Internetska prevara u javnosti najčešće poznata kao „phishing“, kojom se klijentima raznih banaka putem e-maila obraćaju hakeri koji koriste nepažnju i tako dolaze do njihovih podataka da bi potom ukrali sredstva s računa, razotkrila je dramatično nisku razinu zaštite u najmanje jednoj hrvatskoj banci, Addiko Banku. U jednom konkretnom slučaju s konca siječnja ove godine, kada je tvrtki srednje veličine Seraphilus d.o.o., dugogodišnjem klijentu Addiko Banka, tako otuđeno 160 tisuća eura, toj banci trebalo je više sati nakon dojave kako bi konkretno reagirala na krajnje sumnjive transakcije, no ni nakon toga, po svemu sudeći, nije poduzela korake kako bi zaštitila tvrtku i kako bi – što je još važnije – dokazala sigurnost hrvatskog bankarskog sustava. Dapače, sve informacije ukazuju na to da upravo u Addiko Banku, barem do tog trenutka, nisu postojali učinkoviti mehanizmi koji bi u realnom vremenu spriječili mogućnost pranja novca, prekograničnog kriminala i financiranja terorizma. Također, komunikacija banke s prevarenom tvrtkom Seraphilus d.o.o. upućuje na zaključak da je odnos te banke prema klijenta u najmanju ruku neprimjeren, ako ne i krajnje dubiozan: umjesto priznanja vlastitog propusta i rješavanja problema, iz banke su oštećenoj tvrtki pismeno savjetovali da podnese tužbu. Što će ona i učiniti.

Samom Addiko Banku, na čijem je čelu Predsjednik Uprave Mario Žižek, Nacional je uputio niz pitanja o tom konkretnom slučaju, ali i o sustavu zaštite protiv prevara, posebno prekograničnog tipa, oko čega postoje stroge regulatorne mjere i na nacionalnom i na europskom nivou, a iz Addiko banke je stigao sljedeći odgovor:

„Addiko banka ne može davati podatke o svojim klijentima jer bi to bilo u suprotnosti s obvezom čuvanja bankovne tajne koja je propisana Zakonom o kreditnim institucijama. Neovisno o konkretnom upitu, obavještavamo Vas da Addiko banka u svrhu sprječavanja zloupotreba ima implementiran sustav za monitoriranje platnih naloga zadanih putem digitalnih kanala Addiko banke koji je usklađen sa svim regulatornim zahtjevima. O konkretnim postavkama navedenog sustava Vas ne možemo obavijestiti jer iste predstavljaju poslovnu tajnu“.

Vlasnica i direktorica Seraphilusa Vlatka Jankač u svojoj tvrtki zapošljava dvadeset ljudi, a bavi se prodajom nautičke opreme i rezervnih brodskih dijelova. FOTO: Saša Zinaja/NFOTO

„Dana 24. siječnja oko 9:20 dobila sam e-mail naslova ‘VAŽNO: Za korisnike ADDIKO Business Mobile aplikacije’ u kojemu je pisalo: ‘Addiko banka je potpisnica Etičkog kodeksa kojim se obvezala na pouzdano i transparentno postupanje tijekom uvođenja eura s ciljem stvaranja povjerenja i sigurnog okruženja za potrošače. Molimo da OBAVEZNO ažurirate novu verziju ADDIKO Business Mobile aplikacije sukladno uputama koje se nalaze ispod u poveznici kako bi vaša mobilna aplikacija i dalje nesmetano radila. Time ćete uspješno ažurirati neophodne korake za nesmetan rad ADDIKO Business Mobile aplikacije i prilagoditi je ERM II tečajnom mehanizmu’“, rekla je za Nacional vlasnica i direktorica tvrtke Seraphilus Vlatka Jankač. Ta tvrtka, inače, zapošljava dvadeset ljudi, bavi se prodajom nautičke opreme i rezervnih brodskih dijelova, ima oko tri milijuna eura godišnjeg prometa i već više od deset godina poslovno surađuje s Addiko Bankom. Spomenutih 160 tisuća eura u tom trenutku bilo je na računu i bilo je namijenjeno isplati plaća i uplati obveza prema dobavljačima. Vlatka Jankač priznaje da je u tom trenutku postupila nepažljivo te kliknula na link koji joj je poslan e-mailom, to u ovom slučaju nije sporno; sporno je to što je uslijedilo, odnosno, cijeli splet događaja koji dokazuju da jedna velika hrvatska banka nema sustav zaštite i uzbunjivanja kod krajnje sumnjivih transakcija.

Sve informacije ukazuju na to da u Addiko Banku nisu postojali učinkoviti mehanizmi koji bi u realnom vremenu spriječili mogućnost pranja novca. FOTO: Nacional

„Poruku sam uočila oko 11.15 i krenula sam s ažuriranjem na novu verziju. Ondje se od mene tražilo da upišem korisnički broj ‘koji završava na 001’, što sam i učinila, te lozinku ‘koja sadrži osam znamenki od kojih je jedan znak’, što je također točno i što bismo trebali znati samo ja i moja banka. Nakon toga je stigla obavijest da ću putem Addiko Banka dobiti SMS-om jednokratnu zaporku. U 11:25 ona stiže, ja je upisujem i započinje moj brodolom života“, prisjetila se vlasnica tvrtke.

Tada joj, naime, počinju pristizati obavijesti o velikim transakcijama s njenog računa, njih četiri, na račun dviju privatnih osoba u Münchenu i Beogradu u ukupnom iznosu preko 126 tisuća eura. U opisima je stajalo da su one namijenjene „isplati po ugovoru“, „plaćanju zemljišta“ i slično. Ona promptno naziva svoje knjigovodstvo, potom supruga, a u roku od deset minuta alarmira i banku zahtijevajući hitnu reakciju i stopiranje transakcija. U međuvremenu otkriva još nekoliko lažnih transakcija, pa i s računa drugih tvrtki istih vlasnika u istoj banci. Tada zapravo na vidjelo izlaze brojni sporni detalji koje je za Nacional opisao odvjetnik Ante Grbac.

Samom Addiko Banku, na čijem je čelu Predsjednik Uprave Mario Žižek, Nacional je uputio niz pitanja o slučaju tvrke Seraphilus, ali iz te banke tvrde da zbog poslovne tajne ne mogu komentirati slučaj. FOTO: Sandra Simunovic/PIXSELL

„Odvijaju se vrlo visoke transakcije, jedna za drugom, označene kao HITNO. Isplate prvi put idu fizičkim osobama, opis plaćanja nema veze s poslovanjem klijenta, a sve navedeno sustavu zaštite Addiko Banka nije sumnjivo i sve provodi bez ikakve dodatne provjere i kao žurno. Ono što je zanimljivo u cijelom slučaju jest da su navedene transakcije bile krajnje atipične za sve dosadašnje financijske transakcije. Isplata je izvršena u inozemstvo, i to fizičkim osobama, a što Seraphilus i sva povezana društva u više od deset godina poslovanja kod Addiko Banka nikada nisu obavljali. Opisi plaćanja u spornim transakcijama nemaju nikakve veze i poveznice s poslovanjem tvrtke Seraphilus i povezanih tvrtki. I najzanimljivije, prvi put se u slučaju Seraphilusa daju nalozi s opcijom hitne transakcijske isplate. Nikada do tada u poslovanju tih tvrtki nije izdan takav nalog. Svi ti nalozi izdani su u iznimno kratkom vremenu i odnose se na cjelokupni iznos koji je Seraphilus imao na računima“, objasnio je odvjetnik Grbac.

„Sve se to dogodilo neposredno nakon što je banka klijentu predala jednokratnu zaporku radi navodnog ažuriranja sustava. Iznesene okolnosti su takve da je svaka od navedenih stavki trebala alarmirati sustav uslijed svoje iznimnosti. Uz nelogičnu pretpostavku da navedenih pet stavki propusta sustav nije prepoznao kao problematične i atipične za način poslovanja Seraphilusa, ostaje nejasno kako sustav sve te okolnosti u svojoj ukupnosti nije povezao i prepoznao kao apsolutno sumnjive transakcije. Navedeni propusti mogu značiti samo to da sustav banke, odnosno njezin algoritam za prepoznavanje sumnjivih transakcija, funkcionira jako loše ili nikako“, dodaje Grbac.

‘Svi propusti mogu značiti samo to da sustav banke funkcionira jako loše ili nikako’, tvrdi odvjetnik Ante Grbac. FOTO: Hrvoje Jelavic/PIXSELL

Vlasnica Seraphilusa odmah je podnijela i prijavu policiji koja je promptno započela istragu, ali joj je u neslužbenom razgovoru poručeno da je u periodu neposredno nakon uvođenja eura u Hrvatskoj zabilježeno više sličnih „phishing“ prevara i da najveće šanse za povrat svog novca zapravo ima ako banka poduzme sve propisane procedura i ozbiljno se angažira. „Addiko Bank joj, međutim, vraća tek oko 20 tisuća eura na osnovu naloga upućenog nakon njene inicijalne prve prijave u 12.10, a za preostalih 160 tisuća eura tvrdi da nema načina to učiniti. No dokumenti koje posjeduje Nacional ukazuju na frapantan podatak: sam Addiko Bank je, nakon što njegov sustav nije prepoznao niz povezanih sumnjivih okolnosti, opoziv spornih transakcija zatražio tek u 15.30 toga dana, dakle, gotovo tri i pol sata nakon što je o njima obaviješten. Nešto potom obavještava svoju klijenticu da je nemoguće izvršiti opoziv spornih transakcija jer su sredstva u inozemstvu već podigle nepoznate osobe koje nisu dostavile svoje identifikacijske podatke. I na tome je stalo: u daljnjem intenzivnom dopisivanju i na održanih nekoliko sastanaka banka tvrdo odbija bilo kakvu mogućnost svoje odgovornosti i upućuje vlasnike Seraphilusa da pokrenu sudski postupak ako time nisu zadovoljni. No, zanimljivo, upravo nakon tog događaja banka započinje i s intenzivnom provjerom ogromne većine uplata, pa tako i onih koje Seraphilus obavlja prema klijentima s kojima posluje preko osamnaest godina.

„Postavlja se pitanje zašto je Addiko Bank tek nakon nemilih događanja počeo provjeravati svaku transakciju i postupati onako kako bi u kontekstu zaštite interesa svojih klijenata trebao cijelo vrijeme postupati? Zar je bilo potrebno na teži način spoznati da zaštitne mjere Addiko Banka, kojima štiti interese svojih klijenata, ali i same banke, nisu odgovarajuće i da bi se trebalo početi postupati odgovorno i podići zaštitu na adekvatnu razinu? Tvrtka Seraphilus ne bježi od odgovornosti zbog pogreške koju je inicijalno učinila, ali ne može i ne želi shvatiti da banka kao takva nema adekvatne zaštitne sustave i evidentno ne ispunjava uvjete koji su kao nužni propisani za svaku banku. Ovdje je evidentno riječ o kvaliteti usluge i razini zaštite klijenta u takvim slučajevima. Razvidno je da je bankarski sustav ovdje morao prepoznati transakcije kao sumnjive i tako zaštititi klijenta i njegov novac“, rekao je odvjetnik Grbac za Nacional. Premda u Hrvatskoj ne postoji odgovarajuća sudska praksa za slične slučajeve, ističe Grbac, evidentno će se na sudu trebati ispitati odgovornost banke koja nije na vrijeme pokrenula procedure za zaustavljanje transakcija i čiji sustav nije uočio najmanje pet povezanih sumnjivih ili atipičnih okolnosti, već je umjesto toga očito vladala konfuzija. „Na koncu, iz same prakse koja vrijedi čak i za građane dobro je poznato da postoje propisi koji sprječavaju pranje novca, organizirani kriminal ili financiranje terorizma, a po kojima banka naprosto mora znati identitet osobe kojoj se novac prebacuje“, čudi se Grbac.

Vlasnica Seraphilusa d.o.o. Vlatka Jankač, koja je koncem siječnja ostala bez jednog jedinog eura na računu, problem je riješila uzimanjem kredita pa danas i dalje uredno podmiruje plaće svojih radnika i obveze prema dobavljačima te tvrtke s dugogodišnjom tradicijom i ugledom. Svoju banku ipak će morati tužiti jer, kaže, 160 tisuća eura ipak je značajan iznos, a još je bitniji osjećaj da njen novac ondje nije siguran jer ne postoji sustav koji ga štiti.