Categories
Politika

Izborni post-mortem, sezona 2025.

Za početak treba konstatirati kako smo jučer dovršili superizbornu 2024. godinu i ako ne bude nekih osobitih političkih potresa (a zasada ne vidim da će ih biti), sljedeće tri godine smo mirni od izbora i napokon smo u političkom prostoru u kojem je moguće napraviti nekolicinu doista bitnih strukturnih promjena koje su ovome društvu potrebne. Nažalost, kako smo sada na vrhuncu neke (imaginarne) konjukture, nije previše realno za očekivati da će do tih nasušnih promjena i doći.

Pod strukturnim promjenama svakako mislim na jedinice lokalne samouprave, koja je kod nas atomizirana do karikature i jednostavno nije normalno da s tisuću glasova netko postane gradonačelnik (kompliciranije je postati predstavnik stanara u zagrebačkoj mamutici nego gradonačelnik u 93% JLSova u državi). Minijaturni JLSovi nas koštaju ogromnu količinu novaca, ne stvaraju nikakvu vrijednost i jednostavno nemaju kapaciteta da rade na dobrobit svih svojih građana (naglasak na svih svojih građana).

Kada analizirate rezultate, imajte na umu tri temeljne teze:

  • birači biraju sukladno svojim (percipiranim) vrijednostima a suprotno svojem interesu
  • u izborima u pravilu ima malo iznenađenja ali neobično puno iznenađenih
  • posao pozicije (vlasti) jest da osigurava kvorum, posao opozicije jest da osigurava kvalitetu diskusije

Što se tiče ovih lokalnih izbora, ako se malo vratite u prošlost, ne predaleko, svega devedesetak dana unatrag – sasvim je jasno kako je HDZ u lokalne izbore ušao kao ranjena gazela na Serengetiju. Čak i ako ste promatrali pojedine odluke vrha HDZ-a bilo je jasno kako se pokušava “delegirati” očekivani neuspjeh na niže razine kako bi se vrh stranke izolirao od u tome trenutku očekivanog rezultata. U konačnici se apsolutno ništa od toga nije dogodilo i HDZ je ostvario među najboljim ako ne i najbolji rezultat ikada (na lokalnim izborima). Od svega su najbolje izjave kako HDZ “uvijek ima 30%” pa tkogod da je kandidat. Povijesno gledano to na prvome mjestu nije točno (pogledajte arhivu rezultata na izbori.hr), a riječ je ionako o generalizaciji jer i druge stranke imaju xy% birača koji će nekritički izabrati “svoje”, razlika je samo u tome što je jedna stranka veća i/ili organiziranija od ostalih.

Lokalni izbori 2025.

Jedan od razloga uspjeha HDZ-a je između ostalog u tome što se u mnogim općinama i gradovima ostale stranke ili liste uopće nisu uspjele organizirati da bi napravile bilo kakav otpor ili ponudile nešto što je drugačije od HDZ-a (ili koje god druge političke opcije obitavaju na tom prostoru). Dakle, ako ste stranački strateg koji ima zadatak razviti teren za sljedeći period (a ne zaboravimo, cvijet nacionalne demokracije raste s komposta lokale samouprave), onda za početak krenite formirati i tražiti saveznike u ovim jedinicama u kojima nije bilo protukandidata. Isto možete raditi i u onim jls-ovima u kojima je bitka bila na rubu.

Osobito je bilo zanimljivo pratiti razvoj događaja u većim gradovima. Ako postoji zajednička nit koja povezuje promjene u svim tim lokacijama je ili pretjerana uljuljanost u vlastiti rezultat ili je to koncentracija na percipirane “slabije” suparnike i ignoriranje gore navedenog HDZ-a. Mislim da se to nije nigdje toliko dobro osjetilo kao u Splitu gdje je izborna bitka bila i suviše personalizirana do razine da su kandidati bili spremni i aktivno su radili na vlastitu štetu a samo kako bi spriječili pobjedu favorita (što se u konačnici i dogodilo). Ne ulazim u diskusije niti mislim da osobito razumijem kako i zašto u Splitu nije bilo gradonačelnika u dva uzastopna mandata (iako Puljak jest pobjedio na dva uzastopna izbora ali nije imao dva puna mandata) ili o toj navodnoj prevrtljivosti Splićana koji su (između ostalog) iznjedrili i Keruma kao gradonačelnika. Teško mi je povjerovati da Split nije bio u stanju iznjedriti kvalitetnije a sasvim sigurno konstruktivnije političare, no to se dogodilo pa je Split ponovno u rukama HDZ-a. Ovo je “teachable moment” za sve u Splitskoj politici, a i za one na nacionalnoj razini koji imaju utjecaja oko toga što se događa u Splitu.

Donekle slična situacija se dogodila i u Rijeci, gdje je SDP suvereno upravljao praktički oduvijek. Za očekivati je bilo da će prije ili kasnije doći do zamora materijala. Prije gotovo 15 godina sam bio radio fokus grupe po Rijeci i još tada je vrilo ispod površine i sve što je trebalo je usmjeriti tu frustraciju. Slično ali ne i identično kao i u Splitu, ako imate problem na stranačkoj razini onda je njega trebalo riješiti dovoljno ranije a ne u tjednima prije isticanja kandidature.

Većina “neuspjeha” na lokalnim razinama proizlazi u biti iz toga što se mnogobrojne grupacije koje su zainteresirane za promjene nisu u stanju dogovoriti i kreirati zajedničku frontu (pa zvali to interesnom koalicijom ili nekako drugačije), no u sjeni većine tih neuspjelih dogovora u biti stoje pojedinačne ljudske taštine koje nisu spremne “žrtvovati” svoju “vodeću ulogu” za opće dobro – pa se onda u konačnici niti ne uspiju približiti rezultatu kojeg su priželjkivali. Opet, mogu iz prve ruke reći da u vremenu kada sam vodio kampanju Josipa Kregara 2009. godine (a što je defacto bila prva točka političkog djelovanja iz koje je nastao današnji Možemo) da je bio ogromni problem prikupiti percipirane protukandidate u zajedničku listu, a kada smo i u tome uspjeli, ti isti protukandidati su više vremena provodili birajući svoje fotografije na plakatima ili pazeći koliko će koji profil biti veliki, nego što se pazilo na opće dobro, birače i udovoljavanju njihovih interesa.

I to je sublimacija onoga što se dogodilo u Zagrebu, puno malih taština se nije uspjelo dogovoriti, a ovi koji se i jesu uspjeli dogovoriti su uglavnom neka dobro poznata imena zagrebačke političke povijesti pa nisu ni imali neke velike šanse, tj. dovoljno velike da budu prepoznatljivi ali i dovoljno kompromitirani prošlošću da nemaju ni potencijal ostvariti rezultat. U takvim okolnostima izronila je protukandidatkinja koja je objektivno izgubila izbore još u prvom krugu, što je bilo sasvim i svimajasno, ali koja je u izbore ušla površno i nepripremljeno, a s vremenom će biti totalno jasno da su njezini motivi bili totalno drugačiji od deklariranih. Da vas ne držim u nekoj velikoj neizvjesnosti očiglednoga, njezini motivi su isključivo vlastito samoodržavanje i nemaju nikakve pa niti najmanje veze s dobrobiti grada ili njezinih građana, no u tom procesu je nepovratno uništila vlastitu reputaciju i dugoročno si naštetila. Niti je ona ostvarila nekakav rezultat niti taj rezultat “obvezuje” niti će se to dogoditi, sasvim je normalno da većina građana naginje na jednu stranu (a Zagreb kao urbana i prosječno obrazovanija sredina naginje na lijevo) baš kao što je normalno i da postoji dio populacije koji je protiv (ne nužno zato što postojeća vlast svoj posao radi loše, nego zato što nisu “njihovi” na vlasti – vidi gore pod temeljne teze).

Spomenuo bih da je u ovoj kampanji uvjerljiva većina vremena bila utrošena na personalizaciju izbora i na pojedinačne aktere na vodećim pozicijama župana, gradonačelnika ili načelnika – no vrlo malo vremena i energije, a osobito medijske pozornosti je posvećeno županijskim, gradskim ili općinskim skupštinama i vijećima a koje imaju značajnu moć koja se razlikuje od zakonodavne uloge npr. sabora kojeg cijelo vrijeme imamo u vidokrugu. Tako da dok smo se mi svađali oko Tomislava ili Marije, Ivice ili Tomislava, Ive ili Marka – pravi znalci su se bavili skupštinama.

U odnosu na programe, fasciniran sam količinom vremena koje je provedeno na diskusije o rješavanju problema koji su većinom ili u cijelosti izvan kompetencija lokalne uprave/samouprave. Samo na tome se vidjelo koliko kandidati uopće ne razumiju niti poznaju stvarne ovlasti i mogućnosti koje stoje gradonačelnicima na raspolaganju, ili su pak možda mislili da je to prihvatljivo budući da birači pojma nemaju što jedan gradonačelnik može ili ne može napraviti? Teško je procijeniti, a bilo bi dobro poskidati te programe i pogledati koliko je njih napisao ChatGPT a koliko su pisali stvarni ljudi.

I posljednje, funkcija župana/gradonačelnika ili načelnika je prvenstveno managerska funkcija a sekundarno političarska. Ne postoji HDZ-ov ili Možemo! način odvoza smeća ili isporuke pitke vode, ti sustavi ili funkcioniraju ili ne. U upravljanju gradom ili općinom nema previše mjesta niti prostora za ideologiju i ona ako i postoji može se dijelom reflektirati kroz kulturne ili socijalne programe, dok je sve ostalo totalno imuno na ideologiju.

p.s. in other news, drago mi je da je Zagrebačka vlast ostala netaknuta i da su odnosi u skupštini jasni, odavno smatram da ćemo desetljeća nereda koje je Bandić ostavio ispravljati stotinu godina i tu nema prečica niti brzih rješenja, zatečeno stanje je bilo strašno i puno toga neispunjenog se može oprostiti ali u drugome mandatu to više nije niti može biti isprika

Misao dana:
The bad end unhappily, the good unluckily. That is what tragedy means.

Share the post "Izborni post-mortem, sezona 2025."

  • Facebook
  • X
Categories
Business eDržava Ekonomija

Konfuzija oko eRačuna

Ako ste poduzetnik ili se bavite računovodstvom, tada ste u proteklih nekoliko mjeseci sigurno primjetili diskusiju oko toga što elektronički račun doista jest?

eRačuni su kod nas obavezni prilikom slanja javnim naručiteljima od 1. srpnja 2019. (iako ima niz izuzetaka), te se samo djelomično koriste u poslovanju između poduzetnika. Po aktualnim planovima porezne uprave, očekuje se da će vrlo uskoro u javnosti završiti zakonski i podzakonski prijedlozi o tzv. fiskalizaciji 2.0 koja će uključivati obveznu razmjenu računa između pravnih osoba putem sustava eRačuna. Dakle neosporno je da su eRačuni već sada dio poslovne prakse te će njihovo korištenje odjednom višestruko narasti. Nuspojava obveze razmjene računa između poslovnih subjekata je i to što će porezna uprava imati direktni uvid u sadržaje računa u realnom vremenu; to s jedne strane omogućuje daleko veći nadzor poduzetnika ali će u perspektivi omogućiti i smanjenje izvještajnog tereta nad samim poduzetnicima (čisto informacije radi, postoje europske države gdje ovakav sustav postoji već godinama). Nadam se da će fiskalizacija 2.0 biti posložena malo liberalnije od fiskalizacije za promete u gotovini jer obveza digitalnog potpisivanja kreira odgovarajući teret na infrastrukturu i zahtjeva organizacijske pripreme i vjerojatno promjene. Fiskalizacija 2.0 je moguće rješiva na način da smo šaljete račune, dok bi timestamp i digitalni potpis mogao odraditi posrednik prilikom preuzimanja a prije odašiljanja u pretinac primatelja.

Cijela problematika koja se dogodila, opisana je u mnogim tekstovima (poput ovoga), te je bila dio raznih javnih konverzacija, na jednoj od njih sam i ja bio pozvan sudjelovati.

Elektronički račun je u osnovi digitalno potpisani XML zapis koji je strukturiran po odgovarajućim standardima. Ideja elektroničkih računa je višestruka ali načelno riječ je o digitalnom dokumentu koji je namijenjen razmjeni između računalnih sustava, pa ako ste to ispravno posložili onda će vaš ERP sustav izdati fakturu i poslati je odgovarajućem kupcu koji će taj račun zaprimiti i “importirati” u svoj računalni sustav koji će potom automatski upariti to sa zapisom o vama kao dobavljaču, a ako je sve ispravno popunjeno onda će upariti i račun s odgovarajućim ugovorom ili narudžbom, a stavke računa ispravno povezati s odgovarajućim primkama/otpremnicama, osnovnim sredstvima ili troškovnim pozicijama (ako ste dobro sve skupa posložili kroz pravila knjiženja i povezivanja). Primarna prednost elektroničkih računa je to što su isporučeni gotovo instant i postoji jasna sljedivost kretanja računa, što nema prepisivanja podataka (dakle manje grešaka), te što stvaraju uštedu u razmjeni. Znam da mnogi protestiraju na troškovima eRačuna, no kada to stavite u perspektivu ispisa računa, kuvertiranja, odlaska na poštu, poštarine (skupa s vremenom koje se troši na otpremu, zaprimanje i obradu), tada o tome uopće ne bi trebali raspravljati osim ako mislite da je vaše vrijeme besplatno (u kojem slučaju vam očajno treba mali tečaj iz stvarnih troškova poslovanja).

Osim ovih prednosti elektroničkih računa, jedan od parametara koje osobito morate imati na umu je pitanje vjerodostojnosti dokumentacije, a ona je definirana na mnogim mjestima ali za poduzetnike je to uglavnom Zakon o računovodstvu. Tricky part je u tome što elektronički račun da bi bio smatran vjerodostojnim mora biti sačuvan/arhiviran u njegovom izvornom obliku a to bi bila XML datoteka. Sasvim je svejedno gdje se ona nalazi ali mora biti u svom nepromijenjenom izvornom obliku koji nije nimalo čitljiv ljudima. Kako je 90+% svih poduzetnika kod nas u kategoriji obrta, mikro i malih, većina njih (myself included) funkcionira na način da koriste različite metode računovodstva koje opet uglavnom koriste ručne upise u različite knjigovodstvene softvere. I tu otprilike nailazimo na problem, jer su mnogi i već godinama elektroničke račune krenuli ispisati u tzv. vizualizaciju no to je samo vizualna reprezentacija XML dokumenta i tako ispisani dokument nije vjerodostojni dokument. To pak znači da ako vam dođe porezni ili drugi nadzor u kontrolu, i ako postavi takvo pitanje, da im morate ponuditi da pregledaju i originalne XML datoteke, jer ako takvih dokumenata nemate tada poreznici mogu te transakcije proglasiti nevažećima pa ste u mogućnosti izgubiti pravo na knjiženje troška, povrata PDV-a i tko zna što sve još.
Za razliku od papirnatog računa koji ima svoj jasni izvornik (a kojeg potom možete umnožavati u neograničenom broju kopija), u digitalnom svijetu je koncept “izvornika” malo kompliciraniji i u biti neprimjenjiv pojam budući da su sve kopije međusobno istovjetne. Svejedno, u slučaju eRačuna se točno zna što se može smatrati izvornikom tj. vjerodostojnim dokumentom. Ispis vizualizacije koja je nastala iz XML datoteke i potom arhiviranje takve vizualizacije u papirnatom ili čak digitalnom obliku nije prihvatljivo jer nema načina da se utvrdi da li je riječ o izvornom dokumentu ili je riječ o krivotvorini.

Poanta je dakle da morate paziti na svoju arhivu eRačuna te ih morate čuvati propisanih 11 godina. Ne moram objašnjavati da je 11 godina jako puno i pokušajte na svojim diskovima pronaći dokumente koje ste stvarali daleke 2014. godine? U međuvremenu ste promijenili nekoliko računala te se možda koje od njih i pokvarilo pa su neki podaci nestali, a backup ako imate pitanje je da li radi na ispravan način (kopiranje podataka na eksterni USB nije backup, imate puno dojam backupa ali su takvi diskovi i USB mediji jednostavno podložni kvarenju). Pravi backup uključuje 3-2-1 pravilo, što znači da imate najmanje tri kopije svojih podataka, na najmanje dva različita medija te je najmanje jedna od tih kopija pospremljena na udaljenoj lokaciji (kao zaštita od krađe ili neke nepogode poput npr. potresa, požara ili poplave). Malo tko ima podatke tako arhivirane, a ako i imate onda znate da takav sustav arhiviranja ima svoje jasne troškove u opremi, software-u, uloženom vremenu i održavanju (da ne kažemo da tijekom 11 godišnje obveze čuvanja arhive morate promijeniti opremu najmanje dvaput, potencijalno triput a da bi je održali u zoni sigurne upotrebe). Morate se dakle pouzdati da su podaci sigurno spremljeni kod vas, vašeg knjigovođe ili možete ugovoriti uslugu arhiviranje kod vašeg posrednika elektroničkih računa (gdje će trošak arhive uvijek biti manji nego da to sami odradite po “pravilima struke”).

Posrednici za razmjenu elektroničkih računa su zanimljivi koncept i najbolja analogija koju mogu smisliti je da su oni poput telekoma s kojima imate ugovor o pružanju usluga. Oni osiguravaju infrastrukturu koja je nužna da bi elektronički račun stigao do vas. Zanimljiva razlika kod elektroničkih računa je u tome da možete imati više od jednog dobavljača tih usluga te da ne postoji jedno mjesto gdje završavaju svi eRačuni nego ih može biti više – što može kreirati konfuziju. Zamislite da imate dva mobilna telefona, jedan je npr. 091 a drugi 099. U normalnoj upotrebi, svi pozivi prema 091 će završiti na 091 telefonu i obrnuto; no u slučaju distribucije elektroničkih računa, ako netko s 091 (posrednikom) pokuša poslati na 099 (posrednika), ako imate otvoren račun kod 091 posrednika, račun će završiti u 091 pretincu (i potencijalno “pogrešnom” posredniku što vam može proizvesti različite organizacijske probleme).

I malo konkretnih situacija. Kako sam se i sam krenuo baviti problematikom arhive elektroničkih računa, jedna od odluka je bila i da konsolidiram svoje pružatelje usluga (jer sam ih iz različitih razloga koristio više). Prvi servis kojeg sam krenuo gasiti je FINA eRačun kojeg sam koristio isključivo za slanje računa, ali su neki dobavljači unatoč mojim pokušajima da ih preusmjerim na drugi servis svejedno isporučivali svoje račune u FINAu. Problem koji imate prilikom pokušaja arhiviranja eRačuna s FINAe je u tome što je kod njih nemoguće odabrati sve ulazne račune i potom ih samo downloadati, pa je nužno ići po redosljedu i potom skidati jedan po jedan (malo XML-a, malo vizualizacije, malo priloga) pa proces jednostavno traje i podložan je greškama i propustima. Specijalni je problem što ako pogledate svoje ulazne eRačune, nećete biti u mogućnosti downloadati originalne XML dokumente koji su stariji od 1. siječnja 2023. godine – dakle već sada su vam nedostupni (to je naravno pokopano negdje u općim uvjetima i koliko razumijem da bi došli do tih podataka morate prvo ugovoriti arhivu pa vam oni “otključaju” taj dio priče).

Kod mog drugog posrednika je moguće odabrati arbitrarni broj ulaznih računa (dakle select ALL je moguć) ali, zasada, ta arhiva neće sadržavati XML nego samo vizualizaciju i eventualne priloge. Dakle brže ali ne i idealno, iako je XMLove moguće vrlo brzo poklikati jer je korisničko sučelje daleko bolje posloženo nego ono od FINA-e.

Malo sam frustriran što sam morao odraditi sve ovo jer normalni servisi koje koristite po vani svi redom imaju takeout opciju (dakle specifični dio usluge koji omogućava da vam sve vaše podatke pripremi i zapakira u jednu arhivu koju potom jednostavno downloadate). Razumijem ja da pružatelji usluga žele maksimalno otežati odlazak i učiniti ga teškim, no to je jednostavno primitivna i loša poslovna praksa i na tome bi trebali raditi (dakle, poruka pružateljima usluga, svih ne samo posrednicima, budite dostojanstveni gubitnici).

Potrošio sam dakle nekoliko sati da bih downloadao sve stare eRačune i napravio backup kod sebe (koji jest 3-2-1). Ali, uočio sam jednu iznimno zanimljivu situaciju o kojoj također vrijedi razmišljati. Naime skidajući tu silnu arhivu (u mom slučaju nije osobito velika, par stotina računa u nekoliko godina), uočio sam da uvjerljiva većina dobavljača u biti kreira klasične račune (u PDFu) koje potom radi obveze isporuke transformiraju u eRačune, te se cijeli sustav razmjene elektroničkih računa u svojoj osnovi uopće ne koristi kao sustav elektroničkih računa nego kao sustav sigurne razmjene i isporuke računa. Dakle neovisno o tome što ste račun zaprimili od npr. svojeg telekoma, izvorni račun u PDF-u (a mogli bi argumentirati i da je onda upravo taj PDF vjerodostojni dokument), dok je XML samo modalitet transporta računa (ne očekujem da se složite s time ali i letimični pogled kaže da je tako). To će se sve promijeniti dolaskom fiskalizacije i tada ćete morati biti spremni izdavati i zaprimati eRačune, ali imati i riješeno pitanje arhiviranja na dugačke i zakonom propisane rokove.

I posljednje, sustav eRačuna je u svojoj biti dizajniran za razmjenu poruka između računalnih sustava, dakle da vaš računovodstveni ili ERP sustav automatski putem API sučelja šalje ili prima račune. No u praksi, kako većina nas spada u grupu malih i mikro poduzetnika, to najčešće nije slučaj. Zasada dok dobijamo sporadične eRačune (u mom slučaju komunalije, telekom i HAC) to je podnošljivo, no kada svi budemo prisiljeni prebaciti se na fiskalizaciju 2.0, tada će situacija odjednom biti daleko kompliciranija i teža za upravljati i trebate razmisliti o tome koje rješenje ćete koristiti za razmjenu eRačuna od 1. siječnja 2026. od kada se očekuje početak nove sheme.

Misao dana:
Bureaucracy is like a fungus that contaminates everything.

Share the post "Konfuzija oko eRačuna"

  • Facebook
  • X
Categories
Business

Tipična poslovna prevara (i kako je spriječiti ili otežati)

U svom poslu često (jednom do dva puta mjesečno) nailazim na situacije u kojoj je neka tvrtka prevarena putem interneta. U ovom tekstu pokušati ću objasniti kako takva prevara izgleda i koje postupke možete napraviti da je u cijelosti onemogućite ili barem značajno otežate.

Ukratko, tvrtke imaju različite poslovne odnose s mnogobrojnim partnerima, te se mogu naći u ulozi kupca ili dobavljača. Ovaj konkretni tip prevare se najčešće događa kod prekograničnih transakcija i relativno ih je lagano za prepoznati.

Sve u pravilu počinje zaprimljenom email porukom koja je sadržajem, email adresom, imenima u mailu, svim bitnim podacima naizgled totalno autentična. U nekim situacijama sam uočio takve mailove kako se logično nadovezuju na prethodnu korespondenciju ili u nastavku maila imate korespondenciju koja je u cijelosti fiktivna ali daje mailu kojeg ste zaprimili dojam autentičnosti.

Primjer maila kojeg zaprimite (ovo je samo primjer), izgleda autentično, na istovjetnom mail templateu kao i prethodni mailovi vašeg klijenta.

Ukratko, vaš poslovni partner vas npr. pita hoćete li svoju obvezu podmiriti na vrijeme (i najčešće se referira na konkretne brojeve, konkretne datume dospijeća), te vam u prilogu dostavlja dokument u kojem vas partner obavještava da je promijenio bankovni račun te od vas traži da transakciju obavite na sasvim novi račun u drugoj banci.

Primjer pratećeg dopisa (iz stvarne prevare) koji je napravljen na vama prethodno poznatom memorandumu, potpisan od poznatih imena.

Ponekad, osim emaila i dopisa o promjeni bankovnog računa stigne i prateće pismo banke koje potvrđuje da je novi bankovni račun vašeg partnera od sada promijenjen. Kao i ostali dokumenti, i ovaj djeluje autentično i ni po čemu ne odudara od sličnih dokumenata koje ste dobili tijekom godina. Razlozi koji se navode mogu biti različiti, od toga da se konsolidira poslovanje, do toga da se kaže da je to račun nakon provedene akvizicije, račun koji je otvoren zbog nekog poreznog problema i slično.

Primjer bankovne potvrde o “promjeni” računa poslovnog partnera (iz stvarne prevare).

Sve što je potrebno napraviti je povjerovati da su dokumenti autentični i napraviti promjenu u vašem računovodstvenom sustavu i potom napraviti uplatu (naizgled, zašto ne bi bili kada dolaze od vama poznate osobe), no u pozadini su spretni prevaranti koji su se kompromitacijom mail sustava (vašeg ili vašeg klijenta) ubacili u vašu prepisku, poslali vam lažne dokumente i naveli vas da obavite transakciju. U času kada vi ili vaš partner shvatite da novac nije stigao gdje je trebao, račun je zatvoren a novac je odavno otišao kroz nekoliko koraka do svojeg krajnjeg primatelja.

Prevaranti kompromitiraju email račune i često znaju tjednima ili ponekad mjesecima čučati u prikrajku, proučavati vašu mail korespondenciju i čekati priliku kada da se ubace u komunikaciju. Moguće je da su već sada u vašem mail sustavu i pripremaju se poslati prevaru vašem kupcu, ili se nalaze u sustavu vašeg dobavljača pa vama spremaju gore navedeni set dokumenata. Kako god okrenuli, ili ćete svoje teško zarađene novce u najboljoj namjeri prebaciti prevarantu, ili će vaš klijent novce namijenjene vama prebaciti nekome tko ih definitivno ne zaslužuje. U oba scenarija ostajete bez svojeg novca pa je potrebno napraviti razumni napor da tako nešto spriječite.

Prekogranični poslovni odnosi su osobito osjetljivi jer malo tko zna ili brine o tome na koji račun se novac šalje ili doista razlikuje da vam je primjerice dobavljač iz Njemačke poslao uputstvo da mu novac platite na račun u Portugalu ili Velikoj Britaniji. Domaće transakcije su nam svima dobro poznate i internet bankarstvo odmah napiše tko je primatelj (ako je riječ o pravnoj osobi), a iskreno, standardi provjera i mogućnost otvaranja računa u našim bankama je bitno uredniji nego na nekim drugim tržiđtima. Kada smo već kod banaka “primatelja”, najčešće se pojavljuju banke u Velikoj Britaniji poput primjerice HSBC-a. Mnogi znaju da je HSBC velika banka, ali u stvarnosti riječ je o velikom broju malenih banaka (doslovce stotine sitnih banaka). U posljednje vrijeme sam naišao na nekoliko situacija gdje se traži plaćanje na banke u Portugalu, a tu su naravno i računi neo-banaka poput Revolut, Wise i sličnih (a kod kojih bankovni račun možete otvoriti u nekoliko klikova).

Dvije su taktike koje treba koristiti kako bi se značajno otežala ili u cijelosti onemogućila ovakva prevara, jedna je tehničke prirode a druga proceduralne.

Tehnička mjera

Morate napraviti napor da email sustav kojeg koristite bude siguran i onemogućava ili barem dramatično otežava mogućnost da se netko pogrešno prijavi. Te tehničke mjere se mogu svesti na nekoliko mogućih koraka:

  • odabir kvalitetnog email providera – iako vjerujem da ima ljudi koji će vas uvjeravati u suprotno, moje je osobno mišljenje da posao upravljanja vašim mail serverom u 2024. godini morate prepustiti nekome tko ima dobru reputaciju u tome. Solidni provideri su primjerice Google Workspace ili Microsoft Office 365 no vjerujem da ima i drugih reputabilnih providera osim ova dva (koja su po mom iskustvu najčešća, od čega će vam MS O365 riješiti i problem legalnosti office alata koje ionako vjerojatno dnevno koristite). Takvi dobavljači imaju superiorne spam filtere, te imaju cijeli niz alata koji provjeravaju autentičnost dolaznih mailova ali i “digitalno potpisuju” i jamče da je vaš mail odaslan od osobe koja je doista autorizirana za tako nešto. Dobri email provideri koštaju i postoji značajna razlika između hostanog maila od 20EUR godišnje i servisa poput Googlea ili Microsofta koji po korisniku koštaju od 6EUR mjesečno na više.
  • čak i ako ugovorite neki od gornjih servisa, potrebno ih je na adekvatan način konfigurirati, a to znači da je potrebno u DNS zoni vaše domene podesiti sve parametre koji su nužni za sigurni rad vaše domene u razmjeni email poruka. To primjerice znači da morate podesiti SPF record, DKIM i DMARC zapise. Ovo je korak koji se prečesto propušta i koji otvara prostor za manipulaciju i “proboj” sigurnosti. Slobodno testirajte vašu aktualnu domenu da vidite da li su ovi zapisi uopće konfigurirani – ne očekujem da razumijete objašnjenja, ali već sama činjenica da dobijete odgovor od ovih alata da zapis postoji i da je ispravan je korak naprijed (iako, ne mora značiti, treba provjeriti da je sve ažurno a to može napraviti vaš informatičar).
  • Nadalje, svi mail accounti (i općenito svi accounti) moraju biti zaštićeni sigurnim šiframa/zaporkama. Prije dvije godine sam napisao što to točno znači i kako provjeriti i na ovom linku imate detaljnije upustvo kako pristupiti zaporkama. Načelno, u 2024. godini password bi morao imati najmanje 14 znakova i treba jako paziti da isti password ne koristite za svoj poslovni/privatni mail i druge servise (osobito web dućane i slične web stranice na kojima objektivno pojma nemate da li su sigurni ili nisu). Ovih četrnaest znakova je okvirna brojka, ispravna mjera kompleksnosti zaporke se zove “entropija passworda” i nju možete izmjeriti na ovome mjestu, pri čemu se sigurnim passwordom smatra onaj koji ima entropiju veću od 60.
  • I posljednje, 99.9% svih problema možete riješiti ako počnete koristiti MFA/2FA autentikaciju. Svi reputabilni servisi kojima je sigurnost imalo bitna omogućavaju različite oblike MFA autentikacije. Znam da je to naizgled gnjavaža i nepotrebni korak, ali je to kritični korak kojim povećavate svoju sigurnost u mnogobrojnim redovima veličina.

Sažeto: složeni i jedinstveni password kao vatrogasna mjera, 2FA da bi se mogli osjećati sigurnim, SPF/DMARC/DKIM da bi bili odgovorni na internetu i reputabilni email provider da većinu gore navedenih briga za vas brine netko drugi.

Proceduralna mjera

Bez obzira na to što ste svoj mail sustav učinili sigurnim i napravili sve što je razumno moguće da se taj sigurnosni propust vama ne dogodi, moguće je da ćete zaprimiti od vašeg dobavljača mail s instrukcijom o promjeni bankovnog računa. Pitanje je što učiniti u takvim situacijama i sve što vam mogu ponuditi je nekoliko jednostavnih pravila:

  • ako dobijete zahtjev za promjenom računa na koji je potrebno platiti, odmah u postupak uključite druge osobe. Dakle ako ste računovođa, o tome odmah i bez odlaganja obavijestite odgovornu osobu u društvu, ako ste odgovorna osoba u društvu, konzultirajte se s računovođom.
  • ako ste osoba odgovorna za plaćanja, pa čak i ako dobijete mailom nalog vama nadređene osobe da na određeni IBAN prema poslovnom partneru s kojim nikada niste poslovali prebacite neki avans, stanite, razmislite i konzultirajte se. Više ljudi zna više i primjećuje više, provjerite svakako autentičnost informacije.
  • ako instrukciju dobijete putem telefona ili čak video poziva (pročitajte članak) i ako to djeluje imalo neuobičajeno, pričekajte, razmislite i provjerite. U doba umjetne inteligencije više ne možete biti baš totalno sigurni s kim razgovarate.
  • ako ste dobili instrukciju o promjeni bankovnog računa kroz poruku koja vam se čini autentičnom, svakako to provjerite kroz alternativni način komunikacije. To znači da nazovete tu osobu (ili drugu osobu iz tvrtke koja vas je obavijestila) na broj telefona kojeg imate od ranije i kojeg ste već koristili s tom osobom (dakle ne na broj telefona koji je eventualno naveden u podnožju emaila ili na zaglavlju memoranduma kojeg ste dobili).
  • moguće je da vam je i sve ovo promaklo te da ste napravili transakciju no nazvati će vas službenik iz banke da napravi još jednom provjeru. Provjere banke rade u slučajevima kada njihov interni sustav za procjenu rizika danu transakciju proglasi potencijalno prijevarnom – no često vam neće reći da sumnjaju na prijevaru nego samo kažu da rade provjeru (što je po meni pogrešno, ali općenito se loše slažem s bankama). Ako vas nazovu, stanite momentalno sa svime, zaustavite transakciju dok ne budete 1000% sigurni da je sve ispravno. Manja je šteta od dan-dva kašnjenja u plaćanju od gubitka desetaka a ponekad i stotina tisuća EUR.

I posljednje, ako ste zahvaćeni pokušajem ovakve prevare i ako ste je zaustavili na vrijeme, svakako se javite vašem bankaru i obavijestite ih o pokušaju (banke potom ubacuju takve račune na crne liste pa ćete s tih par minuta poziva vjerojatno spasiti nekog drugog, baš kao što će možda netko drugi spasiti vas – pay it forward), napišite opis što se dogodilo i pošaljite policiji. Ako vam je ovo pomoglo ili spriječilo štetu svakako mi se javite, a možete me počastiti i kavom.

p.s. neka osiguravajuća društva nude police osiguranja protiv ovakvih događaja, pa i to treba istražiti ako smatrate da ste posebno ugroženi

Misao dana:
It was the heart of any scam or fiddle — keep the punter uncertain, or, if he is certain, make him certain of the wrong thing.

Share the post "Tipična poslovna prevara (i kako je spriječiti ili otežati)"

  • Facebook
  • X