30.09.2024.
Pitanja: U kojoj meri su digitalizacija i instant plaćanja postali opasni i za klijente, i za same banke jer je sve više zloupotreba? Da li je tačno, kako je navedeno na nekoj od konferencija Narodne banke Srbije, da dnevno postoji oko 70.000 sumnjivih (prevarnih) sajber upada kod banaka? Šta to konkretno znači? Činjenica je da su se upravo zbog sajber napada banke u Srbiji značajno okrenule jačanju sajber bezbednosti. Da li Narodna banka Srbije ima podatke o tome u kojoj meri su banke osposobljene i koliko ulažu u sajber sigurnost kada je reč o onlajn plaćanjima klijenta? Na koji način Narodna banka Srbije rešava probleme u vezi s prevarama i malverzacijama kod internet transakcija? Da li su banke u obavezi i u kojoj meri da zaštite klijente prilikom plaćanja karticama na internetu? I šta kada dođe do štete, da li su i kada banke dužne da tu štetu nadoknade korisnicima kartice? Koliko je onlajn plaćanja karticama ostvareno u Srbiji od početka ove godine i kolika im je vrednost? Koliko je bilo 2023. i 2022. godine i da li je uočen rast i za koliko? Potrebni su nam podaci za isti period (2024, 2023. i 2022) i za broj korisnika mobilnog bankarstva, kao i za broj korisnika elektronskog bankarstva. Prema poslednje dostupnim podacima koje pružaoci platnih usluga na tromesečnom nivou dostavljaju Narodnoj banci Srbije, koliko je na sredini 2024. godine bilo registrovanih korisnika za uslugu mobilnog bankarstva? Koliko je od početka ove godine (a koliko u 2023. i 2022) bilo prigovora klijenata banaka u vezi sa zloupotrebom platne kartice, da li se taj broj povećao? I koliko je procentualno slučajeva rešeno (u svakom periodu)?
Odgovor: U skladu sa informacijama kojima Narodna banka Srbije raspolaže, broj prijavljenih zloupotreba kod instant plaćanja izuzetno je mali, odnosno kod instant plaćanja na internet i fizičkim prodajnim mestima zloupotreba praktično nema. S obzirom na to, ostaje nejasno na osnovu kojih informacija je donesen zaključak da se broj zloupotreba instant plaćanja za korisnike i banke povećava jer raspoloživi podaci prikazuju suprotno.
U IPS NBS sistemu su primenjene mere najbolje prakse iz oblasti informacione sigurnosti koje obezbeđuju stabilan i siguran rad sistema. Pre svega, u sistem je integrisana PKI infrastruktura, čija primena obezbeđuje pouzdanu autentifikaciju učesnika u sistemu (banaka), integritet i neporecivost digitalnih poruka koje se koriste u sistemu, kao i poverljivost, odnosno zaštitu informacija u njima primenom metoda digitalnog potpisivanja poruka i kriptovanja saobraćaja na prenosnom putu. Takođe, razmena informacija između banaka i operatora (Narodne banke Srbije) realizuje se putem zatvorene računarske mreže s restriktivnim pristupom, u koju su uključeni učesnici u sistemu. U dosadašnjem radu IPS NBS sistema nisu uočene bilo kakve zloupotrebe koje bi potencijalno ugrozile sigurnost funkcionisanja informacionog sistema IPS NBS sistema. Pored toga, osim sopstvenih rešenja pružalaca platnih usluga, kao dodatan način za sprečavanje nastanka prevarnih radnji dostupan je modul za detekciju prevara, koji je bankama raspoloživ za integraciju s njihovim informacionim sistemima.
Instant plaćanje nudi niz pogodnosti i za korisnike (kupce) i za trgovce, ali je posebno važno istaći da se plaćanje putem IPS sistema prilikom kupovine na internetu ogleda u veoma visokoj bezbednosti plaćanja, jer se kod ovog načina plaćanja ne koriste osetljivi podaci o platnom instrumentu ili korisniku, kao što je to slučaj kod, na primer, platnih kartica. Budući da kupac ne unosi podatke o svom platnom instrumentu, niti se oni koriste ili čuvaju na strani trgovca, isključena je mogućnost njihove kasnije zloupotrebe. Takođe, kod instant plaćanja ne postoji potreba za dodatnom autentifikacijom, kao što je to takođe slučaj kod, na primer, platnih kartica, već korisnik na uobičajeni način potvrđuje transakciju PIN-om, otiskom prsta ili prepoznavanjem lica u aplikaciji mobilnog bankarstva, a ceo proces se obavlja u okruženju banke izdavaoca, koje je veoma sigurno.
Zbog značajnih prednosti koje instant plaćanje donosi i višeg nivoa sigurnosti u odnosu na druge bezgotovinske platne instrumente, sve veći broj internet trgovaca prepoznaje prednosti instant plaćanja, tako da se prihvatna mreža stalno širi. S druge strane, sve veći broj korisnika instant plaćanja plaća na internetu, što dodatno doprinosi povećanju broja bezgotovinskih transakcija na internetu, uz znatno povećanje sigurnosti kod plaćanja na internetu. Kod određenih internet trgovaca koji prihvataju instant plaćanje, učešće IPS-a u bezgotovinskim plaćanjima iznosi i preko 40%, dok, s druge strane, praktično ne postoji prijavljena zloupotreba ovog platnog instrumenta. Navedeno jasno pokazuje da se radi o veoma sigurnom platnom instrumentu, koji je značajno unapredio sigurnost kod bezgotovinskih plaćanja i za korisnike i za banke i trgovce, te je značajno doprineo sigurnosti, a samim tim i smanjenju zloupotreba kod plaćanja bezgotovinskim platnim instrumentima.
Za izvršavanje IPS plaćanja na prodajnom mestu platiocu se ne naplaćuje naknada, a trgovci imaju višestruko nižu trgovačku naknadu koju plaćaju banci prihvatiocu u odnosu na, na primer, platne kartice. Još jedna važna karakteristika instant plaćanja jeste da se sredstva s računa platioca prenose na račun primaoca plaćanja u svega nekoliko sekundi, za razliku od, na primer, platnih kartica, gde su trgovcu sredstva na raspolaganju tek posle nekoliko dana. U skladu s tim, instant plaćanje nije samo siguran platni instrument već i troškovno efikasan, koji donosi niže troškove za izvršenje transakcija svim učesnicima.
Plaćanje platnim karticama na internetu je bezbedno za korisnike platnih kartica, kao i za trgovce koji prihvataju platne kartice. Narodna banka Srbije prikuplja i neprekidno prati podatke o zloupotrebama nastalim kod plaćanja platnim karticama na internetu. Iz tih podataka može se zaključiti da je broj zloupotreba kod plaćanja na internetu u Republici Srbiji u okviru statistike koje je uobičajena za plaćanje platnim karticama na internetu i ne odstupa u odnosu na druga tržišta kod plaćanja platnim karticama na internetu.
Veoma je važno istaći da bezbedna kupovina na internetu podrazumeva i odgovorno ponašanje korisnika platnih kartica. S obzirom na to, kao i na važnost edukacije korisnika kod plaćanja platnim karticama na internetu, Narodna banka Srbije ulaže značajne napore da informiše korisnike o određenim rizicima prilikom korišćenja platnih kartica na internetu i upozori ih na njih. S tim u vezi, Narodna banka Srbije je na svojoj internet prezentaciji objavila i brošuru „O čemu treba voditi računa pri korišćenju platnih kartica na internetu” sa ciljem pojašnjenja rizika, kao i mera predostrožnosti koje korisnici treba da preduzimaju.
Navedeni saveti su ujedno i obaveze koje za korisnika platne kartice propisuje Zakon o platnim uslugama, odnosno da korisnik platnu karticu koristi na način koji je utvrđen ugovorom o izdavanju platne kartice i da nakon saznanja o potencijalnoj izloženosti podataka o platnoj kartici, krađi ili zloupotrebi platne kartice o tome obavesti banku na način koji je utvrđen u ugovoru. Odgovornim ponašanjem korisnika kod plaćanja platnim karticama na internetu, rizik od prevara i zloupotreba se minimalizuje. Takođe, u skladu s tim, u slučaju eventualnih zloupotreba platnog instrumenta korisnik nije odgovoran za nastalu štetu.
Da bi se unapredila i pojačala bezbednost kod plaćanja na internetu i stvorio okvir za razvoj novih načina plaćanja na internetu, na predlog Narodne banke Srbije, Narodna skupština Republike Srbije usvojila je u julu ove godine izmene i dopune Zakona o platnim uslugama i u skladu s tim, od 6. maja 2025. godine svi pružaoci platnih usluga u našoj zemlji imaju obavezu da primene pouzdanu autentifikaciju (Strong Customer Authentication – SCA) za transakcije na internetu. Pouzdana autentifikacija korisnika je postupak kojim se potvrđuje identitet korisnika, kao i sama transakcija. Svrha navedenog je da se dodatno smanji rizik prilikom plaćanja na internetu, kao i da se poveća poverljivost podataka o korisniku. Napominjemo da, iako je ovaj zahtev postojao u važećim propisima, detaljnije uređenim pravilima uvode se dodatne bezbednosne provere u proces identifikacije korisnika radi što bolje zaštite od zlonamernih aktivnosti.
Imajući u vidu ubrzani razvoj informacionih tehnologija, nesumnjivo je da je broj sajber napada u konstantnom porastu i u Srbiji i na svetskom nivou. Sajber bezbednost u današnjem digitalnom dobu je prioritet za finansijske institucije, a pre svega poslovne banke i savremeno društvo u celini. Sajber pretnje su svakog dana sve sofisticiranije i javljaju se u sve većem broju i oblicima, kao što su fišing, razni maliciozni softveri, men in the middle napadi i sl. S tim u vezi, Narodna banka Srbije svojim supervizorskim nadzorom, između ostalog, kontinuirano prati dešavanja na polju sajber bezbednosti. Finansijske institucije odnosno banke imaju obavezu da izveštavaju Narodnu banku Srbije o incidentima koji se dešavaju u njihovim informacionim sistemima i koji mogu ugroziti njihov rad i dovesti do ugrožavanja stabilnosti sistema i zloupotrebe podataka klijenata.
Svakodnevno su banke i druge finansijske institucije izložene različitim sajber napadima koji su efikasno sprečeni, korišćenjem različitih specifičnih alata za odbranu. Pored toga, banke uspešno vrše monitoring svega što se dešava u njihovim informacionim sistemima a sve radi zaštite resursa tih sistema i uspostavljanja adekvatnog nivoa bezbednosti. Isto tako, Narodna banka Srbije supervizorskim nadzorom upravljanja informacionim sistemom i kontinuitetom poslovanja banaka sagledava da li banke koriste odnosno uspostavljaju alate i servise u svom informacionim sistemu koji štite od potencijalnih sajber napada i na taj način preventivno deluje na stabilnost poslovanja finansijske institucije odnosno banke. Moramo napomenuti da veliki broj sajber napada ne znači istovremeno i realizaciju tih napada. Naprotiv, banke adekvatno odgovaraju na te napade i ulažu velike napore da se oni ne realizuju.
Narodna banka Srbije prati, na različite načine, uspostavljanje okvira za adekvatan nivo bezbednosti informacionog sistema banaka (otpornosti na sajber napade). Banke su svesne pretnji, pa značajno ulažu u tehničko-tehnološka rešenja za zaštitu informacionog sistema uvođenjem više različitih rešenja za bezbednost na više kontrolnih tačaka. Takođe, propisima Narodne banke Srbije uvedena je obaveza bezbednog prijavljivanja na sisteme, na primer, na mobilnu aplikaciju, korišćenjem dvostruke autentifikacije. Pored banaka, odgovornost za način korišćenja različitih servisa koji se nude putem interneta jeste i na korisnicima koji moraju da vode računa o svojim uređajima i svojim lozinkama, koje ne smeju da dele s drugima. Takođe, korisnici treba da vode računa o tome na kojim sajtovima vrše plaćanja i gde ostavljaju podatke o svojim karticama, računima i lozinkama.
Da zaključimo, sajber bezbednost nije samo pitanje banaka već i korisnika servisa koji moraju da podižu svoju svest o prevarnim radnjama koje su sve više prisutne u digitalnom svetu, koji je naša svakodnevnica, i s tim u vezi da se pridržavaju osnovnih načela za bezbedno plaćanje na internetu, a to su: proveriti verodostojnost sajta, korišćenje jake lozinke (mala velika slova, brojevi, znaci interpunkcije…), izbegavanje plaćanja preko javne Wi-Fi mreže, redovno ažuriranje softvera telefona/računara, ne otvarati sumnjive mejlove, ne deliti lozinke s drugim osobama i dr.
Probleme u vezi s prevarama kod internet transakcija Narodna banka Srbije rešava na dva načina: putem postupka po pritužbi i putem postupka kontrole.
Odgovor na vaše pitanje je zasnovan na dva najvažnija propisa koja regulišu obaveze banke – Zakonu o platnim uslugama i Zakonu o zaštiti korisnika finansijskih usluga. Platne transakcije koje korisnici vrše putem interneta regulisane su Zakonom o platnim uslugama. Osnovna obaveza banke u vezi s platnim transakcijama putem interneta (odnosno svim drugim platnim transakcijama) svodi se na izvršavanje transakcije isključivo uz saglasnost platioca, na način na koji je to s bankom ugovorio pri potpisivanju ugovora o platnim uslugama. To praktično znači da banka sme da izvrši isključivo transakcije koje je platilac lično inicirao. Kako bi banka u fizičkom odsustvu korisnika bila sigurna da je korisnik zaista i platilac, za plaćanje na internetu potrebni su podaci za čiju bezbednost je zadužen lično korisnik. To podrazumeva, primera radi, unos broja kartice, datum isteka, odnosno kontrolni broj sa poleđine platne kartice. Međutim, postoje situacije u kojima je platna kartica korisnika otuđena ili zloupotrebljena. U takvim situacijama, kriminalac (zloupotreba tuđe platne kartice je krivično delo) ima pristup podacima fizički vidljivim na kartici, a ponekad i ličnom identifikacionom broju. Upravo zbog takvih situacija sve banke u Republici Srbiji obezbeđuju 3D secure plaćanja na internetu. Tehnologija 3D secure podrazumeva dodatnu autentifikaciju koja služi za sprečavanje zloupotrebe. Taj proces se odvija na sledeći način: nakon iniciranja transakcije, uz unošenje svih potrebnih podataka, platilac (na primer, lice koje je ukralo tuđu platnu karticu) preusmerava se na stranicu banke za dodatnu autentifikaciju. Na tom mestu se od platioca zahteva unos jednokratne lozinke, koja stiže na broj telefona korisnika registrovanog u banci ili biometrijski element, poput otiska prsta ili prepoznavanja lica. U konkretnom primeru, kriminalac koji je ukrao platnu karticu će na tom mestu biti sprečen da izvrši plaćanje i otuđi sredstva s računa korisnika jer ne poseduje ni jedno ni drugo. Za transakcije nastale u 3D secure okruženju nema osnova za podnošenje prigovora banci, a banka nema osnova za pokretanje reklamacionog postupka pred kartičarskim asocijacijama, zbog toga što su nastale u najvećem mogućem stepenu zaštite. Potencijalni problem u praksi nastaje zbog toga što, pored banke, internet trgovci takođe moraju prihvatiti 3D secure tehnologiju kako bi korisniku omogućili plaćanja s dodatnom autentifikacijom. U vezi s transakcijama nastalih kod trgovca koji ne omogućava 3D secure, može se podneti prigovor. Postupak po prigovoru zavisi od različitog broja stvari – stepena pažnje korisnika pri čuvanju svojih podataka, njegove reakcije nakon saznanja o zloupotrebi i drugih okolnosti. U slučaju da korisnik odmah po saznanju obavesti banku (na primer putem kontakt centra) o zloupotrebi/gubitku svoje kartice, trošak svih transakcija nastalih nakon obaveštavanja snosi banka. Zbog toga je brza reakcija korisnika ključna. U situacijama u kojima korisnik ne primeti da je njegova kartica zloupotrebljena, ishod postupka će zavisiti od mnogobrojnih okolnosti koje banka uzima u obzir poput stepena pažnje korisnika, njegovih finansijskih navika, obrazovanja, uverljivosti prevare i mnogih drugih elemenata. Najzad, u slučaju da banka oceni prigovor korisnika kao neosnovan, dužna je da ga uputi na mogućnost podnošenja pritužbe Narodnoj banci Srbije.
Prema poslednje dostupnim podacima koje pružaoci platnih usluga na tromesečnom nivou dostavljaju Narodnoj banci Srbije, broj kupovina robe i usluga preko interneta upotrebom kartica u Srbiji je u prvoj polovini 2024. godine iznosio 24,3 miliona, u vrednosti od 68,1 milijarde dinara, dok je u 2023. godini izvršeno 40,4 miliona transakcija, vrednosti 114,3 milijarde dinara, a u 2022. godini 30,3 miliona transakcija, vrednosti 81,1 milijarde dinara. Tokom godina zabeležen je kontinuirani trend rasta, pri čemu je, radi adekvatnog poređenja, broj transakcija u prvoj polovini 2024. godine za 32,5% veći nego u prvoj polovini 2023. godine, odnosno za 76,9% veći nego u prvoj polovini 2022. godine. Isto tako, vrednost kupovina bila je u prvoj polovini 2024. godine za 33,7% viša nego u istom periodu 2023. godine, odnosno za 91,1% viša nego u istom periodu 2022. godine. Pomenuti podaci dostupni su na internet stranici Narodne banke Srbije – Statistika platnog sistema Narodne banke Srbije, u delu za dostavljene podatke pružalaca platnih usluga počev od prvog tromesečja 2016. godine, u izveštaju Platne transakcije kupovine robe i usluga preko interneta.
Prema poslednje dostupnim podacima koje pružaoci platnih usluga na tromesečnom nivou dostavljaju Narodnoj banci Srbije, za uslugu mobilnog bankarstva na sredini 2024. godine bila su registrovana 4,3 miliona korisnika, naspram 4 miliona na kraju 2023. godine i 3,4 miliona na kraju 2022. godine. Što se tiče usluge elektronskog bankarstva, na sredini 2024. godine bila su registrovana 4,2 miliona korisnika, naspram 4,1 miliona na kraju 2023. godine i 3,8 miliona na kraju 2022. godine. Pomenuti podaci dostupni su na takođe na internet stranici Narodne banke Srbije – Statistika platnog sistema Narodne banke Srbije, u delu za dostavljene podatke pružalaca platnih usluga počev od prvog tromesečja 2016. godine, u izveštaju Broj korisnika po vrstama određenih platnih usluga.
U vezi sa zloupotrebom platnih kartica, od početka godine podneto je 268 pritužbi korisnika, od čega je rešeno 91% pritužbi, a pri čemu je 57% pritužbi rešeno u korist korisnika finansijskih usluga.
Sve pritužbe podnete u toku 2023. godine i 2022. godine rešene su, pri čemu je u toku 2023. godine podneto 149 pritužbi u vezi sa zloupotrebom kartica (osnovanih je bilo 30%), dok je u toku 2022. godine podneto 48 takvih pritužbi (osnovanih je bilo 44%).
Iako je Narodna banka Srbije u više navrata ukazivala korisnicima da budu obazrivi prilikom korišćenja kartica, navodeći i primere prevara kao što su korišćenje platnih kartica za plaćanja na internetu, prevare putem digitalnog novčanika, lažne ankete kada se od korisnika zahteva dostavljanje određenih podataka i sl. – broj pritužbi korisnika u vezi sa zloupotrebama kartica povećao se.
Pored tih preventivnih aktivnosti, Narodna banka Srbije preduzimala je i korektivne mere, odnosno sprovodila postupke kontrole banaka. Posebno bismo istakli da je Narodna banka Srbije uložila dodatne napore da korisnici u najvećem delu budu obeštećeni u slučaju kada banka nije dokazala krajnju nepažnju korisnika. Radi ilustracije efekata u vezi sa sprovedenim aktivnostima Narodne banke Srbije tokom prošle i ove godine, izdvojili bismo da je na osnovu sprovedenih postupaka kontrole banaka u oblasti zaštite korisnika finansijskih usluga, a u vezi sa zloupotrebama – korisnicima je vraćeno preko 88 miliona dinara.
Kabinet guvernera
