16.09.2024.
Питања: Колико је безбедно плаћање картицама преко интернета у Србији и које мере Народна банка Србије препоручује корисницима ради заштите? Да ли препоручујете да платне картице за онлајн куповину буду одвојене од главног рачуна на коме корисници имају приходе? Како се Народна банка Србије бори против превара и малверзација у вези са интернет трансакцијама? Које кораке корисник може преузети уколико сумња да је његова картица компромитована приликом онлајн куповине? На који начин су банке у Србији у обавези да заштите клијенте приликом плаћања картицама на интернету ? Да ли постоје додатни алати или сервиси које би корисници требало да користе како би побољшали безбедност онлајн трансакција? Колико је важно редовно праћење стања рачуна и да ли постоје специфични знакови који могу указати на злоупотребу картице? Које су најчешће врсте превара с платним картицама приликом интернет куповине и како корисници да избегну ризичне ситуације? Да ли постоји законска обавеза да банке у Србији надокнаде штету клијентима у случају малверзације приликом онлајн плаћања? Каква су правила за враћање новца у случајевима када је дошло до неовлашћених трансакција на интернету?
Одговор: Безбедна куповина на интернету подразумева одговорно понашање корисника платних картица. Приликом употребе картица на интернету, саветујемо следеће:
Народна банка Србије континуирано спроводи активности усмерене на едукацију корисника када је реч о финансијским услугама, те се тако труди и да корисницима платних инструмената пружи корисне информације и савете. Увек је сигурније ограничити средства с којима ће корисник располагати у онлајн куповини. Један од начина које многе банке нуде јесу картице искључиво намењене за куповину на интернету. Поред тога, многе банке издаваоци су својим корисницима омогућиле измену лимита путем апликације мобилног банкарства, тако да корисници самостално и у реалном времену могу управљати лимитима и мењати их у складу са својим потребама. У пракси постоје различити лимити, нпр. извршење максималног броја трансакција или максималног износа у одређеном периоду итд. и представљају један вид заштите корисника картица од злоупотреба, што је од посебног значаја код располагања новчаним средствима на текућем рачуну. Такође, постоје лимити где је онемогућено извршавање трансакција по одређеном каналу, нпр. за плаћање на интернету, банкомату, ПОС терминалу.
Народна банка Србије улаже значајне напоре да едукацијом и заштитом корисника путем друштвених мрежа и на интернет презентацији информише и упозори кориснике на опрез приликом коришћења платних картица на интернету. С тим у вези, Народна банка Србије је на својој интернет презентацији објавила и брошуру „О чему треба водити рачуна при коришћењу платних картица на интернету” ради разјашњења ризика, као и мера предострожности које грађани треба да предузму.
Наведени савети су уједно и обавезе које за корисника платне картице прописује Закон о платним услугама, односно да корисник платну картицу користи на начин који је утврђен уговором о издавању платне картице, да по пријему картице заштити свој ПИН од могућих злоупотреба и да након сазнања о губитку, крађи или злоупотреби платне картице о томе обавести банку на начин који је утврђен у уговору.
У складу с недавним изменама и допунама Закона о платним услугама, донетим на предлог Народне банке Србије, како би се додатно појачала сигурност плаћања на интернету, од 6. маја 2025. године сви пружаоци платних услуга у нашој земљи имаће обавезу и као издаваоци платних картица и као прихватиоци платних картица (тј. када пружају услуга прихватања платних картица на домаћим сајтовима) да примене поуздане, тј. додатне аутентификације за трансакције на интернету.
Народна банка Србије је у октобру 2018. године имплементирала систем за инстант плаћања, који се, између осталог, користи и за плаћања на интернет продајним местима. Инстант плаћање нуди низ погодности и за кориснике (купце) и за трговце, али је посебно важно истаћи да се плаћање IPS-ом приликом куповине на интернету огледа у веома високој безбедности плаћања, јер се код овог начина плаћања не користе осетљиви подаци о платном инструменту или кориснику, будући да купац не уноси податке о свом платном инструменту, нити се они чувају на страни трговца, тако да је искључена могућност њихове касније злоупотребе.
Плаћање IPS-ом на интернету обавља се методом IPS skeniraj, коришћењем апликације мобилног банкарства на мобилним телефону. Плаћање је могуће извршити скенирањем IPS QR кôда или употребом тзв. deep link технологије – одабиром банке из понуђене листе банака чију апликацију мобилног банкарства користите.
Код извршења плаћања IPS-ом на интернету, корисник плаћа на исти начин као и на физичком продајном месту или код плаћања рачуна, тако да је корисничко искуство једноставно и познато. Код инстант плаћања не постоји потреба за додатном аутентификацијом, већ корисник на уобичајени начин потврђује трансакцију ПИН-ом, отиском прста или другим начином потврде плаћања у апликацији мобилног банкарства, а цео процес се обавља у окружењу банке издаваоца које је веома сигурно.
Све већи број интернет трговаца препознаје предности инстант плаћања, тако да се прихватна мрежа стално шири. С друге стране, све већи број корисника инстант плаћања плаћа на интернету, што додатно доприноси повећању броја безготовинских трансакција на интернету, уз знатно повећање сигурности код плаћања на интернету.
У случају да корисник сумња да је његова картица компромитована приликом онлајн куповине, неопходно је да се без одлагања јави својој банци и блокира даље коришћење картице или блокира картицу путем апликације електронског односно мобилног банкарства. Након што корисник обавести банку о злоупотреби, даљи ризик извршења трансакција прелази на банку која је издала платни инструмент. Истовремено, указујемо грађанима да је неопходно да сами покажу одговорност и одговарајући степен пажње, тако што неће путем лажних страница, имејлова или анкета остављати своје податке које нуде новчану награду и одавати своје податке. У ситуацији када корисник платне услуге покаже крајњу непажњу, он сноси све трошкове, односно губитке који настану извршењем неодобрених платних трансакција.
У складу са актуелним изменама и допунама Закона о платним услугама, донетим на предлог Народне банке Србије, како би се додатно појачала сигурност плаћања на интернету, од 6. маја 2025. године сви пружаоци платних услуга у нашој земљи имаће обавезу да, и као издаваоци платних картица и као прихватиоци платних картица (тј. када пружају услуга прихватања платних картица на домаћим сајтовима), примењују поуздане, тј. додатне аутентификације за трансакције на интернету.
Примена додатне аутентификације, тзв. 3DSecure функционалност корисницима омогућава додатну аутентификацију приликом плаћања на интернету, где корисник у току трансакције додатно потврђује трансакцију помоћу лозинке или броја који је добио од своје банке, у зависности од начина аутентификације коју његова банка користи (једнократна лозинка, број добијен СМС поруком или електронском поштом и слично).
Корисницима се саветује редовно проверавање извештаје платних картица како би на време уочили сумњиве трансакције. Неке банке нуде услугу и активирања и могућност слања обавештења о извршеној трансакцији платном картицом. На тај начин, корисници имају могућност да одмах након извршења сумњиве трансакције или активности, позове банку која је издала картицу и блокира картицу, чиме се спречава њена евентуална даља злоупотреба.
Учестале су појаве лажних наградних игара на друштвеним мрежама, СМС порукама и преко имејлова, где се корисницима нуди награда у различитим износима, иза чега стоји злоупотреба платне картице уколико им се доставе подаци о платној картици.
Оно што је посебно важно напоменути и што корисници морају знати јесте да се организације било каквих промоција, погодности и слично код трансакција платним картицама не организују на Фејсбуку и друштвеним мрежама, већ да погодности обезбеђују банке или познати трговци у сарадњи с банкама, а да се с таквим кампањама и информацијама корисници платних картица најчешће упознају преко банке и уговорених канала комуникације које корисници имају с банкама (пошта, имејл, нотификација у апликацији мобилног банкарства, СМС порука). Погодности које се најчешће остварују код банака су нпр. да, ако корисник оствари одређен број трансакција или промет у одређеном периоду, банка га може ослободити одређене накнаде или се код трговаца добија попуст на куповини неког производа, али ће корисник увек плаћати на стандардни начин и никада се неће захтевати од корисника да уноси или доставља податке о платној картици како би остварио одређену погодност, посебно не преко друштвених мрежа. Поред тога, наводимо да се код куповине на интернету не користи ПИН, тако да захтев за унос ПИН-а директно указује на могућност злоупотребе података. Саветујемо и да се не шаљу фото-копије платне картице (или другог документа) мејлом, у инбокс странице на друштвеним мрежама или слично. Банке вам никада неће тражити да мејлом или поруком достављате или мењате своје податке, потврдите лозинку, извршите плаћање или сл.
Народна банка Србије апелује на грађане да никако не одају своје податке другим лицима. Сигурносне шифре које банке достављају грађанима за коришћење платних инструмената – картица и електронског односно мобилног банкарства (ПИН картице, активациони кодови, СМС поруке с кодовима за извршење трансакције), као и сигурносни подаци које грађани након тога сами креирају (шифра за приступ налогу електронског банкарства, измењени ПИН картице), познати су искључиво власнику рачуна и грађани не треба да их прослеђују никоме, укључујући и лица која се представљају као представници њихове банке. Корисници платних картица или апликације електронског односно мобилног банкарства треба да знају да банка такве податке никада неће тражити од њих путем друштвених мрежа, лажних имејлова или анкета, а посебно неће за такве информације нудити новчану награду.
Додајемо да Народна банка Србије овакве и сличне случајеве преваре одмах по евидентирању пријављује Посебном одељењу Вишег јавног тужилаштва за борбу против високотехнолошког криминала и Министарству унутрашњих послова – Одељењу за сузбијање високотехнолошког криминала.
Закон о платним услугама (ЗПУ), по узору на Директиву ЕУ о платним услугама, увео је претпоставку одговорности код тзв. неодобрене платне трансакције на страни пружаоца платних услуга (банке). Код губитка или крађе платне картице, као и у случају злоупотребе картице, односно података с картице, направљена је јасна подела ризика. Том поделом дају се законске претпоставке одговорности које се могу оборити. Дакле, успостављено је основно правило по којем је ризик подељен тако што корисник сноси губитак до 3000 динара, а све преко тога сноси банка. Ако банка има доказе да је корисник поступао преварно или да је с грубом непажњом поступао у заштити сигурносних елемената картице (једнократна лозинка, ПИН и сл.) – корисник у потпуности сноси губитак. Међутим, услов за то је да је корисник предузео одређене мере у вези са сигурним коришћењем картице који су предвиђени оквирним уговором с банком, те да је у случају злоупотребе, одмах обавестио банку ради блокирања картице. Дакле, претпоставка одговорности је на банци, али банка може доказати (и посредно) да се корисник није придржавао тих обавеза, што је довело до злоупотребе картице. Ако банка то докаже, корисник сноси целокупан губитак.
Када корисник установи да је његовом картицом извршена неовлашћена трансакција, потребно је да пре свега поднесе писани приговор банци. Банка тада покреће рекламациони поступак према картичној шеми како би утврдила све релевантне чињенице. Према Закону о платним услугама, корисник сноси губитке за злоупотребе до износа од 3000 динара, а за трансакције преко овог износа, уколико се утврди да корисник није поступао преварно и с крајњом непажњом, банка је дужна да кориснику врати средства на рачун.
Кабинет гувернера
