Kripto bezbednost: osnove koje štite Vaš novac

U kriptu, najveći rizik često nije tržište - već greška u bezbednosti: phishing link, pogrešna adresa, “support” prevara ili loše čuvanje seed fraze. Za razliku od banke, ovde uglavnom nema jednostavnog povraćaja ako nešto pođe po zlu.

Ovaj vodič je pisan za čitaoce iz Srbije i fokusira se na praktične korake: kako da zaštitite naloge, uređaje i sredstva, kako da prepoznate prevare i kako da birate servis koji posluje u skladu sa lokalnim okvirom.

Mozete se detaljnije informisati o kriptovalutama u Srbiji na nasem clanku gde detaljno pricamo o kriptovalutama.

Prvo: pravni okvir i “kome verovati” u Srbiji

Srbija ima Zakon o digitalnoj imovini, a nadležnosti su podeljene između Narodne banke Srbije (virtuelne valute) i Komisije za hartije od vrednosti (digitalna imovina koja ima odlike finansijskih instrumenata).

Za Vas to znači:

• koristite pružaoce usluga koji su **licencirani** gde je primenljivo
• proverite zvanični registar NBS (licencirani pružaoci usluga virtuelnih valuta).

Narodna banka Srbije takođe javno upozorava da virtuelne valute nose velike rizike i da građani koji se upuštaju u to rade na sopstvenu odgovornost, te savetuje da se, ako već koristite ove usluge, oslonite na licencirane subjekte.

Najčešće prevare (i kako ih prepoznati)

Ovo su obrasci koji se najčešće ponavljaju:

• Phishing: lažni sajt/poruka koja izgleda kao menjačnica, wallet ili “support”. Cilj je da unesete šifru/2FA kod ili seed frazu.
• Lažni “support”: neko se predstavlja kao podrška i traži “verifikaciju”, seed frazu ili da instalirate “alat”.
• Giveaway / dupliranje kripta: “pošaljite X i dobićete 2X”.
• Investicioni “garantovani prinos”: obećanja bez rizika, često uz agresivno ubeđivanje i rok “samo danas”.
• Airdrop / NFT / token prevara: traži da “povežete wallet” i potpišete transakciju kojom dajete dozvole (drain).

Pravilo koje treba da zapamtite:

• Nijedna legitimna podrška nikada neće tražiti Vašu seed frazu ili privatni ključ.

MFA/2FA: Vaša prva linija odbrane (i kako da bude stvarno jaka)

Uključivanje višefaktorske autentifikacije (MFA/2FA) je jedna od najefikasnijih zaštita naloga.
CISA posebno naglašava važnost otpornijih (phishing-resistant) MFA metoda.

Preporuka (redosled po snazi, kada god je moguće):

1. Passkeys / sigurnosni ključ (FIDO2/WebAuthn) - najotpornije na phishing (kada servis podržava).
2. Authenticator aplikacija (TOTP) - dobro rešenje.
3. SMS 2FA - bolje nego ništa, ali slabije (SIM-swap i socijalni inženjering).

Takođe, koristite jedinstvene lozinke i razmislite o password manager-u (olakšava da svaka šifra bude jaka i drugačija).

Seed fraza i privatni ključevi: šta se čuva, gde se čuva i šta nikad ne raditi

Ako koristite self-custody wallet (vi ste “svoja banka”), seed fraza je ključ svega.

Nikada:

• ne šaljite seed frazu putem poruke, email-a ili “support” chata,
• ne čuvajte je kao screenshot u galeriji,
• ne držite je u cloud-u kao plain text.

Dobra praksa (osnovni nivo):

• seed frazu napišite i čuvajte “offline” na bezbednom mestu,
• napravite plan za slučaj gubitka/požara (npr. druga fizička lokacija),
• razmislite o “cold” rešenju (hardverski wallet) ako iznosi postanu značajni.

Menjačnica ili self-custody? Realan kompromis za većinu ljudi

Postoje dve krajnosti:

• Menjačnica / platforma: lakše korišćenje, ali rizik platforme (nalog, povlačenja, politika, incidenti).
• Self-custody: Vi imate kontrolu, ali i punu odgovornost.

Praktičan pristup koji često ima smisla:

• manji iznos za aktivno korišćenje može ostati na platformi,
• veći iznos (dugoročno) držati na sopstvenom wallet-u uz dobru proceduru.

Ako koristite platformu, proverite da li je u registru licenciranih pružalaca usluga, gde je primenljivo.

Kontrolna lista pre svake transakcije (sprečava 80% grešaka)

Pre slanja kripta uradite sledeće:

1) Proverite mrežu (npr. da li šaljete na ispravnom chain-u).
2) Proverite adresu - uporedite prva i poslednja 4 znaka (a idealno više).
3) Pošaljite test iznos ako šaljete prvi put na novu adresu.
4) Ne koristite linkove iz poruka - uđite na sajt ručno ili preko bookmark-a.
5) Ako nešto deluje “hitno” ili “previše dobro”, stanite i proverite.

Bezbednost uređaja: često zanemarena, a presudna

Kripto nalog može biti savršeno podešen, ali ako je uređaj kompromitovan - rizik je ogroman.

Minimum:
- ažuriran OS i browser,
- zaključan telefon (PIN/biometrija),
- bez “piratskih” aplikacija i sumnjivih ekstenzija,
- odvojeni email za finansijske naloge (po mogućnosti),
- isključite automatsko čuvanje kodova u “notes” aplikacijama bez zaštite.

“Licencirani” i “regulisani”: kako da proverite u praksi (Srbija)

Za usluge povezane s virtuelnim valutama, Narodna banka Srbije vodi registar pružalaca usluga. Proveru radite direktno na sajtu NBS, u registru.

Za širi pravni okvir, relevantan je Zakon o digitalnoj imovini i zvanične objave Ministarstva finansija.

Porezi i evidencija: bez detalja, ali sa jasnom porukom

Kripto transakcije mogu imati poreske posledice (naročito kod prodaje i ostvarene dobiti). Najvažnije što možete uraditi za sebe:

• vodite evidenciju kupovine/prodaje (datum, iznos, kurs, provizije),
• čuvajte izvode/confirmations,
• konsultujte poreskog stručnjaka za Vaš slučaj.

Za opšti okvir prijave kapitalnih dobitaka, Poreska uprava daje uputstvo za obrazac PPDG-3R.

Najčešće greške početnika (i kako da ih izbegnete)

• previše poverenja u “DM savete” i “support”
• SMS 2FA bez dodatnih mera
• čuvanje seed fraze u telefonu ili cloud-u
• slanje na pogrešnu mrežu/adresu bez test transakcije
• ulaganje iz “FOMO” (strah da propuštate)

Ako biste zapamtili samo jednu stvar: u kriptu je proces važniji od predikcije cene.

Komentari, preporuke i (ne)finansijski savet

Profesionalno mišljenje: najpametniji potez u kriptu nije “koji token”, već “kako se štitim”. Najbolji investitori koje viđamo rade dosadne stvari: imaju MFA, ne klikću linkove, vode evidenciju i imaju jasnu proceduru slanja.

Ako tek počinjete, krenite skromno: prvo savladajte bezbednost, pa tek onda razmišljajte o većim iznosima.