Sigurnosni propust velikih razmjera, neovlašteno odavanje bankovne tajne te kršenje pravila i protokola o zaštiti osobnih podataka dogodili su se tijekom proteklog tjedna u Hrvatskoj poštanskoj banci (HPB), na čijem je čelu Marko Badurina, prilikom tehnološkog pripajanja Nove hrvatske banke (NHB), nekadašnjeg Sberbanka. Neovlaštenim osobama izvan banke, naime, omogućen je pristup računima cijelog niza poslovnih klijenata, čime su one dobile uvid u stanje računa, kompletnu povijest transakcija, sve priljeve i odljeve s računa i ogroman broj osobnih podataka, ali čak i mogućnost kreiranja novih transakcija mimo osoba koje su u tvrtkama za taj posao zadužene, dakle zakonskih zastupnika i eventualno računovođa. Ovaj incident dogodio se 3. lipnja, kada je NHB pripojen HPB-u, ali zabrinjavajući je podatak da je on usprkos upozorenju klijenata potrajao više dana – neovlašten pristup tuđim računima i plaćanje s njih bilo je moguće i pet dana kasnije, tijekom proteklog vikenda. Nacional je od više različitih klijenata Hrvatske poštanske banke dobio detaljne informacije o ovom golemom propustu banke u državnom vlasništvu, dok smo u Hrvatskoj narodnoj banci (HNB) kao regulatoru dobili potvrdu da su o cijeloj situaciji informirani i pokreću istragu. Ako, odnosno kada se ovaj fijasko potvrdi, HPB-u evidentno slijede drastične sankcije, a nije isključeno ni pokretanje drugih postupaka jer postoji snažna sumnja da je prekršen Zakon o kreditnim institucijama koji između ostalog regulira čuvanje bankovne tajne.

Iz HPB-a za Nacional su potvrdili da je došlo do ovih problema, no tvrde da se radi o ‘’nekoliko izoliranih slučajeva’’ te da usprkos neovlaštenom pristupu tuđim računima ipak nije došlo do zloupotrebe.

Incident se dogodio 3. lipnja, kada je Nova hrvatska banka pripojena hrvatskoj poštanskoj banci, a iz banke potvrdili su da je došlo do ovih problema, no tvrde da se radi o ‘nekoliko izoliranih slučajeva’. FOTO: Patrik Macek/PIXSELL

Dramatična događanja u Hrvatskoj poštanskoj banci nastupila su neposredno nakon što su iz HPB-a prošlog ponedjeljka izvijestili da je ‘’uspješno završilo operativno pripajanje bivše Nove hrvatske banke, čime je u cijelosti realizirana tehnička prilagodba sustava nakon prošlogodišnjeg pravnog pripajanja’’. Iz ove državne banke čak su se pohvalili da je velik broj njihovih zaposlenika imao radni vikend kako bi se obavile završne prilagodbe sustava klijentima HPB-a te da su od tog dana dostupne sve usluge i funkcionalnosti u poslovnoj mreži i na digitalnim kanalima.

U stvarnosti, upravo tog dana nastala je noćna mora za brojne klijente nekadašnje Nove hrvatske banke koji su nakon pripajanja postali klijenti HPB-a: poslovnim korisnicima tog dana postali su aktivni novi brojevi računa i nove debitne kartice kao i tokeni pomoću kojih se uobičajeno spajaju na internetsko bankarstvo, što im je pismenim putem bilo najavljeno mjesec i pol dana ranije, no kada su to učinili otkrili su da imaju i puni pristup računima tvrtki s kojima zapravo nemaju nikakve stvarne ili formalne veze. Potpuno nesmetano dobili su sve informacije o njima, uvid u njihove račune i povijest transakcija, sve detalje o svim poslovnim potezima, visini i vrsti prihoda i slično. Dobili su i mogućnost obavljanja uplata s računa tih tvrtki, odnosno laički – trošenja novca koji su zatekli na računima. Po dosadašnjim informacijama to se ipak nije dogodilo, no sama ta mogućnost zorno ilustrira katastrofu koja se dogodila, i još uvijek se događa, u HPB-u. Nacional je upoznat s nekoliko konkretnih primjera ovog krajnje ozbiljnog sigurnosnog propusta, pa između ostalih i slučajem osobe koja je vlasnik ili suvlasnik u trima različitim tvrtkama. U dvije od tih tvrtki za vođenje knjigovodstva je ovlaštena jedna tvrtka, a u trećoj druga tvrtka. Međutim, kada su se u ovim knjigovodstvenim servisima počeli koristiti uručenim tokenima i kada su se spojili na internet bankarstvo HPB-a, dobili su pristup računima svih triju tvrtki – dakle, i onih za koje uopće ne vode knjigovodstvo. Tokeni zapravo glase na ime vlasnika, odnosno ovlaštene osobe u svakoj od tih triju tvrtki, a ona uopće nije obaviještena o ovakvom razvoju događaja; prvi glas da je došlo do problema i proboja sustava dobila je od jednog od svojih knjigovođa. ‘’Oni su potom promptno reagirali i kontaktirali banku, upozorivši je da su im na raspolaganju podaci koje ni u kojem slučaju ne bi smjeli imati. Reakcija službenika je bila poprilično snishodljiva i rečeno je tek da se radi na otklanjanju problema. Nikakvog objašnjenja nije bilo, nego je tek rečeno da se zasad ne može utvrditi kako je došlo do ove situacije. Vjerovali smo da će problem trajati satima, no on zapravo traje i do danas, pa kontrolu nad našim računima imaju osobe koje to ne bi smjele’’, objašnjava vlasnik ovih triju tvrtki. O količini nereda koja je prošlog tjedna zavladala u HPB-u dodatno svjedoči još jedan podatak: ista osoba u toj banci ima i svoj privatni tekući račun i kada mu je dodijeljen token za pristup online bankarstvu, prošao je uobičajenu proceduru registracije i potvrde identiteta razgovorom sa službenikom banke. No kada se spojio na internet bankarstvo, ondje je također dobio pristup računima svoje tvrtke. Ali samo jedne od njih triju.

Neovlaštenim osobama izvan banke omogućen je pristup računima nizu poslovnih klijenata, čime su one dobile uvid u stanje računa, kompletnu povijest transakcija, sve priljeve i odljeve s računa

Ovaj detalj je, pored činjenice da su se na poslovne račune njegovih tvrtki spojile neovlaštene osobe, također sporan jer je autentifikacija za poslovne korisnike znatno stroži proces od onoga za privatne klijente i zahtijeva potpisivanje zahtjeva, dostavu brojnih dokumenata i potpisivanje ugovora, uglavnom znatno rigoroznije kontrole. On je taj proces prošao jednim razgovorom sa službenikom.

Nacional je u razgovoru s jednim visokopozicioniranim hrvatskim bankarom dobio potvrdu da se u ovom slučaju radi o teškom sigurnosnom propustu HPB-a koji bi mogao rezultirati golemim posljedicama. ‘’Čak i unutar samih poslovnih banaka iznimno strogo definirana je procedura pristupa osobnim podacima i poslovnim informacijama klijenata, što dakako uključuje i uvid u stanje računa i detalje transakcija koje se preko njega obavljaju. Neovlaštenim osobama unutar banke, pa čak i onima na najvišim položajima, naprosto nije moguće pristupiti tuđim računima jer se pravo na to dodjeljuje ovisno o profilu radnog mjesta svakog službenika. Postoji program s podacima o svim klijentima, a on sustavno bilježi svaki pristup – ili svaki pokušaj pristupa podacima. Čak se, primjerice, pali alarm ako programu pokušava pristupiti službenik koji se u tom trenutku nalazi na godišnjem odmoru.

Hrvatska poštanska banka, na čijem je čelu Marko Badurina, prekršila je sigurnosne protokole kod spajanja računa klijenata bivšeg Sberbanka. FOTO: Davorin Visnjic/PIXSELL

Potpuno je nezamislivo da se dogodi sigurnosni propust poput ovoga u HPB-u i da računima neovlašteno pristupaju čak i treće osobe, radi se o krajnje ozbiljnoj situaciji koja može imati teške, nesagledive posljedice u reputacijskom, ali i sasvim konkretnom financijskom aspektu’’, rekao je za Nacional ovaj sugovornik iz bankarskog sektora. On pojašnjava da je vrlo problematična i situacija u kojoj privatni korisnik banke nakon migracije računa i dodjele novog tokena najednom ima pristup i nekom poslovnom računu. ‘’Ne, nakon što je dobio nove ključeve tokena on ne smije imati pristup ničemu drugom osim onome što je prethodno ugovorio i potpisao. Ovdje se radi o, u najmanju ruku, sivoj zoni koju će HNB također trebati ozbiljno istražiti’’, dodaje on, uz osobni stav da bi HPB-u sasvim sigurno bilo mudrije samostalno obavijestiti Hrvatsku narodnu banku o incidentima, nego čekati da se nakon prijave klijenata HNB odluči na pokretanje postupka.

Središnja banka ima veliku autonomiju u izricanju eventualnih sankcija, a iskusniji bankari predviđaju da će ona prije svega ovisiti o očitovanju HPB-a i dostavljenim podacima o opsegu i ozbiljnosti ovih propusta, odnosno potencijalnim rizicima za korisnike. Ovoj državnoj banci svakako ne ide na ruku podatak da je incident trajao u duljem vremenskom periodu. Također, protiv nje i njenih odgovornih osoba moguće je pokretanje postupka zbog kršenja bankovne tajne, no kazne propisane zakonom su simbolične jer se država još davno zapravo odrekla ovlasti nadzora nad zakonitošću poslovanja banaka i sve prepustila u ruke HNB-u. Pored svega, moguće je da zbog narušavanja tajnosti osobnih podataka postupak pokrene i nadležna Agencija za zaštitu osobnih podataka, koja u slučaju teških kršenja propisa ima mogućnost izreći nešto strože sankcije – do 20 milijuna eura globe, odnosno do 4 posto kompletnog godišnjeg prometa.

Iz HPB-a su izvijestili da je ‘uspješno završilo operativno pripajanje bivše Nove hrvatske banke, čime je u cijelosti realizirana tehnička prilagodba sustava nakon prošlogodišnjeg pravnog pripajanja’. FOTO: Robert Anic, Sanjin Strukic/PIXSELL

Hrvatska poštanska banka je početkom ožujka 2022. godine kupila Sberbank Hrvatska za 71 milijun kuna, čime je u tom trenutku spriječena likvidacija te banke, pogođene zapadnim sankcijama Rusiji i naglim urušavanjem likvidnosti. Nakon toga je Sberbank promijenio ime u Nova hrvatska banka (NHB) i počeo poslovati u sastavu HPB grupe. Pravno pripajanje privedeno je kraju 3. srpnja prošle godine, a tehnološko pripajanje dogodilo se prošlog ponedjeljka, uz evidentno dramatične propuste i sistemske greške. Imovina HPB-a na kraju prvog tromjesečja 2024. godine iznosi 6,8 milijardi eura, a po tržišnom udjelu banka je od kraja 2023. pozicionirana među pet najvećih banaka u Hrvatskoj, čime je ostvarila jedan od svojih srednjoročnih strateških ciljeva. HPB posluje u 67 centara, 12 regionalnih centara i raspolaže mrežom s više od 600 bankomata pružajući podršku blizu 600 tisuća klijenata.

Nacional je s nizom pitanja o dramatičnim sigurnosnim incidentima suočio Hrvatsku poštansku banku, a službeni stav zatražili smo i od Hrvatske narodne banke na čelu s guvernerom Borisom Vujčićem.

‘’Hrvatska poštanska banka uspješno je završila proces pripajanja Nove hrvatske banke. Radi se o iznimno zahtjevnom i kompleksnom procesu obzirom da su se pripajala dva poslovna subjekta s različitim tehnološkim sustavima i procesima. Svi izazovi koji proizlaze iz navedenog procesa su uspješno savladani te je u tijeku faza prilagodbe klijenata na nove sustave/funkcionalnosti pri čemu banka i zaposlenici ulažu maksimalne napore kako bi se prilagodba brzo i uspješno završila. Do sada smo identificirali par izoliranih slučajeva kod kojih smo utvrdili da je postojala mogućnost uvida u podatke o računima poslovnih klijenata od strane pojedinih neovlaštenih korisnika.

‘Analizom nije utvrđeno da je došlo do zlouporabe podataka klijenata, te da je uzrok tehničke prirode, a isti je bez odgode otklonjen’, kažu u HPB-u, a neslužbeno ističu da je riječ o pet klijenata

Analizom nije utvrđeno da je došlo do zlouporabe podataka klijenata, te da je uzrok tehničke prirode, a isti je bez odgode otklonjen. Kao što je slučaj s ostalim procesima i projektima koje Banka vodi, tako je i s procesom pripajanja. Banka je u kontinuiranoj komunikaciji s regulatorom, Hrvatskom narodnom bankom. Djelatnici Hrvatske poštanske banke na raspolaganju su klijentima za sva potrebna pojašnjenja i pomoć pri korištenju usluga mobilnog i internetskog bankarstva’’, stoji u odgovoru Hrvatske poštanske banke za Nacional.

Neslužbeno se u istoj banci može doznati da se, barem kako oni tvrde, radi o samo pet odvojenih incidenata, no taj podatak zasad je nemoguće službeno potvrditi, barem dok se ne provede neovisna vanjska istraga. Za većinu njih uzrok je, navodno, nesređena baza podataka nekadašnje Nove hrvatske banke: u nekim slučajevima klijenti poput bračnih supružnika ili oca i sina i sustavu su bili zavedeni pod jednakim OIB-om, pa im je prilikom migracije bio omogućen pristup svim računima koji se pod tim OIB-om vode. Međutim, u ovoj banci priznaju i da je bilo drugih slučajevima u kojima su neke osobe naprosto dobile neovlašten pristup tuđim računima, a zabrinjavajući je podatak da ni tjedan dana kasnije nisu uspjeli utvrditi kako je do toga došlo.

Iz HNB-a, na čijem je čelu guverner Boris Vujčić, kažu da će ovisno o rezultatima detaljnije analize, Hrvatska narodna banka procijeniti situaciju te djelovati u okviru svojih nadzornih ovlasti. FOTO: Igor Soban/PIXSELL

‘’Doista ne znamo, moguće je da je problem bio u nečitkim podacima banke koju smo pripojili. Još uvijek to istražujemo. No sve sporne slučajeve detaljno smo analizirali, provjerili smo podatke o pristupima računima i definitivno potvrdili da ni u jednom od njih nije došlo do zloupotrebe, odnosno pronevjere. Ne radi se o masovnoj i sustavnoj pojavi, nego o pojedinačnim incidentima, zapravo statističkoj grešci u odnosu na brojku od stotina tisuća klijenata kod kojih je pripajanja dviju banaka prošlo uredno i bez ikakvih poteškoća’’, rekao je jedan od sugovornika Nacionala iz HPB-a u ponedjeljak prijepodne. On je ujedno potvrdio da o cijeloj situaciju još uvijek nije obaviještena Hrvatska narodna banka kao regulator, no da će se to učiniti ‘’kada se obavi kompletna analiza’’.

U ponedjeljak kasno poslijepodne, nakon što se Nacional na više adresa obratio s upitima na ovu temu, HPB je ipak o incidentima službeno obavijestio Hrvatsku narodnu banku. HNB je to potvrdio za Nacional. ‘’Hrvatska poštanska banka obavijestila nas je o nekoliko izoliranih slučajeva tehničkih pogrešaka vezanih uz operativno pripajanje te da poduzima sve potrebne radnje kako bi iste ispravila. Ovisno o rezultatima detaljnije analize, Hrvatska narodna banka će procijeniti situaciju te djelovati u okviru svojih nadzornih ovlasti. Hrvatska narodna banka do sada nije zaprimila pritužbe klijenata Hrvatske poštanske banke vezane uz provedeno operativno pripajanje’’, odgovorili su iz HNB-a.