30.09.2024.
Питања: У којој мери су дигитализација и инстант плаћања постали опасни и за клијенте, и за саме банке јер је све више злоупотреба? Да ли је тачно, како је наведено на некој од конференција Народне банке Србије, да дневно постоји око 70.000 сумњивих (преварних) сајбер упада код банака? Шта то конкретно значи? Чињеница је да су се управо због сајбер напада банке у Србији значајно окренуле јачању сајбер безбедности. Да ли Народна банка Србије има податке о томе у којој мери су банке оспособљене и колико улажу у сајбер сигурност када је реч о онлајн плаћањима клијента? На који начин Народна банка Србије решава проблеме у вези с преварама и малверзацијама код интернет трансакција? Да ли су банке у обавези и у којој мери да заштите клијенте приликом плаћања картицама на интернету? И шта када дође до штете, да ли су и када банке дужне да ту штету надокнаде корисницима картице? Колико је онлајн плаћања картицама остварено у Србији од почетка ове године и колика им је вредност? Колико је било 2023. и 2022. године и да ли је уочен раст и за колико? Потребни су нам подаци за исти период (2024, 2023. и 2022) и за број корисника мобилног банкарства, као и за број корисника електронског банкарства. Према последње доступним подацима које пружаоци платних услуга на тромесечном нивоу достављају Народној банци Србије, колико је на средини 2024. године било регистрованих корисника за услугу мобилног банкарства? Колико је од почетка ове године (а колико у 2023. и 2022) било приговора клијената банака у вези са злоупотребом платне картице, да ли се тај број повећао? И колико је процентуално случајева решено (у сваком периоду)?
Одговор: У складу са информацијама којима Народна банка Србије располаже, број пријављених злоупотреба код инстант плаћања изузетно је мали, односно код инстант плаћања на интернет и физичким продајним местима злоупотреба практично нема. С обзиром на то, остаје нејасно на основу којих информација је донесен закључак да се број злоупотреба инстант плаћања за кориснике и банке повећава јер расположиви подаци приказују супротно.
У IPS НБС систему су примењене мере најбоље праксе из области информационе сигурности које обезбеђују стабилан и сигуран рад система. Пре свега, у систем је интегрисана PKI инфраструктура, чијa примена обезбеђује поуздану аутентификацију учесника у систему (банака), интегритет и непорецивост дигиталних порука које се користе у систему, као и поверљивост, односно заштиту информација у њима применом метода дигиталног потписивања порука и криптовања саобраћаја на преносном путу. Такође, размена информација између банака и оператора (Народне банке Србије) реализује се путем затворене рачунарске мреже с рестриктивним приступом, у коју су укључени учесници у систему. У досадашњем раду IPS НБС система нису уочене било какве злоупотребе које би потенцијално угрозиле сигурност функционисања информационог система IPS НБС система. Поред тога, осим сопствених решења пружалаца платних услуга, као додатан начин за спречавање настанка преварних радњи доступан је модул за детекцију превара, који је банкама расположив за интеграцију с њиховим информационим системима.
Инстант плаћање нуди низ погодности и за кориснике (купце) и за трговце, али је посебно важно истаћи да се плаћање путем IPS система приликом куповине на интернету огледа у веома високој безбедности плаћања, јер се код овог начина плаћања не користе осетљиви подаци о платном инструменту или кориснику, као што је то случај код, на пример, платних картица. Будући да купац не уноси податке о свом платном инструменту, нити се они користе или чувају на страни трговца, искључена је могућност њихове касније злоупотребе. Такође, код инстант плаћања не постоји потреба за додатном аутентификацијом, као што је то такође случај код, нa пример, платних картица, већ корисник на уобичајени начин потврђује трансакцију PIN-ом, отиском прста или препознавањем лица у апликацији мобилног банкарства, а цео процес се обавља у окружењу банке издаваоца, које је веома сигурно.
Због значајних предности које инстант плаћање доноси и вишег нивоа сигурности у односу на друге безготовинске платне инструменте, све већи број интернет трговаца препознаје предности инстант плаћања, тако да се прихватна мрежа стално шири. С друге стране, све већи број корисника инстант плаћања плаћа на интернету, што додатно доприноси повећању броја безготовинских трансакција на интернету, уз знатно повећање сигурности код плаћања на интернету. Код одређених интернет трговаца који прихватају инстант плаћање, учешће IPS-а у безготовинским плаћањима износи и преко 40%, док, с друге стране, практично не постоји пријављена злоупотреба овог платног инструмента. Наведено јасно показује да се ради о веома сигурном платном инструменту, који је значајно унапредио сигурност код безготовинских плаћања и за кориснике и за банке и трговце, те је значајно допринео сигурности, а самим тим и смањењу злоупотреба код плаћања безготовинским платним инструментима.
За извршавање IPS плаћања на продајном месту платиоцу се не наплаћује накнада, а трговци имају вишеструко нижу трговачку накнаду коју плаћају банци прихватиоцу у односу на, на пример, платне картице. Још једна важна карактеристика инстант плаћања јесте да се средства с рачуна платиоца преносе на рачун примаоца плаћања у свега неколико секунди, за разлику од, на пример, платних картица, где су трговцу средства на располагању тек после неколико дана. У складу с тим, инстант плаћање није само сигуран платни инструмент већ и трошковно ефикасан, који доноси ниже трошкове за извршење трансакција свим учесницима.
Плаћање платним картицама на интернету је безбедно за кориснике платних картица, као и за трговце који прихватају платне картице. Народна банка Србије прикупља и непрекидно прати податке о злоупотребама насталим код плаћања платним картицама на интернету. Из тих података може се закључити да је број злоупотреба код плаћања на интернету у Републици Србији у оквиру статистике које је уобичајена за плаћање платним картицама на интернету и не одступа у односу на друга тржишта код плаћања платним картицама на интернету.
Веома је важно истаћи да безбедна куповина на интернету подразумева и одговорно понашање корисника платних картица. С обзиром на то, као и на важност едукације корисника код плаћања платним картицама на интернету, Народна банка Србије улаже значајне напоре да информише кориснике о одређеним ризицима приликом коришћења платних картица на интернету и упозори их на њих. С тим у вези, Народна банка Србије је на својој интернет презентацији објавила и брошуру „О чему треба водити рачуна при коришћењу платних картица на интернету” са циљем појашњења ризика, као и мера предострожности које корисници треба да предузимају.
Наведени савети су уједно и обавезе које за корисника платне картице прописује Закон о платним услугама, односно да корисник платну картицу користи на начин који је утврђен уговором о издавању платне картице и да након сазнања о потенцијалној изложености података о платној картици, крађи или злоупотреби платне картице о томе обавести банку на начин који је утврђен у уговору. Одговорним понашањем корисника код плаћања платним картицама на интернету, ризик од превара и злоупотреба се минимализује. Такође, у складу с тим, у случају евентуалних злоупотреба платног инструмента корисник није одговоран за насталу штету.
Да би се унапредила и појачала безбедност код плаћања на интернету и створио оквир за развој нових начина плаћања на интернету, на предлог Народне банке Србије, Народна скупштина Републике Србије усвојила је у јулу ове године измене и допуне Закона о платним услугама и у складу с тим, од 6. маја 2025. године сви пружаоци платних услуга у нашој земљи имају обавезу да примене поуздану аутентификацију (Strong Customer Authentication – SCA) за трансакције на интернету. Поуздана аутентификација корисника је поступак којим се потврђује идентитет корисника, као и сама трансакција. Сврха наведеног је да се додатно смањи ризик приликом плаћања на интернету, као и да се повећа поверљивост података о кориснику. Напомињемо да, иако је овај захтев постојао у важећим прописима, детаљније уређеним правилима уводе се додатне безбедносне провере у процес идентификације корисника ради што боље заштите од злонамерних активности.
Имајући у виду убрзани развој информационих технологија, несумњиво је да је број сајбер напада у константном порасту и у Србији и на светском нивоу. Сајбер безбедност у данашњем дигиталном добу је приоритет за финансијске институције, а пре свега пословне банке и савремено друштво у целини. Сајбер претње су сваког дана све софистицираније и јављају се у све већем броју и облицима, као што су фишинг, разни малициозни софтвери, men in the middle напади и сл. С тим у вези, Народна банка Србије својим супервизорским надзором, између осталог, континуирано прати дешавања на пољу сајбер безбедности. Финансијске институције односно банке имају обавезу да извештавају Народну банку Србије о инцидентима који се дешавају у њиховим информационим системима и који могу угрозити њихов рад и довести до угрожавања стабилности система и злоупотребе података клијената.
Свакодневно су банке и друге финансијске институције изложене различитим сајбер нападима који су ефикасно спречени, коришћењем различитих специфичних алата за одбрану. Поред тога, банке успешно врше мониторинг свега што се дешава у њиховим информационим системима а све ради заштите ресурса тих система и успостављања адекватног нивоа безбедности. Исто тако, Народна банка Србије супервизорским надзорoм управљања информационим системом и континуитетом пословања банака сагледава да ли банке користе односно успостављају алате и сервисе у свом информационим систему који штите од потенцијалних сајбер напада и на тај начин превентивно делује на стабилност пословања финансијске институције односно банке. Морамо напоменути да велики број сајбер напада не значи истовремено и реализацију тих напада. Напротив, банке адекватно одговарају на те нападе и улажу велике напоре да се они не реализују.
Народна банка Србије прати, на различите начине, успостављање оквира за адекватан ниво безбедности информационог система банака (отпорности на сајбер нападе). Банке су свесне претњи, па значајно улажу у техничко-технолошка решења за заштиту информационог система увођењем више различитих решења за безбедност на више контролних тачака. Такође, прописима Народне банке Србије уведена је обавеза безбедног пријављивања на системе, на пример, на мобилну апликацију, коришћењем двоструке аутентификације. Поред банака, одговорност за начин коришћења различитих сервиса који се нуде путем интернета јесте и на корисницима који морају да воде рачуна о својим уређајима и својим лозинкама, које не смеју да деле с другима. Такође, корисници треба да воде рачуна о томе на којим сајтовима врше плаћања и где остављају податке о својим картицама, рачунима и лозинкама.
Да закључимо, сајбер безбедност није само питање банака већ и корисника сервиса који морају да подижу своју свест о преварним радњама које су све више присутне у дигиталном свету, који је наша свакодневница, и с тим у вези да се придржавају основних начела за безбедно плаћање на интернету, а то су: проверити веродостојност сајта, коришћење јаке лозинке (мала велика слова, бројеви, знаци интерпункције…), избегавање плаћања преко јавне Wi-Fi мреже, редовно ажурирање софтвера телефона/рачунара, не отварати сумњиве мејлове, не делити лозинке с другим особама и др.
Проблеме у вези с преварама код интернет трансакција Народна банка Србије решава на два начина: путем поступка по притужби и путем поступка контроле.
Одговор на ваше питање је заснован на два најважнија прописа која регулишу обавезе банке – Закону о платним услугама и Закону о заштити корисника финансијских услуга. Платне трансакције које корисници врше путем интернета регулисане су Законом о платним услугама. Основна обавеза банке у вези с платним трансакцијама путем интернета (односно свим другим платним трансакцијама) своди се на извршавање трансакције искључиво уз сагласност платиоца, на начин на који је то с банком уговорио при потписивању уговора о платним услугама. То практично значи да банка сме да изврши искључиво трансакције које је платилац лично иницирао. Како би банка у физичком одсуству корисника била сигурна да је корисник заиста и платилац, за плаћање на интернету потребни су подаци за чију безбедност је задужен лично корисник. То подразумева, примера ради, унос броја картице, датум истека, односно контролни број са полеђине платне картице. Међутим, постоје ситуације у којима је платна картица корисника отуђена или злоупотребљена. У таквим ситуацијама, криминалац (злоупотреба туђе платне картице је кривично дело) има приступ подацима физички видљивим на картици, а понекад и личном идентификационом броју. Управо због таквих ситуација све банке у Републици Србији обезбеђују 3D secure плаћања на интернету. Технологија 3D secure подразумева додатну аутентификацију која служи за спречавање злоупотребе. Тај процес се одвија на следећи начин: након иницирања трансакције, уз уношење свих потребних података, платилац (на пример, лице које је украло туђу платну картицу) преусмерава се на страницу банке за додатну аутентификацију. На том месту се од платиоца захтева унос једнократне лозинке, која стиже на број телефона корисника регистрованог у банци или биометријски елемент, попут отиска прста или препознавања лица. У конкретном примеру, криминалац који је украо платну картицу ће на том месту бити спречен да изврши плаћање и отуђи средства с рачуна корисника јер не поседује ни једно ни друго. За трансакције настале у 3D secure окружењу нема основа за подношење приговора банци, а банка нема основа за покретање рекламационог поступка пред картичарским асоцијацијама, због тога што су настале у највећем могућем степену заштите. Потенцијални проблем у пракси настаје због тога што, поред банке, интернет трговци такође морају прихватити 3D secure технологију како би кориснику омогућили плаћања с додатном аутентификацијом. У вези с трансакцијама насталих код трговца који не омогућава 3D secure, може се поднети приговор. Поступак по приговору зависи од различитог броја ствари – степена пажње корисника при чувању својих података, његове реакције након сазнања о злоупотреби и других околности. У случају да корисник одмах по сазнању обавести банку (на пример путем контакт центра) о злоупотреби/губитку своје картице, трошак свих трансакција насталих након обавештавања сноси банка. Због тога је брза реакција корисника кључна. У ситуацијама у којима корисник не примети да је његова картица злоупотребљена, исход поступка ће зависити од многобројних околности које банка узима у обзир попут степена пажње корисника, његових финансијских навика, образовања, уверљивости преваре и многих других елемената. Најзад, у случају да банка оцени приговор корисника као неоснован, дужна је да га упути на могућност подношења притужбе Народној банци Србије.
Према последње доступним подацима које пружаоци платних услуга на тромесечном нивоу достављају Народној банци Србије, број куповина робе и услуга преко интернета употребом картица у Србији је у првој половини 2024. године износио 24,3 милиона, у вредности од 68,1 милијарде динара, док је у 2023. години извршено 40,4 милиона трансакција, вредности 114,3 милијарде динара, а у 2022. години 30,3 милиона трансакција, вредности 81,1 милијарде динара. Током година забележен је континуирани тренд раста, при чему је, ради адекватног поређења, број трансакција у првој половини 2024. године за 32,5% већи него у првој половини 2023. године, односно за 76,9% већи него у првој половини 2022. године. Исто тако, вредност куповина била је у првој половини 2024. године за 33,7% виша него у истом периоду 2023. године, односно за 91,1% виша него у истом периоду 2022. године. Поменути подаци доступни су на интернет страници Народне банке Србије – Статистика платног система Народне банке Србије, у делу за достављене податке пружалаца платних услуга почев од првог тромесечја 2016. године, у извештају Платне трансакције куповине робе и услуга преко интернета.
Према последње доступним подацима које пружаоци платних услуга на тромесечном нивоу достављају Народној банци Србије, за услугу мобилног банкарства на средини 2024. године била су регистрована 4,3 милиона корисника, наспрам 4 милиона на крају 2023. године и 3,4 милиона на крају 2022. године. Што се тиче услуге електронског банкарства, на средини 2024. године била су регистрована 4,2 милиона корисника, наспрам 4,1 милиона на крају 2023. године и 3,8 милиона на крају 2022. године. Поменути подаци доступни су на такође на интернет страници Народне банке Србије – Статистика платног система Народне банке Србије, у делу за достављене податке пружалаца платних услуга почев од првог тромесечја 2016. године, у извештају Број корисника по врстама одређених платних услуга.
У вези са злоупотребом платних картица, од почетка године поднето је 268 притужби корисника, од чега је решено 91% притужби, а при чему је 57% притужби решено у корист корисника финансијских услуга.
Све притужбе поднете у току 2023. године и 2022. године решене су, при чему је у току 2023. године поднето 149 притужби у вези са злоупотребом картица (основаних је било 30%), док је у току 2022. године поднето 48 таквих притужби (основаних је било 44%).
Иако је Народна банка Србије у више наврата указивала корисницима да буду обазриви приликом коришћења картица, наводећи и примере превара као што су коришћење платних картица за плаћања на интернету, преваре путем дигиталног новчаника, лажне анкете када се од корисника захтева достављање одређених података и сл. – број притужби корисника у вези са злоупотребама картица повећао се.
Поред тих превентивних активности, Народна банка Србије предузимала је и корективне мере, односно спроводила поступке контроле банака. Посебно бисмо истакли да је Народна банка Србије уложила додатне напоре да корисници у највећем делу буду обештећени у случају када банка није доказала крајњу непажњу корисника. Ради илустрације ефеката у вези са спроведеним активностима Народне банке Србије током прошле и ове године, издвојили бисмо да је на основу спроведених поступака контроле банака у области заштите корисника финансијских услуга, а у вези са злоупотребама – корисницима је враћено преко 88 милиона динара.
Кабинет гувернера
