Kľúčové čísla v skratke
Benchmarky klikateľnosti phishingu odpovedajú na dve otázky: koľko vašich ľudí by dnes kliklo na reálny podvodný e-mail a aký je realistický cieľ po školení. Nižšie nájdete najdôležitejšie phishingové štatistiky pre rok 2026 - slovenské aj svetové, každú z konkrétneho, publikovaného zdroja.
- 1 842 kybernetických útokov týždenne na jednu organizáciu na Slovensku v 2. polroku 2025, medziročný nárast o 27 % (Check Point, Threat Intelligence H2 2025)
- Viac než 660 prípadov phishingu, smishingu a zberu prihlasovacích údajov - najčastejší typ incidentu na Slovensku (NBÚ / SK-CERT, Správa o kybernetickej bezpečnosti v SR za rok 2024)
- 33,1 % nezaškolených zamestnancov zlyhá v základnom phishingovom teste celosvetovo, 32,5 % v Európe - KnowBe4 Phishing by Industry Benchmarking Report 2025 (67,7 mil. simulácií, 14,5 mil. používateľov)
- 5,0 % - priemerná európska miera klikateľnosti po 12 mesiacoch pravidelného školenia, približne o 85 % nižšie oproti východiskovému stavu (KnowBe4 Europe 2025)
- 3 – 5 % je etablovaný „zlatý štandard“ klikateľnosti pre vyspelé programy podľa tej istej európskej správy KnowBe4
- 60 % analyzovaných prienikov sa začalo phishingom, čo z neho robí dominantný vektor útoku v EÚ (ENISA Threat Landscape 2025)
- 62 % bezpečnostných incidentov zahŕňalo ľudský faktor (Verizon Data Breach Investigations Report 2026)
- Len 18,3 % simulovaných phishingových e-mailov zamestnanci nahlásili (Proofpoint State of the Phish 2024)
Aká je priemerná miera klikateľnosti phishingu? Nezaškolení vs zaškolení
Priemerná miera klikateľnosti phishingu u nezaškolených zamestnancov je 33,1 % celosvetovo a 32,5 % v Európe podľa správy KnowBe4 Phishing by Industry Benchmarking Report 2025, ktorá analyzovala 67,7 milióna simulovaných phishingových testov v 62 460 organizáciách. Po roku pravidelných simulácií a školení tie isté organizácie dosahujú priemer pod 5 %. Tieto dve čísla - zhruba jeden z troch pred školením a jeden z dvadsiatich po ňom - sú referenčnými bodmi pre každý benchmark v tomto článku.
KnowBe4 túto metriku nazýva Phish-prone Percentage (PPP, „náchylnosť na phishing“): podiel používateľov, ktorí v simulovanom teste kliknú na odkaz, otvoria prílohu alebo zadajú prihlasovacie údaje. Iní dodávatelia ju nazývajú miera klikateľnosti alebo miera zlyhania. Hoxhunt, ktorý meria mieru zlyhania naprieč viac než štyrmi miliónmi používateľov, publikuje pásma vyspelosti, ktoré zodpovedajú tomu, čo vidíme v reálnych nasadeniach:
- Žiadny program školení: 25 – 35 % miera zlyhania
- Program v začiatkoch: 10 – 20 %
- Vyspelý program: 5 – 10 %
- Vysoko vyspelý program zameraný na zmenu správania: 2 – 5 %
Smerom k roku 2026 je priemerná miera klikateľnosti phishingu už niekoľko rokov stabilná, preto tieto čísla berte ako spoľahlivé referenčné body, nie ako pohyblivý cieľ. Reálne útoky sú však rýchlejšie než školiace cykly: podľa Verizon DBIR medián používateľa naletí phishingovému e-mailu do 60 sekúnd od jeho otvorenia.
Benchmarky klikateľnosti phishingu podľa odvetvia
Nižšie uvedené čísla sú východiskové (nezaškolené) miery klikateľnosti zo správy KnowBe4 2025 - najväčšieho publikovaného odvetvového datasetu, ktorý pokrýva 19 odvetví v siedmich regiónoch. Východiskový stav odpovedá na jednu otázku: ak ste svojich ľudí nikdy neškolili, čo by mal vrátiť váš prvý phishingový test zamestnancov?
| Odvetvie | Východisková klikateľnosť (nezaškolení) | Zdroj |
|---|---|---|
| Všetky odvetvia - celosvetový priemer | 33,1 % | KnowBe4 Phishing by Industry Benchmarking Report 2025 |
| Všetky odvetvia - európsky priemer | 32,5 % | KnowBe4 Phishing Benchmarking Report, Europe 2025 |
| Zdravotníctvo a farmácia | 41,9 % | KnowBe4 2025 (globálne, najrizikovejšie odvetvie) |
| Poisťovníctvo | 39,2 % | KnowBe4 2025 (globálne) |
| Bankovníctvo (1 000 – 9 999 zamestnancov) | 39,5 % | KnowBe4 2025 (globálne) |
| Finančné služby (1 000 – 9 999 zamestnancov) | 38,4 % | KnowBe4 2025 (globálne) |
| Maloobchod a veľkoobchod | 36,5 % | KnowBe4 2025 (globálne) |
Zdravotníctvo opäť vedie tabuľku. Z praxe je vzorec konzistentný: vysoký objem pošty, smenná prevádzka a zdieľané pracovné stanice nenechávajú čas na kontrolu odosielateľa. Rovnako konzistentné je aj to, na čo sa kliká - dáta Hoxhuntu ukazujú, že napodobené interné oznámenia od HR a IT sú najklikanejšou témou simulácií, s mierou zlyhania 7,4 % aj medzi zaškolenými používateľmi.
Disciplína nahlasovania sa takisto líši podľa odvetvia. Podľa Proofpoint State of the Phish majú finančné služby najsilnejší pomer odolnosti (8,23 nahlásení na jedno kliknutie) a školstvo najslabší (1,27).
Benchmarky podľa veľkosti firmy: 50-členná firma vs veľký podnik
Veľkosť mení skôr východiskový bod než cieľ. V Európe dáta KnowBe4 2025 ukazujú, že malé organizácie štartujú na klikateľnosti 24,9 %, stredne veľké na 26,7 % a organizácie s 1 000+ zamestnancami na 34,9 %. Celosvetovo je rozptyl ešte väčší: 24,6 % pri firmách do 250 zamestnancov oproti 40,5 % pri podnikoch s 10 000 a viac.
| Veľkosť organizácie (Európa) | Východisko (nezaškolení) | Po 90 dňoch | Po 12 mesiacoch |
|---|---|---|---|
| 1 – 249 zamestnancov | 24,9 % | 20,7 % | 3,9 % |
| 250 – 999 zamestnancov | 26,7 % | 21,6 % | 4,4 % |
| 1 000+ zamestnancov | 34,9 % | 20,5 % | 5,3 % |
| Európsky priemer | 32,5 % | 20,7 % | 5,0 % |
Pre 50-člennú firmu je výpočet jednoznačný: nezaškolený východiskový stav okolo 25 % znamená, že približne 12 zamestnancov by kliklo na zručne pripravený podvodný e-mail - a jedno kliknutie stačí na krádež prihlasovacích údajov či vstupný bod pre ransomvér. Dobrá správa je, že malé firmy zároveň končia najlepšie: po 12 mesiacoch dosahujú európske organizácie do 250 zamestnancov priemer 3,9 %, najnižší zo všetkých veľkostných pásiem.
Veľké podniky štartujú vyššie zo štrukturálnych dôvodov: viac oddelení, ktoré možno napodobniť, viac SaaS notifikácií na sfalšovanie, vyššia fluktuácia, pomalšia interná komunikácia. Zároveň sa však zlepšujú najviac - podľa KnowBe4 pokles o 84,8 % po roku školenia v Európe.
Miera nahlásení: metrika vyspelosti, na ktorej záleží viac než na kliknutiach
Miera klikateľnosti meria zlyhanie. Miera nahlásení - podiel simulovaných podvodných e-mailov, ktoré zamestnanci nahlásia IT alebo bezpečnostnému tímu - meria obranu. Jediné včasné nahlásenie umožní vášmu tímu odstrániť živú kampaň zo všetkých schránok skôr, než ju otvorí druhá obeť. Preto benchmark miery nahlásení phishingu patrí ku každému číslu klikateľnosti, ktoré sledujete.
Publikované východiskové hodnoty sú vážne. Proofpoint State of the Phish zistil, že nahlásených bolo len 18,3 % simulovaných phishingových e-mailov, a Verizon DBIR uvádza celosvetový benchmark okolo 20 %. Analýza Hoxhuntu je náročnejšia: udržateľné nahlasovanie nad 20 % je znakom cieleného programu zmeny správania a jeho najlepšie programy zamerané na správanie dosahujú nahlásenie 52 – 74 % simulácií podľa odvetvia.
Praktické páky: tlačidlo na nahlásenie jedným klikom priamo v poštovom klientovi, viditeľné ocenenie prvých nahlasovateľov a naučenie ľudí rozpoznať varovné signály phishingu, aby vedeli, čo nahlásiť. Práve tu sa zúročujú simulačné platformy - PhishGun napríklad spája pracovný postup nahlasovania zamestnancami s mikroškolením priamo v momente, keď niekto klikne, takže obe metriky sa hýbu naraz.
Slovensko a Európa v hľadáčiku: čo hlásia ENISA, NBÚ a SK-CERT
ENISA Threat Landscape 2025, ktorá analyzovala 4 875 incidentov medzi júlom 2024 a júnom 2025, zistila, že phishing zostal dominantným vektorom prieniku na úrovni 60 % - poháňaný „phishing-as-a-service“ sadami, ktoré dávajú presvedčivé kampane na dosah aj útočníkom s nízkou úrovňou zručností.
Objem útokov stúpa. Podľa Check Pointu čelila priemerná organizácia na Slovensku v 2. polroku 2025 priemerne 1 842 kybernetickým útokom týždenne, čo je medziročný nárast o 27 %. Telemetria e-mailovej bezpečnosti KnowBe4 zaznamenala medzi marcom 2024 a marcom 2025 nárast phishingových útokov o 68 % a nárast podvodov typu BEC (CEO podvod) o 137 %. Verizon DBIR 2026 dopĺňa, že phishing sa udržal na 16 % bezpečnostných incidentov, zatiaľ čo objem textu generovaného umelou inteligenciou v škodlivých e-mailoch sa medziročne zdvojnásobil - návnady sú lepšie, nie zriedkavejšie.
Slovensko: domáci obraz hrozieb
Národné dáta SK-CERT zrkadlia obraz EÚ. V Správe o kybernetickej bezpečnosti v SR za rok 2024 NBÚ uvádza útoky založené na manipulácii používateľa ako najčastejší typ incidentu - viac než 660 prípadov phishingu, smishingu a zberu prihlasovacích údajov. Útočníci zneužívali dôveryhodné značky ako slovensko.sk, telekomunikačných operátorov aj streamovacie služby a často kompromitovali e-mailové schránky vo verejnej správe, z ktorých následne šírili ďalšie škodlivé správy. Počet incidentov vo verejnej správe pritom medziročne vyskočil zo 478 (2023) na 703 (2024).
Dopady sú hmatateľné. Ransomvérový útok na Úrad geodézie, kartografie a katastra (ÚGKK) z januára 2025, najväčší kybernetický incident v dejinách Slovenska, ochromil trh s nehnuteľnosťami aj fungovanie samospráv. V spotrebiteľskej rovine prišli Slováci podľa Slovenskej bankovej asociácie len za 10 mesiacov roka 2023 o približne 3,5 milióna eur na phishingu a smishingu, pričom polícia SR opakovane varuje pred podvodnými SMS v mene Slovenskej pošty (poplatok za doručenie balíka) či falošnými „pokutami“ od polície s odkazom na phishingovú stránku.
Regulácia tento vývoj dobehla. Transpozícia smernice NIS2 - novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (novela č. 366/2024 Z. z.) účinná od 1. 1. 2025 - vyžaduje zdokumentované programy bezpečnostného povedomia s meranou účinnosťou. Metriky zo simulácií, aké sú na tejto stránke, sú presne tým dôkazom, ktorý audítori žiadajú v rámci požiadaviek NIS2 na školenie zamestnancov.
Ako sa mení klikateľnosť po 3, 6 a 12 mesiacoch simulácií
Každý dlhodobý dataset ukazuje rovnakú krivku: prudký pokles v prvom štvrťroku, plynulý zisk do polovice roka a potom stabilizácia v pásme 3 – 5 %. Tu je to, čo môžete očakávať od priebežného programu, nie od jednorazového testu.
Po 3 mesiacoch
Celosvetové dáta KnowBe4 ukazujú, že klikateľnosť klesne o viac než 40 % do 90 dní od začiatku školenia; v Európe klesá priemer z 32,5 % na 20,7 %. Skorý úspech prichádza už zo samotného uvedomenia - ľudia zistia, že testy prebiehajú, a začnú sa pred kliknutím zastaviť.
Po 6 mesiacoch
V polovici programu sa organizácie zvyčajne nachádzajú v pásme začiatočníkov Hoxhuntu na úrovni 10 – 20 % a nahlasovanie sa zrýchľuje rýchlejšie, než klesá klikateľnosť - platformové dáta Hoxhuntu za rok 2025 zaznamenali 225 % nárast nahlasovania hrozieb medzi zaškolenými používateľmi. Toto je zároveň fáza, v ktorej sa vynárajú opakovaní „klikači“ a zaslúžia si cielenú následnú pozornosť, nie trest.
Po 12 mesiacoch
Po roku priebežných simulácií meria KnowBe4 celosvetový pokles o 86 % - čím sa priemerná klikateľnosť dostáva pod 5 % - a Hoxhunt hlási mieru zlyhania zhruba 3 – 4 %. Odtiaľ ďalšie zisky pochádzajú z udržania tohto plató voči ťažším šablónam, novým nástupom a inováciám útočníkov.
Na kadencii záleží viac než na intenzite - mesačné kampane s rotujúcimi šablónami zakaždým prekonajú jeden ročný „výstrel“. Náš návod na phishingovú simuláciu krok za krokom rozoberá obtiažnosť šablón, cielenie a plánovanie krok po kroku.
Metodika a zdroje: ako túto stránku citovať
Každé číslo na tejto stránke pochádza z konkrétneho, publikovaného zdroja. Vylučujeme dodávateľské čísla bez uvedenej veľkosti vzorky a prieskumy, ktoré sa ľudí len pýtajú, či by klikli. Tam, kde dodávatelia definujú metriky odlišne (Phish-prone Percentage vs miera zlyhania), to uvádzame, namiesto spriemerovania naprieč metodikami.
- KnowBe4 Phishing by Industry Benchmarking Report 2025, globálne a európske vydanie - 67,7 mil. simulácií, 14,5 mil. používateľov, 62 460 organizácií
- Hoxhunt Phishing Trends Report 2026 a benchmarky miery zlyhania - viac než 50 mil. dátových bodov od viac než štyroch miliónov používateľov
- Proofpoint State of the Phish 2024 - miery nahlasovania simulácií a pomery odolnosti
- Verizon Data Breach Investigations Report 2026 - podiel ľudského faktora a phishingu na incidentoch
- ENISA Threat Landscape 2025 - analýza incidentov a vektorov prieniku v EÚ
- NBÚ / SK-CERT: Správa o kybernetickej bezpečnosti v SR za rok 2024 - národné dáta o incidentoch
- Check Point Threat Intelligence H2 2025 - počet kybernetických útokov na organizáciu na Slovensku
- Slovenská banková asociácia / polícia SR - straty a varovania pred phishingom a smishingom v SR
Túto stránku môžete citovať. Každé číslo uvádzajte s pôvodným zdrojom (napríklad „KnowBe4, 2025“) a odkazujte na tento článok ako na kompiláciu. Dáta boli naposledy overené voči primárnym zdrojom v júni 2026; stránku aktualizujeme s vydaním nových edícií správ.
Benchmarky sú užitočné až vtedy, keď máte vlastný východiskový stav. PhishGun - vyvinutý tímom ofenzívnej bezpečnosti spoločnosti Haxoris - vám umožní spustiť prvú phishingovú kampaň zdarma, s lokalizovanými šablónami v slovenčine, češtine a angličtine a s reportmi pripravenými na audit, ktoré položíte pred audítora NIS2 alebo ISO 27001. Začnite bezplatnou východiskovou kampaňou, alebo si najprv pozrite transparentný cenník za zamestnanca.
Časté otázky
Aká je dobrá miera klikateľnosti phishingu?
Pre organizáciu, ktorá robí pravidelné simulácie, je realistickým „dobrým“ pásmom 3 – 5 % - európsky benchmark KnowBe4 ho nazýva etablovaným zlatým štandardom po roku školenia. Nezaškolené organizácie majú priemer okolo 33 %. Hodnota blízka nule zvyčajne znamená, že vaše šablóny sú príliš ľahké, nie že riziko zmizlo, preto klikateľnosť posudzujte spolu s mierou nahlásení.
Koľko zamestnancov klikne na phishingový e-mail bez školenia?
Približne jeden z troch. Benchmark KnowBe4 2025, založený na 67,7 mil. simulácií, kladie nezaškolený východiskový stav na 33,1 % celosvetovo a 32,5 % v Európe. Malé organizácie štartujú nižšie (24,6 % do 250 zamestnancov) a veľké podniky vyššie (40,5 % nad 10 000). Dáta Hoxhuntu ukazujú ten istý obraz: 25 – 35 % miera zlyhania pred akýmkoľvek programom školení.
Čo znamená Phish-prone Percentage (PPP)?
Phish-prone Percentage je termín KnowBe4 pre podiel zamestnancov, ktorí zlyhajú v simulovanom phishingovom teste - kliknutím na odkaz, otvorením prílohy alebo zadaním prihlasovacích údajov. Je to fakticky tá istá metrika, ktorú iní dodávatelia nazývajú miera klikateľnosti alebo miera zlyhania. PPP sa meria na východisku, po 90 dňoch a po 12 mesiacoch školenia, aby sa sledoval pokrok programu.
Aký je dobrý benchmark miery nahlásení phishingu?
Priemerné nahlasovanie je slabé: Proofpoint State of the Phish zistil, že nahlásených je len 18,3 % simulovaných podvodných e-mailov, a Verizon DBIR kladie benchmark blízko 20 %. Čokoľvek udržateľne nad 20 % signalizuje dozrievajúcu bezpečnostnú kultúru a najlepšie programy zamerané na správanie dosahujú nahlásenie 52 – 74 % simulácií. Mieru nahlásení sledujte popri klikateľnosti, nie namiesto nej.
Ako často by sa mali robiť phishingové simulácie?
Mesačná kadencia je praktickým štandardom; štvrťročná je minimum, ktoré stojí za dlhodobými ziskami v dátach z benchmarkov. 86 % pokles klikateľnosti podľa KnowBe4 aj 3 – 4 % miera zlyhania za prvý rok podľa Hoxhuntu pochádzajú z priebežných programov, nie z ročných testov. Regulácia v rámci NIS2 (zákon č. 69/2018 Z. z. a vyhláška NBÚ č. 227/2025 Z. z.) aj kybernetickí poisťovatelia čoraz viac očakávajú zdokumentované, pravidelné simulácie ako dôkaz fungujúceho programu povedomia.
Dá sa porovnávať klikateľnosť medzi platformami rôznych dodávateľov?
Len voľne. Phish-prone Percentage od KnowBe4 počíta kliknutia, otvorenia príloh a zadanie údajov; miera zlyhania Hoxhuntu a metriky nahlasovania Proofpointu sú definované odlišne a obtiažnosť šablón sa medzi platformami líši. Porovnávajte sa s publikovaným východiskovým stavom toho istého dodávateľa a hlavne s vlastným trendom v čase - to je porovnanie, na ktorom záleží audítorom aj poisťovniam.