Elektronická válka a AI: Právní limity rušení a klamání

Elektronická válka, AI a právní realita

Zatímco technologie postupují rychle, právní výklad v oblasti mezinárodního práva a ozbrojeného konfliktu je stále předmětem odborných diskusí.

Právní dilema je zásadní: kde je hranice mezi kybernetickou kriminalitou a činností, kterou můžeme klasifikovat jako použití síly? A co když útok není fyzicky ničivý, ale vytváří iluzi prostřednictvím obsahu generovaného AI? Odpovědi nejsou jednoduché, ale pro vaši firmu mohou být kritické.

Kybernetické útoky a jejich právní vymezení

Kybernetické útoky mají různé právní kvalifikace v závislosti na způsobu provedení a následcích. Český trestní zákoník na tyto činy pamatuje, byť vyšetřování bývá komplikované.

DDoS útoky – mezi aktivismem a agresí

DDoS útok je častým nástrojem, který má za cíl zahltit a znepřístupnit cílovou službu. Často jej využívají hacktivistické skupiny k politickým protestům. Ačkoli fyzicky „pouze“ vyřadí server z provozu, právní dopad je závažný.

V českém právu je DDoS útok klasifikován jako trestný čin Neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 trestního zákoníku.

Firmy se často ptají: „Smím na zdroj DDoS útoku zaútočit zpět?“ Odpověď zní ne. Smíte blokovat IP adresy, filtrovat provoz, využívat služby scrubbing center. Aktivní útok na počítače by byl trestným činem, za který by vaše firma a její zaměstnanci nesli odpovědnost.

Ransomware a vydírání v kyberprostoru

Ransomware představuje útok, při kterém pachatelé zašifrují data a požadují výkupné za jejich obnovení. Právní kvalifikace je zde jednoznačná: jde o souběh trestných činů neoprávněného přístupu k počítačovému systému a vydírání.

Pokud jsou útočníci na sankčních seznamech, může platba představovat porušení mezinárodních sankcí nebo financování terorismu. Právníci z ARROWS advokátní kanceláře řeší tyto situace krizově – čas je kritický a rozhodnutí musí padnout rychle, avšak s vědomím všech právních rizik.

Hacking a neoprávněný přístup

Hacking, tedy prolomení ochrany a vniknutí do systému, je trestným činem podle § 230 trestního zákoníku. Trestní sazba může v základní skutkové podstatě činit až čtyři roky odnětí svobody, u organizovaných skupin nebo velkých škod i více.

V praxi dochází k souběhu s dalšími trestnými činy. Pokud hacker data zkopíruje a zneužije, může jít o zneužití záznamu na nosiči informací. Pokud někoho uvede v omyl k obohacení se, jde o podvod.

Právní limity rušení v kyberprostoru

Hranice mezi povoleným a zakázaným se v kyberprostoru prolíná několika právními odvětvími – od trestního práva přes správní právo až po právo mezinárodní.

Co se smí a co ne?

V kontextu mezinárodního práva se zkoumá tzv. "scale and effects" (rozsah a dopady). Pokud kybernetický útok způsobí následky srovnatelné s konvenčním útokem, může být považován za použití síly.

Pokud jste obětí útoku, vaším jediným legálním postupem je defenziva, zajištění důkazů a nahlášení incidentu policii, případně NÚKIB. Pokud se rozhodnete „bránit“ protiútokem, riskujete trestní stíhání. Právní řád nezná institut „kybernetické sebeobrany“ formou odvetného hackingu.

Mezinárodní právo a suverenita

Ačkoliv neexistuje jediná globální úmluva o kybernetické bezpečnosti, státy aplikují existující mezinárodní právo i na kyberprostor. Česko, stejně jako ostatní státy EU a NATO, zastává názor, že mezinárodní právo v kyberprostoru platí.

Pro firmu to znamená, že nemůžete brát spravedlnost do vlastních rukou ani v mezinárodním měřítku. Pokud vás napadne konkurence z jiné země, cestou je právní pomoc a mezinárodní justiční spolupráce, nikoliv digitální odveta.

AI, dezinformace a klamání – právní hledisko

Umělá inteligence přinesla do elektronického boje novou dimenzi. Generativní AI dokáže vytvořit vysoce uvěřitelný, ale zcela fiktivní obsah.

Generativní AI a halucinace – kdo za to ručí?

Modely jako ChatGPT, Claude či Copilot mohou „halucinovat“ – tedy generovat fakticky nesprávné informace, které působí věrohodně. Právní odpovědnost je zde jasná: za výstup AI odpovídá uživatel (nebo firma), který jej použil a publikoval.

Pokud právník nebo firma použije AI k přípravě dokumentů a ty obsahují chyby nebo smyšlené citace, nese plnou odpovědnost za odbornou chybu. V českém prostředí by takové jednání bylo porušením advokátních předpisů a mohlo by vést ke kárnému řízení i náhradě škody.

Důsledky pro firmy:

• Nekalá soutěž
• Porušení autorských práv
• Ochrana osobnosti

Deep fakes a jejich regulace

Deep fake jsou videa či zvuky vytvořené AI, které napodobují skutečné osoby. Nová evropská legislativa AI Act, která je v roce 2026 již plně aplikovatelná, stanovuje přísná pravidla.

Uživatel musí vědět, že nesleduje realitu, ale uměle vytvořený obsah.

V České republice lze tvorbu škodlivých deep fakes postihovat i přes stávající instituty. Jedná se například o pomluvu (§ 184 trestního zákoníku), poškozování cizích práv (§ 181), nebo civilní žalobu na ochranu osobnosti a ochranu před nekalou soutěží.

AI Act a zakázané praktiky

Nařízení AI Act zavádí kategorizaci systémů AI. Některé praktiky jsou zcela zakázané (s účinností již od února 2025):

• Manipulativní techniky
• Sociální skórování
• Rozpoznávání emocí na pracovišti a ve školách

Sankce za porušení zákazů mohou dosáhnout až 35 milionů EUR nebo 7 % celosvětového ročního obratu, podle toho, co je vyšší.

Odpovědnost za elektronické útoky a AI obsah

Odpovědnost v této oblasti je vrstvená a dotýká se jak pachatelů, tak obětí, které zanedbaly své povinnosti.

Odpovědnost útočníka

Útočník odpovídá trestně (za hacking, vydírání, podvod) i občanskoprávně (náhrada škody). Hlavním problémem zůstává faktická vymahatelnost práva vůči pachatelům ze zemí, které nespolupracují v trestních věcech.

Obraťe se na naše ARROWS specialisty: 

Odpovědnost společnosti a vedení (NIS2 a ZKB)

V roce 2026 je již plně účinný nový zákon o kybernetické bezpečnosti (ZKB), který do českého práva transponoval evropskou směrnici NIS2. Tento zákon výrazně rozšířil okruh povinných subjektů.

Statutární orgány jsou přímo odpovědné za schvalování opatření k řízení kybernetických rizik a dohled nad nimi.

Pokud firma (regulovaný subjekt) poruší své povinnosti:

• Pokuta pro společnost
• Dopad na management (péče řádného hospodáře)
• Pozastavení výkonu řídící funkce

Odpovědnost za AI nástroje

Pokud vaše firma vyvíjí nebo nasazuje AI systémy, musí dodržovat AI Act. U vysoce rizikových systémů platí povinnost certifikace, řízení rizik a lidského dohledu. Za porušení odpovídá ten, kdo systém provozuje.

Jak se chránit?

Prevence je z právního i ekonomického hlediska vždy výhodnější než řešení následků.

Technická a procesní opatření

Základem je soulad s novým zákonem o kybernetické bezpečnosti nebo standardem ISO/IEC 27001. To zahrnuje řízení rizik, zálohování, šifrování, vícefaktorové ověřování a pravidelné penetrační testy.

Důležitá je ochrana proti sociálnímu inženýrství a phishingu, které jsou vstupní branou pro většinu útoků. Zaměstnanci musí být pravidelně školeni.

Právní opatření (Legal Compliance)

Právní ochrana spočívá v připravenosti:

• Smluvní ošetření
• Interní směrnice
• Incident Response Plan

Monitoring a reporting

Podle nového zákona o kybernetické bezpečnosti mají regulované subjekty povinnost hlásit významné incidenty NÚKIB. První hlášení (včasné varování) musí proběhnout do 24 hodin od zjištění incidentu.

Právníci z ARROWS advokátní kanceláře pomáhají klientům nastavit procesy tak, aby tyto lhůty zvládli a vyhnuli se sankcím za neohlášení incidentu.

Co vám hrozí a jak pomáhá ARROWS

Závěr článku

Elektronická válka a AI přinášejí reálná rizika, která mohou ohrozit existenci firmy. Legislativa, jako je nový zákon o kybernetické bezpečnosti a AI Act, dává státu silné nástroje k vymáhání pravidel. Ignorování těchto povinností může vést k likvidačním pokutám a osobní odpovědnosti vedení.

Právníci z ARROWS advokátní kanceláře se specializují na právo informačních technologií a kybernetickou bezpečnost.

Chcete mít jistotu, že vaše firma splňuje požadavky NIS2 a AI Act? Napište nám na konzultace@arws.cz a domluvme si konzultaci.