Upute za poduzetnike: Kako osigurati digitalne transakcije

U Europskoj uniji sve se više plaća digitalno. To govore i podaci Europske središnje banke jer se u europskoj maloprodaji od 2017. do 2023. vrijednost digitalnih plaćanja povećala više nego dvostruko, dosegnuvši bilijun eura na godinu. Rast se očekuje i dalje, no s rastom digitalnih plaćanja više je kibernetičkih ugroza kod kojih se ne preže ni pred čim kako bi se došlo do vrijednih podatka i ostvarila nezakonita korist. Kibernetička sigurnost stoga postaje zahtjev koji poduzetnici, pružatelji usluga i korisnici ne mogu nikako zaobići.

Ključni potezi

Primarna zaštita temelji se na enkripciji podataka tijekom prijenosa i pohrane, istaknuo je direktor Markera Ivica Kruhek, korištenju sigurnosnih protokola te primjeni višefaktorske autentifikacije, koja dodatno potvrđuje identitet korisnika. Tokenizacija osjetljivih podataka, rekao je, također smanjuje rizik od krađe, a sustavi za otkrivanje i sprječavanje prijevara prate transakcije u stvarnom vremenu. Savjetuje da poduzetnici osiguraju usklađenost sa sigurnosnim standardima, poput PCI DSS-a (Payment Card Industry Data Security Standard – Standard zaštite podataka platne kartice), kao i sa zakonodavnim okvirima koji su na snazi, primjerice PSD2 (Payment Services Directive 2 – Direktiva o platnim uslugama), koji propisuje primjenu Strong Customer Authenticationa (SCA – pouzdana autentifikacija potrošača).

Sofisticirane prijetnje postaju sve češće, naglasio je, uključujući deepfake-prijevare, različite phishing-napade (krađa identiteta) koji se koriste umjetnom inteligencijom za lažiranje teksta, slike, zvuka, videa kao i napade na biometrijsku autentifikaciju i manipulaciju sustavima plaćanja putem društvenih mreža. Sve je više ujedno lažnih mrežnih servisa i trgovina koje oponašaju stvarne brendove.

– Nužno je surađivati s pouzdanim i certificiranim pružateljima platnih usluga, redovito ažurirati softversku i serversku infrastrukturu te uvesti stroge interne politike za upravljanje pristupom osjetljivim podacima. Treba također educirati zaposlenike i korisnike o prepoznavanju potencijalnih prijetnji s primjenom naprednih rješenja za praćenje i analizu transakcija. Najčešći su izazovi u digitalnom plaćanju prijevare poput neovlaštenih transakcija i phishing-napada, ali i problemi vezani uz chargeback-zahtjeve te tehničke teškoće u integraciji različitih sigurnosnih sustava u našu webshop-platformu. Blisko surađujemo s pružateljima platnih usluga, stručnjacima za kibernetičku sigurnost i stručnjacima za zaštitu osobnih podataka. Ključno je da poduzetnici surađuju s pouzdanim IT dobavljačima, ulažu u sigurnosna rješenja i aktivno prate promjene u regulativama i sigurnosnim standardima. Treba biti otvoren prema korisnicima, osigurati jasne informacije o zaštiti podataka i pratiti sve zahtjeve Opće uredbe o zaštiti podataka – poručuje Kruhek.

Sigurnost digitalnih transakcija temelji se na više slojeva zaštite, slaže se Ivana Beli Oštarčević, direktorica Sektora za upravljanje ICT portfeljom u Hrvatskom Telekomu, uključujući PCI DSS certifikaciju, enkripciju podataka i autentifikaciju korisnika. Stoga, dodala je, PayWay, payment gateway sustav Hrvatskog Telekoma, sadržava 3D Secure 2.0, koji omogućuje dodatnu provjeru identiteta kupca i znatno smanjuje rizik od prijevara.

Višeslojna zaštita

U tokenizaciji pak osjetljivi podaci kartica nikada ne prolaze kroz sustav trgovca te se zamjenjuju sigurnim tokenima.

– Da biste osigurali najvišu zaštitu svojih kupaca i poslovanja, poduzetnici bi se trebali koristiti certificiranim sustavima payment gatewaya poput PayWaya koji osigurava najviše sigurnosne standarde, lokalnu podršku i dodatne metode plaćanja. Treba raditi na sigurnosnom održavanju svih poslovnih sustava, posebice onih s osobnim podacima kupaca te educirati zaposlenike o potencijalnim sigurnosnim prijetnjama. Sada su najizraženiji phishing-napadi i socijalni inženjering kod kojih napadači pokušavaju doći do podataka korisnika lažnim e-porukama ili mrežnim stranicama, kao i napadi na API-je (application programming interface –​ aplikacijsko programsko sučelje), zato što sve više trgovaca upotrebljava povezane sustave koji razmjenjuju podatke putem API sučelja. Napadi ransomwareom i malwareom ciljaju trgovce kako bi zaustavili pristup podacima o transakcijama. Prevencija uključuje redovite sigurnosne nadogradnje i enkripciju podataka. Višekanalni pristup, brza obrada transakcija i najviša sigurnost postaju ključni za uspjeh u e-trgovini – naglasila je Beli Oštarčević.

Procjena rizika

S razvojem usluga financijske tehnologije (fintech) jačali su i sigurnosni mehanizmi za internetska plaćanja i mnoge druge usluge u oblaku, iznosi Marko Emer, izvršni direktor tvrtke Elektronički računi koja je do unatrag nekoliko godina pružala isključivo financijska djelatnost. U igru su ušle i tehnološke kompanije, kaže, nakon što je revizija PSD2 iznjedrila brojne nove platne usluge, posebice uslugu iniciranja plaćanja (PIS –​ Payment Initiation Service) i uslugu dohvaćanja informacija o stanju računa AIS (Account Information Services). Elektronički računi su, tvrdi, prvi u Hrvatskoj licencirani za pružanje tih usluga od 2022. i upisani u Registar pružatelja platnih usluga i izdavatelja elektroničkog novca pri HNB-u.

– Kako bi dobili rješenje za upis u Registar te ostvarili pravo na certifikaciju i licenciranje, Elektronički računi razvili su posebno zaštićene tehnologije i uspostavili procese za procjenu rizika, zaštitu osobnih podataka, provođenje mjera povezanih sa sprječavanjem pranja novca i financiranja terorizma te ostale rizike, uključujući prijevaru. Ta tehnologija mora zadovoljavati klauzule o zaštiti od virusa i hakera u skladu s uredbama EU-a o sigurnosti u financijskom poslovanju. Primjerice, u Hrvatskoj je malo poznato da su jedan od oblika PIS-a takozvana IBAN2IBAN plaćanja (I2I), negdje se još spominju i kao Account2Account (A2A) plaćanja, koja zapravo predstavljaju izravan prijenos novca s računa platitelja na račun primatelja bez posredništva kartičarskih kuća i sve su češći oblik plaćanja u mrežnim trgovinama – objasnio je Emer.

Sigurna infrastruktura

PIS i AIS Elektronički računi stavili su na tržište pod zajedničkim brendom merBanking i unijeli ih, prema Emeru, u više desetaka računovodstvenih programa na hrvatskom tržištu. Poduzetnici ili njihovi knjigovođe, naveo je, sada mogu obavljati plaćanja i pratiti transakcije po svim poslovnim računima iz vlastitoga računovodstvenog programa (ERP-a). Naime, spomenuti PSD2 odredio je bankama da moraju otvoriti svoja sučelja za pružatelje platnih usluga, što je omogućilo razvoj financijskotehnoloških rješenja koja poduzetnicima pružaju efikasnije upravljanje vlastitim financijama.

– Korisnik platne usluge nalog zadaje iz računovodstvenog programa bez logiranja u internetsko bankarstvo te ga autorizira jednom od raspoloživih metoda pouzdane autentifikacije klijenta (SCA). Računovodstveni program dobiva informacije o svakoj promjeni po svim svojim poslovnim računima i zaprima izvode s računa koji se zatim automatski knjiže na unaprijed zadana konta. Pružatelj platne usluge pruža sigurnu infrastrukturu između banke i računovodstvenog programa (ERP-a) korisnika i obratno te mu dobavlja informacije o svim transakcijama i statusima zadanih naloga gotovo u stvarnom vremenu. Omogućujemo korisnicima i plaćanje izravno sa servisa mojeRačun, odnosno iz popisa primljenih e-računa (oblik I2I plaćanja), što još više skraćuje procese jer se nalog zadaje jednim klikom, a popunjava se podacima koje sustav povuče iz e-računa. Riječ je o najvišoj sigurnoj okolini kojoj ne može pristupiti onaj tko nema ovlasti za to – ističe Emer.

Pogubni računi

Nastavlja da teškoće u digitalnim financijama ne nastaju u platnom prometu, nego pri upravljanju financijskom dokumentacijom, jer je digitalizirani proces znatno drukčiji od onoga kada su se računi izdavali na papiru, a plaćanja obavljala papirnatim virmanima uz nebrojene kopije dokumenata. Elektronički račun strukturirani je dokument, skup podataka u XML-u kako bi se mogao čitati elektronički, ali brojni poduzetnici i njihovi knjigovođe, primjećuje, još ispisuju e-račune i pohranjuju u registrator. Vjeruje da, čak i ako se izbace troškovi potrošnog materijala, ostaju troškovi zbog pogrešaka u prepisivanju podataka, gubitka računa ili manipulacija s podacima na računima. Misli da većih teškoća nema pod uvjetom da se e-računi pravilno zaprimaju, obrađuju i plaćaju iz sigurnog sučelja ERP-a te pohranjuju u e-arhivu.

– Uz poziv da se ne kupuje na sumnjivim stranicama i nikomu ne šalju podaci s kartice i CVC broj, kontrolni broj kartice, važno je upozoriti na još nešto. Budući da se e-računi moraju čuvati u izvornom obliku, ispisani elektronički račun koji je poduzetnik platio i po njemu odbio pretporez nije vjerodostojna knjigovodstvena isprava. Budući da se pravo na odbitak pretporeza temelji na posjedovanju vjerodostojne knjigovodstvene isprave, Porezna uprava može osporiti pretporez zbog nedostatka vjerodostojne dokumentacije jer nije uspostavljen elektronički arhiv, obvezan čak i ako je poduzetnik izdao ili primio samo jedan račun. Kazne zbog nepoštovanja formalnih uvjeta za ostvarivanje prava na odbitak PDV-a iznose od 3980 do 66.360 eura za pravne osobe te od 660 do 39.810 eura za fizičke osobe – upozorava Emer.