Samo u 2021. godini u SAD-u je prijavljeno približno 20 milijardi dolara gubitaka u online trgovini zbog prijevara s online plaćanjem. Pet godina kasnije slika je još složenija – prijevare su organiziranije, automatiziranije i globalnije. Ipak, postoji jedan kontinent gdje je trend bitno blaži. Europski trgovci u 2026. imaju najnižu stopu rasta online prijevara u svjetskim usporedbama – i to ne slučajno. Razlog se zove PSD2 SCA, snažna autentifikacija korisnika koja je postala obavezna 2021., a u 2026. evoluira prema PSD3 i Payment Services Regulation (PSR) koji su u finalnoj zakonodavnoj fazi. Ali regulativa sama po sebi nije obrana. Trgovac koji ne razumije obrasce prijevara i ne reagira na vrijeme svejedno se nađe u poziciji da plaća kazne i gubi povjerenje kupaca.
Četiri obrasca prijevare koje vidimo najčešće
1. Ukradeni podaci s kartice
Najklasičniji slučaj – broj kartice, datum isteka, ime i CVV dospjeli su u pogrešne ruke. Putem phishing/vishing napada, kompromitiranog webshopa, ili jednostavno fotografirane kartice na recepciji. Podaci se najčešće prodaju na dark webu u nepotpunom obliku, pa prevaranti pokušavaju pogoditi nedostajući CVV kroz seriju malih transakcija. Kad „pogode”, uslijedi velika transakcija.
Obrasci za pratiti:
● veliki broj neuspjelih pokušaja s malim iznosima u kratkom roku,
● ime vlasnika kartice ne odgovara imenu adrese za dostavu,
● neuobičajeno velik iznos transakcije s nove e-mail adrese.
2. Preuzimanje računa (account takeover)
Prevarant ne ulazi kao gost – ulazi kao postojeći kupac, jer je pristupio njegovom profilu. Ovo postaje češće s rastom mreže ukradenih credentials baza i s automatiziranim botovima koji isprobavaju kombinacije e-mail/lozinka.
Obrasci za pratiti:
● vrlo česti pokušaji prijave (signal za credential stuffing),
● lozinka korisničkog računa nedavno poništena,
● adresa za dostavu promijenjena netom prije velike kupnje.
3. Prijevara s rezervacijom
Posebno relevantno za turizam, rent-a-car i hotelijerstvo. Dugi boravak rezerviran s ukradenom karticom – pa otkazivanje uz molbu da se povrat izvrši na drugu karticu ili račun. Legitimni vlasnik kartice naknadno traži chargeback, i trgovac gubi i robu i novac.
Obrasci za pratiti:
● visoke vrijednosti rezervacija od novih korisnika bez povijesti,
● povrat tražen na drugi način plaćanja od korištenog,
● otkazivanje uz nejasne razloge (često bolest ili obiteljski hitan slučaj).
4. Prijateljska prijevara (friendly fraud)
Najteža za prepoznati – kupac stvarno plati, primi robu, pa svejedno traži chargeback kod svoje banke umjesto refunda kod trgovca. Ponekad bez zlobne namjere („zaboravio sam što sam naručio”), ponekad organizirano.
Obrasci za pratiti:
● ponavljani problemi s istim kupcem,
● povećana izloženost na digitalnoj robi i in-app kupnjama gdje je teško dokazati isporuku.
Što vas štiti: 3DS2, SCA i pomak odgovornosti
Prije 3DS zaštite trgovac je snosio puni rizik prijevare. Uvođenjem PSD2 i SCA-a (Strong Customer Authentication), za gotovo sve transakcije s 3DS autentifikacijom odgovornost se prebacuje na banku izdavatelja kartice. Trgovac dobiva liability shift.
Rizik ostaje za:
● sredstva plaćanja izvan PSD2 regije (međunarodni kupci čije banke ne podržavaju 3DS),
● slučajeve izuzeća od SCA (mali iznosi, niskorizične transakcije, MIT – merchant-initiated transactions),
● one transakcije gdje trgovac aktivno odbija 3DS u checkoutu (što se ne preporučuje).
U 2026. dominantna verzija je 3DS 2.2 s risk-based authentication – izdavatelj sam procjenjuje treba li tražiti dodatni faktor (frictionless flow) ili ne. Posljedica: kupci s niskorizičnim profilom prolaze checkout bez prekida, čime se povećava konverzija, a istovremeno se zadržava liability shift.
PCI DSS 4.0 – novi standard, već obavezujući
Od ožujka 2025. na snazi je PCI DSS verzija 4.0.1 kao obavezujući sigurnosni standard za sve trgovce i pružatelje usluga koji obrađuju kartične podatke. Najveće promjene u odnosu na verziju 3.2.1 odnose se na:
● proširene zahtjeve za autentifikaciju (uključujući MFA na svim pristupima),
● kontinuiranu evaluaciju rizika umjesto godišnje točke u vremenu,
● jače zahtjeve za zaštitu skripti i kartičnih formi u browseru (anti-skimming).
Operativne preporuke za vaš webshop
Nekoliko provjera koje preporučujemo ugraditi u rutinu pregleda narudžbi:
● Je li iznos transakcije neuobičajeno velik za vaš segment?
● Je li proveden 3DS i je li transakcija prošla SCA?
● Postoji li klaster transakcija s istim IP-om, istim BIN-om kartice, sličnim e-mail obrascem u kratkom vremenu?
● Odgovara li država izdavatelja kartice državi IP adrese i adrese za dostavu?
● Je li kupac novi, s free e-mail provider adresom sastavljenom od brojeva i slova?
Niti jedan od ovih signala sam po sebi nije dokaz prijevare. Ali kombinacija dva ili tri – treba zaustaviti transakciju i poslati je u manualni pregled prije isporuke.
Kako Monri štiti vaše transakcije
Monri online plaćanja prolaze kroz PCI DSS Level 1 reviziju kontinuirano već više od desetljeća – usklađeno s aktualnom 4.0.1 specifikacijom, ujedno i s DORA i NIS2 zahtjevima za operativnu otpornost. Sustav po defaultu propušta 3DS autentifikaciju i prepušta liability shift bankama izdavateljima, a tim za podršku dostupan je za sva pitanja oko sumnjivih transakcija i pokušaja prijevare.
Ako razmišljate o jačanju zaštite vašeg webshopa, kontaktirajte nas i prođimo kroz vaš trenutni setup zajedno.
