Pandemijski trend u kojem se građani sve češće okreću digitalnim finansijskim uslugama, otvorio je prostor za učestalije pojave digitalnih prevara, pre svega krađe ličnih podataka i zloupotrebe platnih kartica. Ipak, zakon kojim se reguliše ova oblast u praksi nije na strani građana, a privatne banke i državne institucije selektivno izvršavaju svoje obaveze.
Usled epidemije, neprestanih „zatvaranja“, ali i sveopšte digitalizacije savremenog društva, građani se češće okreću ka onlajn vidovima plaćanja i trgovine. Ukupan broj finansijskih transakcija preko interneta porastao je za više od četiri odsto u prošloj godini, dok je cifra korisnika elektronskog bankarstva porasla za 14 odsto u odnosu na 2019, pokazuju podaci Narodne banke Srbije.
Prema Zakonu o informacionoj bezbednosti, član 11a, banke su dužne da prijave svaki incident koji, između ostalog, može da „dovede do neovlašćenog pristupa zaštićenim podacima čije otkrivanje može ugroziti prava i interese onih na koje se podaci odnose“. Osim toga, prema članu 243 Krivičnog zakonika, neovlašćena upotreba tuđe platne kartice, kao i poverljivih podataka kojima je ona uređena, kao što su broj računa ili trocifreni broj na poleđini (CVV), u Srbiji se tretira kao krivično delo za koje je propisana i kazna zatvora.
Međutim, svedočenje našeg sagovornika, čiji je identitet poznat VOICE-u, sugeriše da banke obeshrabruju građane u njihovom nastojanju da prijave pokušaje krađe i zloupotrebe ličnih podataka.
„Jedna banka me je pozvala nakon što je uočena potencijalno sumnjiva transakcija preko mog računa kako bi utvrdili da li za nju postoji ovlašćenje, što, naravno, nije bio slučaj. Transfer je brzo zaustavljen, a usput mi je i rečeno da su kompromitovani podaci kartice, konkretno onaj trocifreni broj na naličju, što je zaista ozbiljan pokušaj zloupotrebe podataka. Njihov prvobitni savet je bio da poništim karticu, nabavim novu, kao i da ugasim kanal za plaćanje preko interneta“, ispričao je sagovornik novinaru VOICE-a.
Drugi poziv je bio neočekivan i otrežnjujući. Prema njegovim rečima, službenica iz konkretne banke je bila iznenađena željom privatnog lica da se učini nešto o pitanju pokušaja krađe novca.
„Rečeno mi je da oni ne obaveštavaju nijednu instituciju, pogotovo ne u mom slučaju, kada novac nije formalno ni napustio račun. Bez obzira na to, želja mi je bila da dobijem bar izveštaj o incidentu, koji je, naime, koštao dodatnih 1500 dinara, jer je to, navodno, nestandardna forma“, priča naš sagovornik.
Međutim, epilog dobija jedan, za njega – blagonakloni obrt, zbog toga što je razlog za treći, i poslednji poziv bio da se obavesti klijent o tome kako je došlo do greške, te da je krađa pokušana s drugog računa koji sadrži slične brojeve. Ipak, nesmotrenost i neadekvanost pri reakciji zaposlenih u banci otvara pitanje, pre svega, o obučenosti kadrova da delaju u sličnim situacijama kada je ugrožena informaciona bezbednost podataka klijenta ili čitavog sistema, a naknadno i o praksama izbegavanja prijavljivanja krivičnih dela, zbog čega se, naizgled, odgovornost za slučaj prebacuje u potpunosti na građane.
Problematična je, prevashodno, ona odredba zakona u kojoj se reguliše obaveza operatora informaciono-komunikacionih sistema od posebnog značaja, u koje se ubrajaju privatne banke, da prijavljuje incidente nadležnim institucijama, poput Narodne banke Srbije i Ministarstva unutrašnjih poslova. Upravo je u nameri da ovo uradi naš sagovornik bio obeshrabren od strane zaposlene osobe u banci.
Ipak, iz Udruženja banaka Srbije (UBS)je za VOICE detaljnije protumačen konkretni zakonski akt. Prema rečima Darka Šehovića, člana UBS-a, odredba nije primenjiva u kontekstu napada na klijenta, pošto se njome, pre svega, uređuje bezbednost operatora informaciono-komunikacionih sistema, tj. banke.
U tom kontekstu, istraživač iz SHARE fondacije, Bojan Perkov, podseća na incident s kompromitacijom i ugrožavanjem zaštitnog sistema JKP Informatika u Novom Sadu.
„Bezbednost podataka ne bi trebalo da stane na formalnom usvajajnju mera, na nivou nekog internog akta i popularnog ’usklađivanja’ sa Zakonom o zaštiti podataka o ličnosti (GDPR). Ipak, zdravorazumski bi bilo očekivati da je veći teret uglavnom na onome ko pruža usluge i kome smo mi, kao građani, dali podatke – da poštuje zakone, da primeni adekvatne mere. Osim toga, usled neprestanog razvoja informaciono-komunikacionih tehnologija, mere koje institucija usvoji danas možda ne budu adekvatne za mesec-dva“, smatra Perkov.
Tajnovitost puta kriptovaluta
Uprkos takvom rezonu, dakle, deo odredbe koji se odnosi na „značajno ugrožavanje informacione bezbednosti“ isključuje slučajeve kada je reč o pretnjama po sigurnost podataka pojedinačnih građana, već je usmeren ka zaštiti sistema finansijske institucije. Iz digitalne Mobi banke za VOICE objašnjavaju koji su to incidenti – hakerski upadi u mrežu, kompromitacija baze podataka ili korisnika s povlašćenim pravima pristupa. Ipak, u Mobi banci nam je rečeno da oni prijavljuju nadležnim institucijama sve potencijalno sumnjive aktivnosti, pogotovo ako njihov softver primeti transakcije usmerene ka nekoj od platformi za trgovinu kriptovalutama, kada se od klijenta traži dodatno obaveštenje i prateća dokumentacija.
Naime, jednom kada se određena nacionalna ili druga valuta pretvori u svog „kripto-parnjaka“, njemu je veoma teško ući u trag usled napredne tehnologije za šifrovanje transakcija koja se koristi za funkcionisanje ove monetarne mreže. Tajnovitost puta kriptovaluta ih čini veoma privlačnim za obavljanje i plaćanje kriminalnih radnji, što je razlog zbog kog su banke na posebnom oprezu kada primete aktivnosti ovoga tipa. Upravo zbog ovoga dodatno čudi reakcija zaposlenih u neimenovanoj banci, jer je, prema rečima našeg anonimnog sagovornika, transkacija bila usmerena ka menjačnici za kriptovalute, što zaslužuje posebnu pažnju državnih službi.
Međutim, bezbednost ličnih podataka i finansija klijenata banaka nije ugrožena samo na ovaj način. Samo u prethodnih godinu dana, mnogi građani su bili meta tzv. „fišing“ kampanja u čak devet navrata. U saopštenju poslatom redakciji VOICE-a, iz Narodne banke Srbije (NBS) objašnjavaju ovu vrstu prevare.
„’Fišing’ kampanje stižu u formi lažnih imejl obaveštenja banaka ili institucija od poverenja. ’Fishi’ (sumnjivi) imejl uglavnom podstiče da korisnik otvori prilog koji se nalazi u imejlu ili da klikne na lažnu imejl adresu. Nesmotreno otvaranje priloga ili odlazak na lažnu stranicu neke institucije najčešće ima za posledicu gubitak podataka, kompromitaciju računara ili pad sistema. Ukoliko korisnik finansijskih institucija izvrši neku od ovih radnji, finansijske institucije ne mogu sprečiti zloupotrebu ličnih podataka, jer ih je korisnik svojom voljom (iako nesvesno) stavio na raspolaganje nekome ko ih može zloupotrebiti“, objašnjeno je u saopštenju NBS-a.
Porast broja prevara tokom pandemije
Međunarodna organizacija za borbu protiv pranja novca (Financial Action Task Force) upozorila je na porast onlajn prevara, tokom pandemije, koje uključuju „fišing kampanje“. Naime, u svom izveštaju se osvrću na pokušaj ilegalnog transfera više miliona evra iz Francuska ka singapurskoj banci, do kog je došlo nakon što su, na prevarni način, prikupljeni podaci preko lažnih mejlova. Kao i u tom slučaju, a shodno vanrednosti situacije, počinioci prilagođavaju sadržaje poruke tako da se odnose na pozive za dobijanje državne pomoći, internetske stranice koje prodaju maske, ili banke koje obaveštavaju klijenta o iznenadnom prilivu novca.
Bojan Perkov ističe da ovaj tip prevare ne treba olako shvatiti.
„Fišing kampanje nisu bezazlene, jer one mogu nekome da prouzrokuju ogromnu štetu; mogu da se kompromituju uređaji osobe, koji se dalje mogu koristiti za neke problematične, nezakonite radnje. Mogu se zloupotrebiti kredencijali osobe – na primer, username i šifra korisnika za e-banking – ako se to ostavi, to je gotova stvar. A svi znamo dalje za crna tržišta, na kojima se trguje podacima, kreditnim karticama“, i ostalo, rekao je Perkov.
Izloženost korisnika malicioznim radnjama, kao i pasivnost finansijskih i drugih institucija da, prvo, sprovedu adekvatne mere zaštite, a potom i edukuju klijente i građane o potencijalnim pretanjama u onlajn sferi, dovode do toga da se odgovornost za prekršaje i kriminalna dela najčešće pripisuje nesmotrenosti pojedinca. U tumačenju Zakona o platnim uslugama, na internetskoj stranici Narodne banke Srbije se navodi da će korisnik snositi sve gubitke ukoliko se neodobrene platne transakcije izvrše usled prevarnih radnji, to jest nepažnje ili namere da se ne ispuni zakonska obaveza čuvanja ličnih podataka. Međutim, ovom odrednicom se previđa ogroman prostor za eksploataciju neinformisanosti građana pri upotrebi onlajn usluga, pošto smo često nesvesni posledica koje naši digitalni otisci imaju po naše pravo na privatnost i bezbednost u jednom netransparentnom svetu algoritama. Naime, zlonamerne radnje na internetu ne zahtevaju aktivno i svesno ponašanje korisnika, pošto zloupotrebljeni podaci, kao što su informacije o kartici u incidentu izvora, mogu da se zabeleže, snime ili presretnu bilo gde: na ulici, banci ili Fejsbuku, korišćenjem fišing napada ili kupovinom na „crnom“ tržištu.
U vezi s tim, studija Javelin Strategy & Research, koju su preneli domaći mediji, utvrdila je pozitivnu vezu između porasta digitalnih transakcija tokom epidemije i prevara, čija je vrednost na globalnom nivou iznosila više milijardi dolara. Ove pretnje su svakako povećane u uslovima daljinskog rada zaposlenih u finansijskim institucijama, dok, s druge strane, klijenti i dalje često moraju fizički da odu do banke radi promene informacija ili potpisivanja dokumenata. Narodna banka Srbije je, shodno tome, još na početku pandemije izdala preporuke za bezbednost informacionih sistema finansijskih institucija. Kao operatori od posebnog značaja, banke obrađuju ogromnu količinu osetljivih podataka, od brojeva kartica, finansijskog stanja, pa do datuma primanja plate, te njihova ranjivost, ali i nemar, mogu da imaju ozbiljne posledice po privatnost i sigurnost građana.
Igor Išpanović, Miloš Katić (VOICE, ilustracija: Pixabay)