Krađa identiteta je neovlašteno korištenje tuđih osobnih podataka — imena, OIB-a, broja kreditne kartice ili digitalnih pristupnih podataka — radi počinjenja prijevare, stjecanja financijske koristi ili drugih kaznenih djela. U Hrvatskoj se krađa identiteta procesuira kroz više članaka Kaznenog zakona (čl. 146., 236., 266., 278.), a žrtve mogu pretrpjeti prosječnu financijsku štetu od 7.600 USD. Prema podacima MUP-a, u 2023. zabilježeno je 1.781 kibernetičkih napada u Hrvatskoj, od čega 90 % čine razne prijevare — porast od 11,5 % u odnosu na 2022., dok je materijalna šteta porasla za 50 %.
Ključne činjenice o krađi identiteta
56 % Europljana doživjelo je barem jednu vrstu prijevare u posljednje 2 godine; trećina tih žrtava pretrpjela je krađu identiteta.
Prosječni financijski gubitak po žrtvi: 7.600 USD u 2025. godini (porast s 1.300 USD u 2023.).
Deepfake prijevare porasle su za 2.137 % u tri godine — od 0,1 % pokušaja prijevara u 2021. na 6,5 % u 2024.
82,6 % phishing poruka danas koristi AI za generiranje sadržaja; AI izrađuje phishing poruku za 5 minuta umjesto 16 sati ručno.
U Hrvatskoj: 1.781 kibernetički napad u 2023. (MUP); 90 % su računalne prijevare.
Globalni prosječni trošak jednog incidenta s povredom podataka: 4,44 milijuna USD (IBM, 2025.).
GDPR obvezuje prijavu povrede podataka AZOP-u u 72 sata; kazne do 20 milijuna EUR ili 4 % globalnog prometa.
NIS2 uvodi obvezu prijave kibernetičkih incidenata: rano upozorenje u 24 sata, obavijest u 72 sata.
Krađa identiteta (eng. identity theft) je svaka neovlaštena uporaba osobnih podataka druge osobe s ciljem prijevare, stjecanja financijske koristi ili počinjenja kaznenih djela. Počinitelj koristi tuđe podatke — ime, OIB, broj osobne iskaznice, bankovne podatke, lozinke ili biometrijske podatke — kako bi se lažno predstavljao kao žrtva.
Pojam
Značenje
Krađa identiteta
Neovlašteno pribavljanje i korištenje tuđih osobnih podataka
Prijevara identitetom
Korištenje ukradenih podataka za počinjenje prijevare (financijske, pravne)
Sintetički identitet
Kombinacija stvarnih i lažnih podataka za stvaranje novog, fiktivnog identiteta
Preuzimanje računa
Neovlašteni pristup tuđem bankovnom, e-mail ili društvenom računu
Phishing
Lažna komunikacija (e-mail, SMS, telefon) usmjerena na krađu podataka
Dark web
Skriveni dio interneta na kojem se trguje ukradenim podacima
Ključna razlika: Krađa identiteta je pribavljanje tuđih podataka. Prijevara identitetom je korištenje tih podataka za nezakonite radnje. U praksi se često koriste naizmjenično.
Vrste krađe identiteta
Financijska krađa identiteta
Najčešći oblik. Počinitelj koristi ukradene podatke za otvaranje bankovnih računa, zahtjeve za kredit, online kupovinu ili prijenos sredstava.
70 % žrtava krađe identiteta gubi novac
Prosječni gubitak po žrtvi: 7.600 USD u 2025. (porast s 1.300 USD u 2023.)
37 % žrtava izgubilo je više od 10.000 USD
Krađa medicinskog identiteta
Korištenje tuđeg zdravstvenog osiguranja ili medicinskih podataka za dobivanje liječenja, lijekova ili medicinskih uređaja.
Prosječna šteta po žrtvi: 13.500 USD
38 % zdravstvenih ustanova prijavilo je krađu medicinskog identiteta pacijenata
Osobe starije od 65 godina čine oko 35 % žrtava
Sintetička krađa identiteta
Kombiniranje stvarnih i lažnih osobnih podataka za stvaranje potpuno novog, fiktivnog identiteta. Npr. stvarni OIB + lažno ime + izmišljena adresa.
Počinitelji mjesecima ili godinama „grade" sintetički identitet — otvaraju račune, grade kreditnu povijest
Zatim „probijaju" — uzimaju maksimalne kredite i nestaju
Posebno teško za otkrivanje jer miješa valjane i izmišljene podatke
Kaznena krađa identiteta
Počinitelj daje tuđe osobne podatke prilikom uhićenja ili istrage. Žrtva može završiti s kaznenom evidencijom, otvorenim nalozima ili neplaćenim kaznama za djela koja nije počinila.
Krađa identiteta djece
1,1 milijun slučajeva krađe dječjeg identiteta u 2024.
Šteta: 2,6 milijardi USD godišnje
1 od 50 djece postaje žrtva
60 % počinitelja poznaje žrtvu osobno
Metode napada
Phishing — najčešći vektor napada
Phishing je najčešće prijavljeni kibernetički zločin: 193.407 prijava u 2024. godini (22,5 % svih internetskih kaznenih djela).
Vrsta phishinga
Opis
Trend
E-mail phishing
Lažni e-mailovi s linkovima na krivotvorene stranice
Najčešći, 57 % svih napada socijalnog inženjeringa
Smishing (SMS)
Phishing putem SMS poruka
Najčešći tip prema Europolu (IOCTA 2024)
Vishing (glasovni)
Lažni telefonski pozivi (često se predstavljaju kao banka ili policija)
Porast od 442 % u H2 2024.
Quishing (QR kod)
Zlonamjerni QR kodovi koji vode na phishing stranice
Nova prijetnja u porastu
Spear phishing
Ciljani napad na specifičnu osobu s personaliziranim sadržajem
Najopasniji — visoka stopa uspješnosti
82,6 % phishing poruka analiziranih od rujna 2024. do veljače 2025. koristi AI za generiranje sadržaja. AI generira phishing poruku za 5 minuta — umjesto 16 sati ručno.
Socijalni inženjering
68 % povreda podataka uzrokovano slučajnim radnjama, ukradenim pristupnim podacima, socijalnim inženjeringom i zlouporabom privilegija (Verizon DBIR 2025)
4.000+ incidenata socijalnog inženjeringa u 2025., od čega 85 % s potvrđenim otkrivanjem podataka
Ljudski faktor prisutan u 60 % svih povreda podataka
Povrede podataka (data breaches)
Globalni prosječni trošak: 4,44 milijuna USD po incidentu (IBM, 2025.)
Trošak po kompromitiranom zapisu: 160 USD
Povrede putem ukradenih pristupnih podataka: prosječno 292 dana za otkrivanje i saniranje — najdulje od svih vektora napada
22.000+ incidenata i 12.195 potvrđenih povreda analizirano u Verizon DBIR 2025
Trgovina na dark webu
Ukradeni podaci prodaju se na dark web tržištima po fiksnim cijenama:
Podatak
Cijena na dark webu (2025.)
OIB / SSN (identifikacijski broj)
1–6 USD
Podaci ukradene kreditne kartice
110 USD
Pristupni podaci za online bankarstvo
150 USD
Vozačka dozvola (SAD)
500 USD
Europska putovnica (krivotvorena)
3.000–3.800 USD
Kompletni paket identiteta (bankarstvo, kartice, dokumenti, društvene mreže)
985–5.010 USD
Ukupno tržište dark weba: 22.000+ oglasa, 720.000+ prodaja, 17,3 milijuna USD u ukupnoj prodaji (GASA, 2025.)
1,8 milijardi pristupnih podataka ukradeno putem infostealer malwarea u 2025.
70 % korisnika pogođenih povredama podataka i dalje koristi stare, kompromitirane lozinke
Malware — kradljivci podataka (infostealers)
Infostealer malware tiho se instalira na uređaj i prikuplja lozinke, kolačiće sesija, financijske podatke i podatke za prijavu u aplikacije. 54 % žrtava ransomwarea u 2024./2025. imalo je pristupne podatke na tržištima infostealer logova prije samog napada.
Krađa identiteta u brojkama
Metrika
Vrijednost
Izvor
Europljani koji su doživjeli prijevaru
56 % u zadnje 2 godine
Eurobarometer
Od toga — žrtve krađe identiteta
Trećina (≈ 18,7 %)
GRC World Forums
EU gubici od krađe identiteta
1,8 milijardi EUR (2019. bazna linija)
Eurostat
Kibernetički napadi u Hrvatskoj
1.781 (2023., MUP)
MUP Statistički pregled 2023
Udio računalnih prijevara
90 % svih kibernetičkih napada
MUP
Porast materijalne štete
+50 % godišnje (HR)
MUP
EU građani zabrinuti za kibernetičku sigurnost
81 % (2025.)
Eurobarometer
Prosječna šteta po žrtvi
7.600 USD
ITRC 2025
Globalni trošak povrede podataka
4,44 mil. USD po incidentu
IBM 2025
Ukradeni pristupni podaci
3,1 milijarda otkriveno u 2024. (+125 % YoY)
SpyCloud
ENISA analizirani incidenti
4.875 (srpanj 2024.–lipanj 2025.)
ENISA Threat Landscape 2025
ENISA Threat Landscape 2025: Identitet je primarni vektor napada — većina incidenata počinje s krađom tokena, kompromitiranim računima ili zlouporabom MFA-e.
AI i deepfake
Deepfake prijevare — eksplozivan rast
Prema izvješću Signicat (2024.), pokušaji prijevara s deepfakeovima porasli su za 2.137 % u tri godine:
U 2021. deepfakeovi su činili 0,1 % pokušaja prijevara
U 2024. taj je udio porastao na 6,5 %
Deepfakeovi su sada #1 najčešći tip digitalne prijevare identitetom
Podatak
Vrijednost
Porast deepfake prijevara (3 godine)
2.137 %
Udio AI-pokretanih prijevara u financijskom sektoru
42,5 %
Uspješnost AI prijevara
29 %
Tvrtke u EU pogođene audio/video deepfakeom
49 %
Financijske institucije s AI zaštitom
Samo 22 %
Kako AI mijenja krađu identiteta
AI generira phishing poruke — 82,6 % poruka koristi AI; teže ih je razlikovati od legitimnih
Deepfake video pozivi — lažni pozivi „direktora" koji traže hitni prijenos sredstava (CEO fraud)
Sintetički glasovi — kloniranje glasa za vishing napade
AI krivotvorenje dokumenata — porast s 0 % na 2 % svih lažnih dokumenata u 2025.
Phishing-as-a-Service — gotovi phishing paketi s AI alatima dostupni na dark webu
WEF upozorenje (prosinac 2025.): Kombinacija generativnog AI-ja, commodity malwarea i dark web tržišta fundamentalno je promijenila krađu identiteta. Napad koji je nekad zahtijevao tehničku ekspertizu danas može izvesti gotovo bilo tko.
Europol EU-SOCTA 2025
Europolovo izvješće EU-SOCTA 2025 (objavljeno 18. ožujka 2025.) ističe da se ukradeni podaci koriste kao oružje za iznudu, krađu identiteta i zloupotrebu. Pristupni podaci se prodaju, preprodaju i prepakuju na dark web forumima, šifriranim kanalima i pretplatničkim kriminalnim tržištima.
Pravni okvir u Hrvatskoj
Kazneni zakon
Hrvatska nema jedinstven članak za „krađu identiteta" — kazneni progon se provodi kroz kombinaciju više članaka Kaznenog zakona (NN 125/11 s izmjenama):
Članak
Kazneno djelo
Kazna
Čl. 146.
Nedozvoljena uporaba osobnih podataka
Do 1 godine zatvora; do 3 godine za znatnu imovinsku korist ili štetu
Čl. 236.
Prijevara
6 mjeseci do 5 godina; do 8 godina za znatnu imovinsku korist
Čl. 266.
Neovlašteni pristup računalnom sustavu
Do 1 godine zatvora
Čl. 278.
Krivotvorenje isprave
Do 3 godine zatvora
Čl. 146. st. 3: Strožija kazna (do 3 godine) kad se krađa podataka odnosi na dijete ili na posebne kategorije podataka (rasno/etničko podrijetlo, političko uvjerenje, zdravlje, seksualni život)
Krađa identiteta u praksi najčešće uključuje kumulaciju kaznenih djela — počinitelj se tereti za više članaka istovremeno
Posebno za Hrvatsku: Aktivirajte obavijesti u mobilnom bankarstvu, koristite MFA na e-Građanima i nikada ne odgovarajte na SMS poruke koje traže OIB ili lozinke — hrvatske banke nikad ne traže lozinke putem SMS-a ili e-maila.
Zaštita za tvrtke
GDPR obveze za sprečavanje i prijavu krađe identiteta
Obveza
Opis
Kazna za nepoštivanje
Prijava povrede AZOP-u
U roku 72 sata od saznanja
Do 10 mil. EUR ili 2 % prometa
Obavijest ispitanicima
Ako visoki rizik za prava i slobode
Do 20 mil. EUR ili 4 % prometa
Minimizacija podataka
Prikupljajte samo podatke koji su vam stvarno potrebni
Čl. 5.1.c GDPR
Kontrola pristupa
Pristup osobnim podacima po načelu najmanje privilegije
Čl. 32. GDPR
Enkripcija
Šifriranje osobnih podataka u mirovanju i prijenosu
Čl. 32. GDPR
Politika zadržavanja
Definirajte i provodite rokove čuvanja podataka
Čl. 5.1.e GDPR
Ugovor s izvršiteljima obrade
Osigurajte da i vaši dobavljači poštuju GDPR
Čl. 28. GDPR
Organizacijske mjere za tvrtke
Redovita edukacija zaposlenika — obvezne sesije o prepoznavanju phishinga i socijalnog inženjeringa
Višefaktorna autentikacija — na svim sustavima, posebno e-mail i udaljeni pristup
Plan odgovora na incidente — dokumentiran, testiran, uključujući proceduru prijave AZOP-u u 72 sata
Redoviti sigurnosni auditi i penetracijski testovi — proaktivno otkrivanje ranjivosti
Ako sumnjate da su vaši osobni podaci ukradeni ili zloupotrijebljeni, odmah poduzmite sljedeće korake:
Korak 1: Prijavite policiji
Podnesite kaznenu prijavu na najbližoj policijskoj postaji ili policijskoj upravi. Prijavu možete podnijeti i pisanim putem Državnom odvjetništvu. Zatražite pisanu potvrdu prijave — trebat će vam za banku i ostale institucije.
Korak 2: Obavijestite banku
Odmah kontaktirajte svoju banku i zatražite:
Zamrzavanje računa i blokadu kartica
Izdavanje novih pristupnih podataka
Prijavu neovlaštenih transakcija i zahtjev za povrat sredstava
Korak 3: Prijavite AZOP-u
Ako su vaši podaci kompromitirani zbog propusta voditelja obrade (tvrtka, institucija), podnesite pritužbu AZOP-u (Agencija za zaštitu osobnih podataka). AZOP može pokrenuti nadzorni postupak i izreći korektivne mjere.
Korak 4: Prijavite CERT.hr
Za kibernetičke incidente (phishing s .hr domene, zlonamjerni softver, kompromitirani računi) prijavite incident Nacionalnom CERT-u (CERT.hr) putem njihove web stranice.
Korak 5: Prijavite HAKOM-u (za telekomunikacije)
Ako je netko na vaše ime sklopio pretplatnički ugovor ili kupio uređaj, pokrenite dvostupanjski postupak reklamacije kod operatora, a zatim eskalaciju prema HAKOM-u.
Korak 6: Prijavite gubitak osobne iskaznice MUP-u
Ako je vaša osobna iskaznica kompromitirana, prijavite to MUP-u. MUP će proglasiti iskaznicu nevažećom i obustaviti digitalne certifikate. Ako se iskaznica ne pronađe u roku 8 dana, certifikati se automatski opozivaju.
Korak 7: Promijenite sve lozinke
Odmah promijenite lozinke na svim kompromitiranim i povezanim računima. Uključite MFA na svim servisima koji to podržavaju.
Korak 8: Dokumentirajte sve
Čuvajte zapise o svim komunikacijama, prijavama, neovlaštenim transakcijama i korespondenciji s nadležnim tijelima. Dokumentacija je ključna za kazneni postupak i eventualni zahtjev za naknadu štete.
Korak 9: Razmotrite pravnu pomoć
Konzultirajte odvjetnika specijaliziranog za zaštitu podataka ili kibernetičko pravo, posebno ako je šteta značajna ili ako institucije ne reagiraju na vaše prijave.
Cijena krađe identiteta
Za građane
Metrika
Iznos
Izvor
Prosječna šteta po žrtvi (2025.)
7.600 USD
ITRC 2025
37 % žrtava
Izgubilo više od 10.000 USD
ITRC 2025
22 % žrtava
Izgubilo više od 100.000 USD
ITRC 2025
Medicinska krađa identiteta
13.500 USD po žrtvi
Panda Security
Šteta djeci
2,6 milijardi USD godišnje
DemandSage
Za tvrtke
Metrika
Iznos
Izvor
Prosječni trošak povrede podataka
4,44 mil. USD
IBM 2025
Trošak po kompromitiranom zapisu
160 USD
IBM 2025
Prosječni gubitak po prijevari
300.000 USD
Sumsub 2024
Vrijeme otkrivanja (ukradeni podaci)
292 dana
IBM 2025
Globalna projekcija kibernetičkog kriminala
12,2 bilijuna USD godišnje do 2031.
Cybersecurity Ventures
Omjer ulaganja napadača: Prema Sumsub izvješću, kriminalna skupina koja uloži 1.000 USD može prouzročiti štetu od 2,5 milijuna USD u jednom mjesecu.
FAQ
Kako znam jesam li žrtva krađe identiteta?
Znakovi upozorenja: neočekivane transakcije na bankovnom računu, pozivi od naplatnih agencija za dugove koje ne prepoznajete, odbijanje kreditnog zahtjeva bez jasnog razloga, računi za usluge koje niste ugovorili, obavijesti o prijavi na servise koje ne koristite.
Kome se prvo obratiti u Hrvatskoj?
Banci — ako su kompromitirani financijski podaci. Policiji — za podnošenje kaznene prijave. AZOP-u — ako su vaši podaci kompromitirani propustom tvrtke ili institucije. CERT.hr — za kibernetičke incidente.
Može li mi se to dogoditi ako koristim samo mobilno bankarstvo?
Da. Mobilno bankarstvo nije imuno na krađu identiteta. SIM swapping napadi, phishing putem SMS-a (smishing), malware aplikacije i kompromitirani Wi-Fi mogu ugroziti vaš uređaj. Aktivirajte MFA, koristite samo službenu aplikaciju banke i izbjegavajte javni Wi-Fi za financijske transakcije.
Koliko je deepfake prijetnja realna?
Vrlo realna. Deepfake prijevare porasle su za 2.137 % u tri godine. 49 % europskih tvrtki već je pogođeno audio ili video deepfake prijevarom. AI može klonirati glas na temelju nekoliko sekundi audio snimke i generirati uvjerljive video pozive.
Što tvrtke moraju učiniti ako dođe do povrede podataka?
Prema GDPR-u: (1) prijaviti AZOP-u u 72 sata, (2) obavijestiti pogođene ispitanike ako postoji visoki rizik, (3) dokumentirati incident i mjere sanacije. Prema NIS2: rano upozorenje u 24 sata, detaljna obavijest u 72 sata, završno izvješće u 1 mjesec.
Koliko dugo traje oporavak od krađe identiteta?
Prosječno 6–12 mjeseci, ali složeni slučajevi (posebno kaznena krađa identiteta ili sintetički identitet) mogu zahtijevati i nekoliko godina za potpuno razrješenje — posebno ako žrtva mora dokazivati da nije počinila kaznena djela pripisana njenom identitetu.
Zaključak
Krađa identiteta u 2026. nije pitanje „hoće li se dogoditi" nego kada i koliko brzo ćete reagirati. S porastom deepfake prijevara od 2.137 %, AI-pokretanim phishingom i dark web tržištima na kojima se kompletni identitet prodaje za manje od 5.000 USD — zaštita osobnih podataka i pravodobna reakcija važniji su nego ikada.
Ključne poruke:
Uključite MFA na svim kritičnim računima — bankarstvo, e-mail, e-Građani
Koristite jedinstvene lozinke za svaki servis; koristite upravitelja lozinki
Budite skeptični prema neočekivanim porukama — čak i ako izgledaju kao da dolaze od banke ili institucije
Tvrtke moraju prijaviti povredu AZOP-u u 72 sata i provoditi kontinuiranu edukaciju zaposlenika
Ako ste žrtva — odmah banci, policiji, AZOP-u, CERT.hr
Investirajte u zaštitu — 1.000 USD ulaganja u prevenciju može spriječiti 2,5 milijuna USD štete
Izvori: MUP Statistički pregled 2023, ENISA Threat Landscape 2025, Europol IOCTA 2024, Europol EU-SOCTA 2025, Verizon DBIR 2025, IBM Cost of a Data Breach 2025, Signicat (2024.), SpyCloud 2025 Identity Exposure Report, ITRC 2025 Consumer Impact Report, Kazneni zakon (NN 125/11), GDPR (Uredba EU 2016/679), Zakon o kibernetičkoj sigurnosti (NN 14/24), WEF (2025.)
Robert Lozo·Partner·mag. iur.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.
