Klíčová čísla na jednom místě
Phishing statistiky odpovídají na dvě otázky: kolik vašich lidí by dnes kliklo na skutečný phishing a jak vypadá reálný cíl po proškolení. Níže najdete hlavní čísla pro rok 2026, každé z konkrétního, publikovaného zdroje.
- 33,1 % neproškolených zaměstnanců selže v úvodním phishingovém testu globálně, v Evropě 32,5 % - KnowBe4 Phishing by Industry Benchmarking Report 2025 (67,7 milionu simulací, 14,5 milionu uživatelů)
- 5,0 % - průměrná evropská míra prokliku po 12 měsících pravidelného školení, tedy zhruba o 85 % méně oproti výchozímu stavu (KnowBe4 Europe 2025)
- 3–5 % je etablovaný „zlatý standard“ míry prokliku u vyspělých programů podle téže evropské zprávy KnowBe4
- 60 % analyzovaných průniků začalo phishingem, což z něj dělá dominantní vstupní vektor v EU (ENISA Threat Landscape 2025)
- 62 % bezpečnostních incidentů zahrnovalo lidský faktor (Verizon Data Breach Investigations Report 2026)
- Pouze 18,3 % simulovaných phishingových e-mailů zaměstnanci nahlásili (Proofpoint State of the Phish 2024)
- Phishing a deepfake vishing tvořily 93 % evidovaných podvodů v Česku v roce 2025 - phishing zůstává nejúčinnějším vstupním vektorem (NÚKIB, Čtvrtletní přehled hrozeb Q4/2025)
Jaká je průměrná míra prokliku phishingu? Neproškolení vs. proškolení
Průměrná míra prokliku u neproškolených zaměstnanců je 33,1 % globálně a 32,5 % v Evropě, podle benchmarkové zprávy KnowBe4 Phishing by Industry 2025, která analyzovala 67,7 milionu simulovaných phishingových testů napříč 62 460 organizacemi. Po roce pravidelných simulací a školení se stejné organizace dostávají v průměru pod 5 %. Tato dvě čísla - zhruba každý třetí před školením a každý dvacátý po něm - jsou kotvou pro každý benchmark v tomto článku.
KnowBe4 tuto metriku nazývá Phish-prone Percentage (PPP), tedy podíl uživatelů, kteří v simulovaném phishingovém testu kliknou na odkaz, otevřou přílohu nebo zadají přihlašovací údaje. Jiní dodavatelé jí říkají míra prokliku nebo míra selhání. Hoxhunt, který měří míru selhání u více než čtyř milionů uživatelů, publikuje pásma vyspělosti, jež odpovídají tomu, co vídáme v reálných nasazeních:
- Bez programu školení: míra selhání 25–35 %
- Začínající program: 10–20 %
- Vyspělý program: 5–10 %
- Vysoce vyspělý program zaměřený na změnu chování: 2–5 %
Při vstupu do roku 2026 je průměrná míra prokliku phishingu už několik let stabilní, berte proto tato čísla jako spolehlivé kotvy, ne jako pohyblivý cíl. Skutečné útoky jsou ale rychlejší než cykly školení: podle Verizon DBIR podlehne medián uživatelů phishingovému e-mailu do 60 sekund od jeho otevření.
Míra prokliku phishingu podle odvětví
Následující čísla jsou výchozí (neproškolené) míry prokliku z benchmarkové zprávy KnowBe4 2025, největšího publikovaného oborového datasetu, který pokrývá 19 odvětví v sedmi regionech. Výchozí hodnoty odpovídají na jednu otázku: pokud jste lidi nikdy neškolili, co by měl vrátit váš první phishingový test zaměstnanců?
| Odvětví | Výchozí míra prokliku (neproškolení) | Zdroj |
|---|---|---|
| Všechna odvětví - globální průměr | 33,1 % | KnowBe4 Phishing by Industry Benchmarking Report 2025 |
| Všechna odvětví - průměr Evropa | 32,5 % | KnowBe4 Phishing Benchmarking Report, Europe 2025 |
| Zdravotnictví a farmacie | 41,9 % | KnowBe4 2025 (globálně, nejrizikovější odvětví) |
| Pojišťovnictví | 39,2 % | KnowBe4 2025 (globálně) |
| Bankovnictví (1 000–9 999 zaměstnanců) | 39,5 % | KnowBe4 2025 (globálně) |
| Finanční služby (1 000–9 999 zaměstnanců) | 38,4 % | KnowBe4 2025 (globálně) |
| Maloobchod a velkoobchod | 36,5 % | KnowBe4 2025 (globálně) |
Zdravotnictví je v tabulce opět na špici. Z pohledu praxe je vzorec konzistentní: vysoký objem pošty, směnný provoz a sdílené stanice nenechávají čas kontrolovat odesílatele. Stejně konzistentní je i to, na co se klika - data Hoxhunt ukazují, že podvržená interní oznámení od HR a IT jsou nejčastěji proklikávaným tématem simulací, s mírou selhání 7,4 % i mezi proškolenými uživateli.
Podle odvětví se liší i disciplína v nahlašování. Proofpoint State of the Phish přisuzuje finančním službám nejlepší poměr odolnosti (8,23 nahlášení na jeden proklik) a školství nejhorší (1,27).
Benchmarky podle velikosti firmy: 50členná firma vs. velký podnik
Velikost mění spíš startovní bod než cíl. V Evropě data KnowBe4 2025 ukazují, že malé organizace startují na míře prokliku 24,9 %, středně velké na 26,7 % a organizace s 1 000 a více zaměstnanci na 34,9 %. Globálně je rozpětí ještě širší: 24,6 % u firem do 250 zaměstnanců proti 40,5 % u podniků s 10 000 a více.
| Velikost organizace (Evropa) | Výchozí stav (neproškolení) | Po 90 dnech | Po 12 měsících |
|---|---|---|---|
| 1–249 zaměstnanců | 24,9 % | 20,7 % | 3,9 % |
| 250–999 zaměstnanců | 26,7 % | 21,6 % | 4,4 % |
| 1 000+ zaměstnanců | 34,9 % | 20,5 % | 5,3 % |
| Průměr Evropa | 32,5 % | 20,7 % | 5,0 % |
Pro padesátičlennou firmu je výpočet neúprosný: výchozí hodnota kolem 25 % u neproškoleného týmu znamená, že na zdařilý phishing by kliklo zhruba 12 zaměstnanců - a jeden proklik stačí ke krádeži přihlašovacích údajů nebo k získání opory pro ransomware. Dobrá zpráva je, že malé firmy zároveň končí nejlépe: po 12 měsících mají evropské organizace do 250 zaměstnanců v průměru 3,9 %, nejméně ze všech velikostních pásem.
Velké podniky startují výš ze strukturálních důvodů: víc oddělení, za která se lze vydávat, víc SaaS notifikací k podvržení, vyšší fluktuace, pomalejší interní komunikace. Zároveň se ale zlepšují nejvíce - pokles o 84,8 % po roce školení v Evropě podle KnowBe4.
Míra nahlášení: metrika vyspělosti, na které záleží víc než na proklicích
Míra prokliku měří selhání. Míra nahlášení - podíl simulovaných phishingů, které zaměstnanci nahlásí IT nebo bezpečnostnímu týmu - měří obranu. Jediné včasné nahlášení umožní vašemu týmu vymazat živou kampaň ze všech schránek dřív, než ji otevře druhá oběť. Proto benchmark míry nahlášení patří hned vedle každého čísla o proklicích, které sledujete.
Publikované výchozí hodnoty jsou střízlivé. Proofpoint State of the Phish zjistil, že nahlášeno bylo jen 18,3 % simulovaných phishingových e-mailů, a Verizon DBIR uvádí globální benchmark kolem 20 %. Analýza Hoxhunt je náročnější: dlouhodobá míra nahlášení nad 20 % je znakem cíleného programu na změnu chování a nejlepší programy zaměřené na chování dosahují nahlášení 52–74 % simulací podle odvětví.
Praktické páky: tlačítko na nahlášení jedním klikem přímo v poštovním klientovi, viditelné ocenění prvních nahlašovatelů a výuka varovných signálů phishingu, aby lidé věděli, co hlásit. Právě tady se vyplácejí simulační platformy - PhishGun například propojuje proces nahlašování zaměstnancem s mikroškolením v okamžiku, kdy někdo klikne, takže se obě metriky posouvají naráz.
Pohled na Česko a Evropu: co hlásí ENISA a národní CSIRT
ENISA Threat Landscape 2025, která analyzovala 4 875 incidentů mezi červencem 2024 a červnem 2025, zjistila, že phishing zůstal dominantním vstupním vektorem s podílem 60 % - živí jej phishing-as-a-service sady, díky nimž jsou přesvědčivé kampaně na dosah i pro málo zkušené útočníky.
Objem dál roste. KnowBe4 podle své e-mailové telemetrie zaznamenal mezi březnem 2024 a březnem 2025 nárůst phishingových útoků o 68 % a nárůst BEC o 137 %. Verizon DBIR 2026 dodává, že phishing se držel na 16 % bezpečnostních incidentů, zatímco objem textu generovaného AI ve škodlivých e-mailech se meziročně zdvojnásobil - návnady se zlepšují, neubývají.
Česko v číslech: jak vypadá lokální situace
Data NÚKIB lokální obraz potvrzují. Ve čtvrtletních přehledech hrozeb NÚKIB tvořily phishing a deepfake vishing 93 % evidovaných podvodů za rok 2025 a nejčastějším vstupním vektorem zůstaly phishingové přílohy a odkazy - vektor, kde stačí jediný proklik. Policie ČR a NÚKIB evidovaly v roce 2025 přes 22 000 kybernetických trestných činů a v prosinci 2025 čelila každá česká organizace v průměru 2 068 útokům týdně, tedy nad globálním (2 027) i evropským (1 677) průměrem. Útočníci se přitom soustavně vydávají za známé značky: Česká pošta i Zásilkovna opakovaně varují před vlnami podvodných SMS o „nedoručeném balíčku“, který je třeba doplatit, a odkazy vedou na padělané platební stránky.
Regulace mezitím dohnala realitu. Nový zákon o kybernetické bezpečnosti (zákon č. 264/2025 Sb., účinný od 1. 11. 2025) i jeho prováděcí vyhlášky vyžadují doložené programy budování bezpečnostního povědomí s měřenou účinností - a simulační metriky jako ty na této stránce jsou přesně tím, co auditoři chtějí vidět v rámci požadavků nZKB na školení zaměstnanců.
Jak se míra prokliku mění po 3, 6 a 12 měsících simulací
Každý dlouhodobý dataset ukazuje stejnou křivku: prudký pokles v prvním čtvrtletí, stabilní zlepšování přes polovinu roku a poté ustálení v pásmu 3–5 %. Takto vypadá, co očekávat od průběžného programu, nikoli od jednorázového testu.
Po 3 měsících
Globální data KnowBe4 ukazují, že míra prokliku klesá o něco více než 40 % během 90 dnů od zahájení školení; v Evropě průměr klesá z 32,5 % na 20,7 %. Brzké vítězství přichází už ze samotného povědomí - lidé zjistí, že testy probíhají, a začnou se před kliknutím na chvíli zastavit.
Po 6 měsících
V polovině programu se organizace obvykle nacházejí v začínajícím pásmu Hoxhunt 10–20 %, přičemž nahlašování zrychluje rychleji, než klesá proklikávání - data Hoxhunt z roku 2025 zaznamenala mezi proškolenými uživateli nárůst nahlašování hrozeb o 225 %. V této fázi se také vynořují opakovaní „klikači“, kteří si zaslouží cílenou následnou péči, ne trestání.
Po 12 měsících
Po roce průběžných simulací měří KnowBe4 globální pokles o 86 % - který stahuje průměrnou míru prokliku pod 5 % - a Hoxhunt uvádí míru selhání zhruba 3–4 %. Odtud už zlepšení přichází z udržení tohoto plató proti těžším šablonám, novým nástupům a inovacím útočníků.
Pravidelnost je důležitější než intenzita - měsíční kampaně se střídajícími se šablonami pokaždé porazí jednou ročně vyslaný nárazový test. Náš návod na vytvoření phishingové simulace krok za krokem rozebírá obtížnost šablon, cílení i plánování.
Metodika a zdroje: jak tuto stránku citovat
Každé číslo na této stránce pochází z konkrétního, publikovaného zdroje. Vylučujeme údaje dodavatelů bez uvedeného rozsahu vzorku i průzkumy, které se lidí ptají, zda by klikli. Tam, kde dodavatelé definují metriky odlišně (Phish-prone Percentage vs. míra selhání), to uvádíme, místo abychom napříč metodikami počítali průměr.
- KnowBe4 Phishing by Industry Benchmarking Report 2025, globální a evropská edice - 67,7 milionu simulací, 14,5 milionu uživatelů, 62 460 organizací
- Hoxhunt Phishing Trends Report 2026 a benchmarky míry selhání - přes 50 milionů datových bodů od více než čtyř milionů uživatelů
- Proofpoint State of the Phish 2024 - míry nahlašování simulací a poměry odolnosti
- Verizon Data Breach Investigations Report 2026 - podíl lidského faktoru a phishingu na bezpečnostních incidentech
- ENISA Threat Landscape 2025 - analýza incidentů a vstupních vektorů v EU
- APWG Phishing Activity Trends Reports, Q1–Q4 2025 - globální objemy phishingových útoků
- NÚKIB - čtvrtletní a měsíční přehledy hrozeb a kybernetických incidentů (národní data za Česko)
- NBÚ / SK-CERT: Správa o kybernetickej bezpečnosti v SR - národní data za Slovensko pro srovnání
Tuto stránku můžete citovat. Každé číslo prosím uvádějte s původně jmenovaným zdrojem (například „KnowBe4, 2025“) a odkažte na tento článek jako na souhrn. Data byla naposledy ověřena vůči primárním zdrojům v červnu 2026; stránku aktualizujeme s vydáváním nových edic zpráv.
Benchmarky začnou být užitečné teprve ve chvíli, kdy máte vlastní výchozí hodnotu. PhishGun - postavený ofenzivně-bezpečnostním týmem z Haxoris - vám umožní spustit první phishingovou kampaň zdarma, s lokalizovanými šablonami v češtině, slovenštině i angličtině a s reporty připravenými pro audit, které položíte na stůl auditorovi nZKB nebo ISO 27001. Začněte bezplatnou úvodní kampaní, nebo si nejdřív projděte transparentní ceník podle počtu zaměstnanců.
Časté otázky
Jaká je dobrá míra prokliku phishingu?
Pro organizaci, která provádí pravidelné simulace, je reálným „dobrým“ pásmem 3–5 % - evropský benchmark KnowBe4 jej označuje za etablovaný zlatý standard po roce školení. Neproškolené organizace mají v průměru kolem 33 %. Míra blízká nule obvykle znamená, že vaše šablony jsou příliš snadné, ne že riziko zmizelo, posuzujte proto míru prokliku společně s mírou nahlášení.
Kolik zaměstnanců klikne na phishingový e-mail bez školení?
Zhruba každý třetí. Benchmark KnowBe4 2025, založený na 67,7 milionu simulací, uvádí výchozí hodnotu u neproškolených na 33,1 % globálně a 32,5 % v Evropě. Malé organizace startují níž (24,6 % u firem do 250 zaměstnanců) a velké podniky výš (40,5 % u 10 000 a více). Data Hoxhunt ukazují stejný obraz: míra selhání 25–35 % před jakýmkoli školicím programem.
Co je phish-prone percentage (PPP)?
Phish-prone Percentage je termín KnowBe4 pro podíl zaměstnanců, kteří selžou v simulovaném phishingovém testu - tím, že kliknou na odkaz, otevřou přílohu nebo zadají přihlašovací údaje. Je to v zásadě metrika, které jiní dodavatelé říkají míra prokliku nebo míra selhání. PPP se měří ve výchozím stavu, po 90 dnech a po 12 měsících školení, aby se sledoval pokrok programu.
Jaký je dobrý benchmark míry nahlášení phishingu?
Průměrné nahlašování je slabé: Proofpoint State of the Phish zjistil, že nahlášeno je jen 18,3 % simulovaných phishingů, a Verizon DBIR uvádí benchmark kolem 20 %. Cokoli dlouhodobě nad 20 % signalizuje zrající bezpečnostní kulturu a nejlepší programy zaměřené na chování dosahují nahlášení 52–74 % simulací. Míru nahlášení sledujte vedle míry prokliku, ne místo ní.
Jak často se mají phishingové simulace spouštět?
Praktickým standardem je měsíčně; kvartálně je minimum, za nímž stojí dlouhodobá zlepšení z benchmarkových dat. Pokles míry prokliku o 86 % u KnowBe4 i tříprocentní až čtyřprocentní míra selhání u Hoxhunt po roce pocházejí z průběžných programů, ne z ročních testů. Regulátoři podle nZKB i pojišťovny kybernetických rizik stále častěji očekávají doložené pravidelné simulace jako důkaz funkčního programu budování povědomí.
Lze porovnávat míry prokliku mezi platformami různých dodavatelů?
Jen velmi volně. Phish-prone Percentage od KnowBe4 počítá prokliky, otevření příloh i zadání údajů; míra selhání u Hoxhunt a metriky nahlašování u Proofpointu jsou definovány jinak a obtížnost šablon se mezi platformami liší. Porovnávejte se s publikovanou výchozí hodnotou téhož dodavatele a hlavně s vlastním trendem v čase - to je srovnání, na kterém záleží auditorům i pojišťovnám.