Policija govori o elektroničkoj prijevari, no ostaje ključno pitanje: kako je moguće da se iz javnog proračuna isplati golemi iznos bez dodatnih provjera i tko je sve morao odobriti transakciju? Nešto tu ne štima.
Vijest da je županijski proračun oštećen za nekoliko stotina tisuća eura nakon što je nepoznata osoba putem elektroničke pošte lažnim prikazivanjem činjenica dovela u zabludu službenike i navela ih na izvršenje novčane transakcije izaziva više nevjerice i sumnju nego iznenađenje.
Jedno je kada hakeri provale u sustav i bez znanja vlasnika računa „počiste račun“. Ovdje se, prema dosad dostupnim informacijama iz Požeško-slavonske županije, ne govori o scenariju u kojem je netko „provalio” u sustav i očistio račun, nego o tome da su ovlaštene osobe same izvršile transakciju vjerujući da postupaju zakonito.
A upravo tu počinju pitanja na koja javnost ima pravo dobiti odgovore.
Jer kome se uopće isplaćuju stotine tisuća eura? Je li riječ o redovnom dobavljaču, izvođaču radova ili korisniku nekog projekta? Je li promijenjen samo broj računa ili se radilo o potpuno novom primatelju? Tko je odobrio plaćanje? Koliko je osoba sudjelovalo u proceduri? Jesu li postojale dodatne provjere ili je jedan e-mail bio dovoljan da novac napusti proračun?
U ozbiljnim sustavima upravo su ovakve situacije razlog postojanja sigurnosnih procedura. Promjene bankovnih podataka ne potvrđuju se samo elektroničkom poštom. Postoje telefonske provjere, višestruke autorizacije, usporedba s postojećom dokumentacijom i kontrolni mehanizmi koji bi trebali spriječiti ljudsku pogrešku.
Zbog toga se teško oteti dojmu da „elektronička prijevara” sama po sebi ne može biti dovoljno objašnjenje za nestanak nekoliko stotina tisuća eura javnog novca. Ona objašnjava način na koji su prevaranti djelovali, ali ne i kako su uspjeli proći sve interne kontrole.
Hrvatska je već imala slična iskustva. Slučaj Grada Đakova iz 2018. godine, kada je gotovo 50 tisuća eura uplaćeno osobi koja se predstavljala kao „John Smith”, tada je izazvao nevjericu javnosti. I tada se postavljalo isto pitanje: kako je moguće da nitko nije zastao i provjerio podatke prije isplate? S kojim je to Johnom Smithom iz Velike Britanije poslovao Grad Đakovo? Ni danas javnost nema informaciju je li po tom pitanju što istraživala tamošnja policija i je li uopće, ili ostaje ona narodna „pojeo vuk magare“.
Od tada je prošlo osam godina. U međuvremenu su ovakve prijevare postale dobro poznate, banke i stručnjaci za kibernetičku sigurnost godinama upozoravaju na njih, a institucije bi trebale imati jasne protokole upravo za ovakve situacije. Naravno, činjenica da je institucija bila žrtva prijevare ne znači automatski da postoji kaznena odgovornost njezinih zaposlenika.
Ali jednako tako, pozivanje isključivo na „lažni e-mail” ne može biti kraj priče nego tek njezin početak.
Građani imaju pravo znati kako je moguće da nekoliko stotina tisuća eura napusti proračun. Imaju pravo znati tko je odobrio transakciju, jesu li poštovane procedure i jesu li one uopće postojale. Ako se pokaže da je za isplatu tako velikog iznosa doista bio dovoljan jedan uvjerljiv e-mail, onda problem nije samo u prevarantu. Problem je i u sustavu koji je takvu pogrešku omogućio.
