Zaštita podataka kod razmjene eRačuna
Zaštita podataka kod razmjene eRačuna tema je o kojoj se u javnosti trenutno premalo govori, a zasigurno predstavlja najveću prijetnju koja se može dogoditi u digitalnoj razmjeni podataka, što pokazuju i primjeri koje donosimo u ovom blogu.
Bitni aspekti
Cyber napad u Italiji
Posljedice i tijek napada u Italiji
Zaštita podataka kod razmjene eRačuna
Cyber napadi u Španjolskoj
Primjeri Estonije i Finske
Cyber napadi u Hrvatskoj
Zašto je važna zaštita podataka kod razmjene eRačuna?
Iako računi nisu fizički novac, u pravu i u financijskim tokovima smatraju se virtualnim ekvivalentom novca. S pravnog i digitalnog aspekta, eRačuni predstavljaju obvezu, odnosno pravo na plaćanje i primanje novca.
Iz navedenoga je jasno da je za cyber kriminalce kompromitiranje računa, krađa ili manipulacija računa isto je kao da su ukrali fizički novac jer im omogućava ilegalnu financijsku koristi, prijevare i pranje novca.
Ne čudi stoga da su cyber napadi prethodnih godina usmjereni na porezne sustave i sustave putem kojih se razmjenjuju digitalni podaci, posebice računi koje smatramo virtualnim novce u smislu njihove funkcije i važnosti u gospodarstvu te njihova značenja u pravnom sustavu.
Cyber napad u Italiji
Italija je jedna od prvih zemalja članica Europske unije koja je uvela obvezan eRačun između poreznih obveznika (B2B) još 2019. godine, za što koristi centralnu platformu SDI (Sistema di Interscambio).
To je središnja nacionalna platforma za eRačune, kroz koju prolaze svi B2B, B2G i B2C elektronički računi u Italiji. Ova platforma je bila predmet interesa i potencijalni cilj jednog od najzvučnijih cyber napada u toj državi.
Godine 2022. hakerska skupina LockBit 3.0 tvrdila da je kompromitirala talijanski porezni ured L’Agenzia delle Entrate čija je infrastruktura pod nadležnošću tvrtke Sogei SpA.
Cyber kriminalci su tvrdili kako su ukrali oko 100 GB podataka koji su uključivali financijske izvještaje, ugovore i skenirane službene dokumente.
U svome zahtjevu postavili su krajnji rok za isplatu otkupnine do 1. kolovoza, prijeteći objavom tih podataka ukoliko zahtjevi ne budu ispunjeni. O kolikom iznosu je bilo riječ, nikada nije objavljeno.
Posljedice i tijek napada u Italiji
Cyber incident izazvao je veliku zabrinutost diljem zemlje, pokazavši osjetljivost sustava koji bi trebao čuvati povjerljive podatke tvrtki, javne administracije i građana.
U istragu su odmah uključene Nacionalna agenciju za kibernetičku sigurnost i policija, a IT operater Sogei proveo je opsežnu forenziku.
Nakon što je istraga službeno potvrđena u javnosti, pružatelj IT usluga izvijestio je kako preliminarna analiza nije pronašla dokaze o kompromitiranju njihovih glavnih platformi i baza podataka te da porezni sustavi nisu bili trajno nedostupni.
No, bio je to poziv na buđenje jer su stručnjaci za sigurnost, ali i mediji upozorili na potencijalnu štetu koju je moglo prouzročiti curenje povjerljivih podataka.
Ovaj incident je doveo do intenzivne rasprave u talijanskom parlamentu o zabrani plaćanja ucjena u ransomware napadima, a regulatorne su mjere pooštrene kako bi se smanjio pritisak i ekonomska isplativost budućih napada.
Unatoč tome, kibernetički napadi u Italiji ne jenjavaju, dapače. Dosegnule su novu razinu sofisticiranosti, a najveći porast ciljanih napada bilježi se u SME sektoru, koji i dalje ne ulaže dovoljno u informacijsku sigurnost, iako se već dugo govori o zaštiti razmjene podataka.
Prema podacima koje je objavio TIM, glavni talijanski telekomunikacijski operater, DDoS napadi su u 2025. godini porasli za 36% u odnosu na 2023. godinu, dosegnuvši prosjek od 18 napada dnevno. Ono što je još zabrinjavajuće je njihova brzina, zbog čega je njihovo otkrivanje i ublažavanje sve složenije.
Zaštita podataka kod razmjene eRačuna
Na spomen cyber napada, većina će pomisliti na prijetnju objave ukradenih podataka na temelju koje će iznuditi državne institucije da plate velike svote novca kako do toga ne bi došlo.
No, zaštita podataka kod razmjene eRačuna daleko je ozbiljniji proces, budući da je i šteta koja iz toga može proizaći daleko kompleksnija.
Prikupljanje osjetljivih informacija iz eRačuna i financijskih izvještaja mogu se zloupotrijebiti za financijske prijevare, krivotvorenja, porezne prijevare ili manipulacije računovodstvenim podacima.
Osim toga, cyber napadi na porezne sustave ili financijske institucije donose potencijalno destabiliziranje fiskalnih sustava i smanjenje povjerenja u državne digitalne procese.
Podacima s eRačuna poslovnih subjekata napadači se mogu na različite načine:
Krađa financijskih i poslovnih podataka mogu poslužiti za konkurentsku prednost, industrijsku špijunažu ili prodaju na ilegalnim tržištima.
Cyber kriminalci mogu iskoristiti podatke i lažno se predstaviti prema partnerima, kupcima i dobavljačima koristeći kompromitirane račune za naplatu.
Krađom podataka tvrtke doslovno im se omogućuje krađa identiteta tvrtki pa lako mogu otvarati lažne račune ili manipulirati financijskim tijekovima poduzeća.
Osim toga, mogu manipulirati poreznim prijavama, izbjegavati porez ili tražiti povrat poreza na temelju lažnih računa.
Napad na sigurnost tvrtke ozbiljno ugrožava povjerljivost, integritet i dostupnost podataka, stoga je zaštita podataka kod razmjene eRačuna ključna za sigurnost poslovanja i poreznog sustava.
Cyber napadi u Španjolskoj
Zaštita podataka u Španjolskoj je u 2025. godini jedna od najvažnijih tema. U rujnu je na kongresu o cyber sigurnosti održanom u Barceloni iznesen frapirajući podatak da je broj kibernetičkih napada porastao za čak 35% u odnosu na prethodnu godinu i da sada prelazi 45.000 incidenata dnevno.
Mnogi od njih povezani su s ruskim hakerima, međutim incident koji se dogodio u prosincu 2024. godine snažno je potresao povjerenje građana u sigurnost javnog sustava.
Ransomware grupa Trinity objavila je da je kompromitirala podatke Državne porezne uprave Španjolske (Agencia Estatal de Administración Tributaria - AEAT) i ukrali oko 560 GB podataka te da traže otkupninu u iznosu od 38 milijuna USD.
Web-stranica AEAT objavila je da su 2024. detektirane poruke phishinga koje imitiraju AEAT i poslala upozorenje korisnicima da trebaju biti oprezni.
Prema tvrdnjama Trinitya na dark webu, cilj je bio krađa 560 GB dokumenata koji uključuju fiskalne, radne, ali i osobne podatke građana koji se odnose na plaće, identifikacijske dokumente i slične informacije, a otkupnina u milijunima dolara u tome ih je trebala spriječiti.
Nakon opsežne analize, AEAT je utvrdila da ne postoje konkretni dokazi da su njeni sustavi kompromitirani, međutim kao moguća žrtva pojavila se treća kompanija iz područja poreznih i računovodstvenih poslova koja nije bila direktno povezana sa sustavom AEAT-a.
Slučaj je ipak potaknuo javne servise da ulože dodatne napore u zaštitu podataka kod razmjene eRačuna i drugih digitalnih dokumenata kroz porezne sustave.
Primjeri Estonije i Finske
Skandinavske zemlje začetnice su digitalne transformacije Starog kontinenta pa se u kontekstu eRačuna i e-servisa u cjelini Estonija nerijetko spominjala kao e-Stonija.
No, njihova spremnost na usvajanje digitalnih rješenja i promišljanje o digitalnoj sigurnosti nisu ih napravili imunima na sofisticirane cyber napada.
Napadi na Estoniju u 2023. godini bili su značajno obilježeni porastom kibernetičkih prijetnji, posebno u obliku DDoS napada koji su bili usmjereni na ključne državne servise.
Tijekom godine Estonska Agencija za informacijski sustav (RIA) zabilježila je 484 DDoS napada.
Najzvučniji cyber napad ciljano je gađao Ridango, tvrtku koja upravlja prodajom karata za državnu željezničku kompaniju Elron, zaustavljajući sustav prodaje na gotovo cijeli dan, što je izvrstan primjer kako DDoS-napad može ometati kritičnu infrastrukturu javnih usluga.
O gospodarskim posljedicama te utjecaju na građane koji se oslanjaju na navedene usluge, ne treba ni govoriti jer je jasno da su značajne.
Slična situacija pogodila je i Švedsku 2017. godine kada su švedske prometne agencije (osobito Trafikverket) bile su meta DDoS napada koji su uzrokovali kašnjenja i prekide informatičkih sustava za željeznički promet.
U jesen 2020. godine Finski parlament je bio meta kibernetičke operacije u kojoj su kompromitirani neki e-mail računi zastupnika.
Dvije godine poslije, u kolovozu 2022. godine srušena je stranica parlamenta, a DDoS napad izvela je hakerska skupina NoName057(16), a trajao je nekoliko sati.
Motiv je bio geopolitički, odnosno kao protumjera zbog najave Finske da se želi pridružiti NATO savezu, što je manje od godinu dana poslije i učinila.
Cyber napadi u Hrvatskoj
Tijekom 2024. godine Hrvatska je također pretrpjela kibernetičke napade na neke od svojih najvažnijih institucija. Osim što su „srušeni“ informatički sustavi pojedinih banka, najveća ugroza za sigurnu razmjenu podataka nastala je zbog DDoS napada na stranicu Ministarstva financija, Porezne uprave te Hrvatske agencije za nadzor financijskih usluga (HANFA) koja je bila meta značajnog kibernetičkog napada.
Kibernetički napad na HANFA-u je privremeno onemogućio njezin informatički sustav zbog čega je nekoliko tjedana službena mrežna stranica bila je povremeno nedostupna, a pojedine funkcionalnosti, uključujući dijelove registara i aplikativnih sustava su bile privremeno obustavljene.
Rezultati istrage su pokazali su da je riječ o sofisticiranom napadu čiji je cilj bio ometanje redovnog rada i funkcionalnosti HANFA-inih informacijskih sustava. Prema nalazima, napadači su koristili napredan zloćudni kod koji je enkriptirao dio podataka i time privremeno onemogućio pristup određenim aplikacijama.
Iako HANFA nije službeno potvrdila da se radilo o ransomware-napadu, opis napada i posljedice ukazuju na takav scenarij pa je nakon incidenta HANFA uvela strože strože kontrole pristupa, višefaktorska autentikacija, detaljna revizija korisničkih računa te razvoj novih aplikacijskih sustava prema najvišim sigurnosnim standardima.
Nekoliko mjeseci poslije, Porezna uprava Republike Hrvatske postala je metom kibernetičkog napada koji je privremeno onemogućio pristup njezinoj mrežnoj stranici. Prema službenim informacijama, radilo se o DDoS napadu (Distributed Denial of Service), usmjerenom na preopterećenje sustava masovnim brojem zahtjeva, što je rezultiralo privremenom nedostupnošću web-stranica za dio korisnika.
Ovaj napad pokazuje da Hrvatska, kao i ostale zemlje članice Europske unije postaje sve učestalija meta međunarodnih kibernetičkih kampanja koje kombiniraju političke poruke i digitalne sabotaže s ciljem testiranja sigurnosnih kapaciteta nacionalnih institucija.
Zato je važno da se kod primjene obveznog elektroničkog računa kod poslovnih subjekata pokaže spremnost na maksimalno ulaganje u sigurnost, odnosno zaštitu podataka kod razmjene eRačuna.
Zašto je važna zaštita podataka kod razmjene eRačuna?
Financijska zarada cyber kriminalaca
Onemogućivanje pristupa sustavima za eRačune prisiljava tvrtke i državne institucije da plate otkupninu kako bi mogli nastaviti poslovanje i ispunjavati zakonske obveze.
Poremećaj poslovnih procesa i kašnjenja
Zastoji u obradi eRačuna stvaraju financijsku nesigurnost, blokiraju tijek novca i mogu uzrokovati kazne zbog kašnjenja u plaćanjima i poreznim izvještajima.
Financijske prijevare i krađa identiteta
Pristup eRačunima i manipulacija podacima omogućuju napadačima krivotvorenje računa ili lažno predstavljanje prema drugim pravnim subjekatima kako bi izveli prijevare, neovlašteno došli do novca ili počinili druge vrste prevara.
Industrijska i fiskalna špijunaža
Ukradeni podaci s eRačuna mogu sadržavati poslovne informacije, cijene, uvjete ugovora i druge osjetljive informacije koje konkurenti ili zlonamjerni akteri mogu iskoristiti.
Destabilizacija povjerenja u digitalne sustave
Sustavni napadi na sustave za razmjenu eRačuna ili druge digitalne usluge potkopavaju povjerenje korisnika i mogu usporiti digitalnu tranziciju poslovanja i javne uprave.
Ulaganje u sigurnost i zaštitu podataka kod razmjene eRačuna ključni su stabilno poslovanje jer napadi na sustave za razmjenu eRačuna nisu samo tehnički incidenti.
Ako do takvih napada dođe, možete biti sigurni kako je riječ o široj strategiji cyber kriminala koja napadačima donosi kontrolu nad fiskalnim tokovima i dugoročnu korist. A domaće gospodarstvo baca na koljena.