza nezávislým auditom certifikovaným bezpečnostným audítorom (QSA), ktorý kontroluje 12 hlavných oblastí ochrany kartových údajov. Pre vás ako hráča to znamená najvyššiu úroveň ochrany pri TrustCarde a kartových platbách cez Trust Pay platobnú bránu — kartové údaje sú uložené v zašifrovanom prostredí a obchodník ich nemá k dispozícii v plnom tvare.
Ako funguje IBAN Name Check pri okamžitých prevodoch od októbra 2025?
Pred každým okamžitým prevodom banka odosielateľa odošle automatický dotaz banke príjemcu — či zadané meno príjemcu zodpovedá IBAN-u. Pri zhode platba prechádza, pri čiastočnej zhode dostanete varovanie, pri nezhode platba neprechádza. Pri TrustPay vkladoch sa to týka aj situácie, keď bukmejkér posiela výhry späť na váš účet — vaše meno musí byť identické s tým, čo máte v banke.
Môžem reklamovať vklad cez TrustPay, ak peniaze nedorazili k bukmejkérovi?
Áno, ale postupom cez bukmejkéra v prvom kroku, banku v druhom a Trust Pay v treťom. Bukmejkér má v 90 percentách prípadov prístup k transakčným údajom a vie spárovanie odblokovať. Banka rieši situácie, keď peniaze opustili váš účet, ale neprišli na účet príjemcu. Trust Pay rieši zložitejšie prípady so spätnou rekonciláciou. Časový rámec reklamácie pre okamžité prevody je v zmysle PSD2 do 13 mesiacov.
Podobné články
TrustPay 3D Secure: ako prebieha overenie cez SMS a banking app
TrustPay mesačný a denný limit vkladu u slovenských bukmejkérov
