Tijekom travnja 2026. godine, Republika Hrvatska suočila se s nezapamćenim valom anonimnih prijetnji o postavljenim eksplozivnim napravama, koje su primarno ciljale obrazovne institucije, ali i trgovačke centre, bolnice te prometnu infrastrukturu. Prema dostupnim policijskim procjenama i izvješćima, u razdoblju od samo pet uzastopnih dana zabilježeno je više od 500 takvih dojava, od kojih su se sve, nakon iscrpnih protueksplozijskih pregleda, pokazale lažnima.

"Kriza" je započela masovnim prijetnjama školama u Splitu i okolici 20. travnja, da bi se već sljedećeg dana, 21. travnja, proširila na Zagreb, gdje su evakuirane brojne gimnazije i osnovne škole. Anonimne su prijetnje nastavile redovito stizati svakog dana sve do danas, što ukazuje na ustrajnost i sustavnost počinitelja – čiji su motivi, kako se čini, usmjereni primarno na izazivanje maksimalnog poremećaja u funkcioniranju društva i stvaranje panike.

Pritisak na MUP

Ministar unutarnjih poslova Davor Božinović potvrdio je ovih dana ozbiljnost situacije, ističući kako policija svaku dojavu, bez obzira na njezinu pretpostavljenu prirodu, tretira kao stvarnu prijetnju sve dok se ne utvrdi suprotno. Angažman specijaliziranih policijskih postrojbi, vodiča sa službenim psima za detekciju eksploziva i tehničkog osoblja stvorio je ogroman pritisak na operativne kapacitete MUP-a, priznao je ministar.

Kriminalističko istraživanje usmjereno je na dva paralelna kolosijeka: lociranje pošiljatelja digitalnih poruka te utvrđivanje identiteta osoba koje su dojave upućivale telefonskim putem. U jednom izoliranom slučaju, dubrovačka policija uspjela je identificirati i privesti 50-godišnjeg muškarca koji je, prema službenim podacima, pod utjecajem alkohola uputio lažne prijetnje dvjema školama u Dubrovniku.

Međutim, ministar Božinović i sigurnosni stručnjaci naglašavaju kako je velika većina prijetnji iz travnja stigla putem elektroničke pošte s inozemnih servera, što ukazuje na organiziranu kampanju koja nadilazi kapacitete pojedinačnog "vandalizma". Zbog toga što prijetnje dolaze iz inozemstva, hrvatska policija intenzivno surađuje s Interpolom, Europolom i partnerskim agencijama u drugim državama.

Službena stajališta MUP-a RH sugeriraju da se masovne dojave ne mogu promatrati kao izolirani incidenti, već kao dio šireg procesa "hibridnog ratovanja" koji pogađa cijelu regiju. Radi se, smatraju stručnjaci, o psihološkim operacijama u kojima napadači ciljaju na kritičnu infrastrukturu – primjerice škole i bolnice – kako bi izazvali najsnažniji emocionalni odgovor javnosti i stvorili osjećaj nesigurnosti. Ipak, Ministarstvo unutarnjih poslova u svojim je priopćenjima pozivalo građane na smirenost, poručujući da se ne smije dopustiti da panika postane alat onih koji ovim dojavama žele upravljati društvenim procesima.

Što se može učiniti?

Prema stručnim analizama, napadači su za slanje anonimnih e-mailova koristili kombinaciju VPN usluga, proxy servera i kriptiranih e-mail servisa poput onih smještenih u Švicarskoj ili zemljama s "labavijom" regulacijom kibernetičkog kriminala. Istražitelji stoga obično uspiju doći do prve IP adrese s koje je e-mail stigao, ali se redovito ispostavlja da je ona samo dio dugog lanca, što drastično usporava postupak identifikacije stvarne lokacije pošiljatelja.

Mi smo se za komentar obratili Bojanu Alikavazoviću, glavnom Cyber Threat Intelligence analitičaru sigurnosne kompanije Infigo IS, evo što smo doznali…

Koliko je lako ili teško otkriti pošiljatelje prijetnji u današnje vrijeme, kad "svaki klinac" zna koristiti VPN?

U ilegalnoj domeni raspoloživih alata za anonimiziranje i otežanu detekciju izvora poziva (uključujući i internetskog prometa) koriste se SMS gatewayi, različiti alati koji mijenjaju odlazni identifikator (broj pozivatelja) na mobilnoj mreži. Zatim u prodaji su i anonimno kupljene eSIM kartice (koje nije moguće povezati sa računom osobe), fizičke SIM kartice zemalja u kojima nije obavezno vezati broj mobitela s osobnim dokumentom itd.

Na internetu je moguće kupiti i ukradeni VPN pristup ili zakupiti komercijalni VPN servis sa ukradenim podacima platne kartice, još kada se tome pridoda i pristup internetu sa SIM kartice iz prethodnog spomenutog primjera, dobro organiziranog i pripremljenog počinitelja je teško pronaći. Policija često nema dovoljno detaljnih uvida o IP adresama i telefonskim brojevima pogotovo kada su izvori iz zemalja van Europe. Tada su primorani surađivati na međunarodnoj razini.

No da pojednostavim... primjerice Wi-Fi signal je sveprisutan, pogotovo u urbanim zonama. To isto može biti ulazna točka za počinitelja da putem "tuđe" IP adrese obavi što želi obaviti. Upravo zbog svih ti tehnoloških alata za prikrivanje identiteta, atribucija napadača nije u visokom postotku.

Je li, prema broju i učestalosti dojava, vjerojatnije riječ o skupini koja želi izazvati paniku ili je moguće da sve "odrađuje" AI agent kojeg kontrolira pojedinac?

Hipoteza ima mnogo. Važno je razumjeti da počinitelji mogu biti kriminalne organizacije, aktivisti, strane državno sponzorirane organizacije, pojedinci i slični. Zato je važno razumjeti i stvarnu namjeru počinitelja koji predstavlja prijetnju u ovom slučaju: ulijevanje straha, diverzija, ekonomska šteta i dr. Tehnološki je moguće da počinitelj koristi AI u svojim napadima. Samo je pitanje, ako da, na koji način?

Ima li sličnih primjera zabilježenih u drugim zemljama?

Da, ima. Nedavne prijetnje u Bosni i Hercegovini bile su slične tipologije, kao i one u Srbiji te one nešto starije iz 2023. godine u Francuskoj.

I kako obično ta priča završava – budu li počinitelji pronađeni i spriječeni ili priča sama od sebe nakon nekog vremena "splasne"?

Ne sjećam se nijednog slučaja u Hrvatskoj koji je završio uhićenjem, barem kad je riječ o anonimnim prijetnjama preko Interneta, ali bilo je dosta takvih slučajeva vezanih za ostale grane cyber kriminala. Kad je riječ o anonimnim prijetnjama istraga obično staje u trenutku kad, recimo dođe do IP adrese na Tajlandu, a od njihove policije naši istražitelji gotovo nikad neće dobiti odgovor. Ili je, primjerice, bulletproof hosting preko kojeg sve ide identificiran u Rusiji, a DNS server u Hong Kongu – njihovu policiju ne brinu ni veći problemi kad ih se kontaktira, a gdje će se oni onda baviti "nekim tamo mailovima u Hrvatskoj"…

Naglasio bih da u ovom slučaju, kako se može pročitati u komentarima online, nije naša policija kriva kad ne pronađe počinitelja. Tehnologija danas omogućava da "susjed" pokrene mrežu, zakupi liniju recimo preko Nigerije, pa odatle šalje poruke – dok svime upravlja odavde. Takve su sheme dostupne, nude se na prodaju preko dark weba (čak postoje oglasi i na hrvatskom jeziku u nekim slučajevima), dok je istražiteljima nemoguće otkriti tragove. Nekad dođe i do gašenja pojedinih kanala, no počinitelji lako "bježe" dalje zakupom nove usluge.

Čemu se, onda, možemo nadati?

Prije svega u istrazi je važno postaviti hipotezu, tj. uvidjeti namjeru napadača. Na primjer, možda je posljednjih dana njihova ideja i ostvarena, ako su htjeli provjeriti sigurnosne kapacitete i vidjeti hoće li MUP zaista otići na svaku lokaciju koju prijave. Kraj te priče ovisi, dakle, o tome što je napadaču namjera, a pritom nije isključeno da su posrijedi psihopati i da im je cilj čista emotivna satisfakcija.

Što više toga napadač radi, što se češće "javlja", svjesno ili nesvjesno, otkriva sve više detalja policiji. Tu se analizira stižu li prijetnje samo radnim danom i slično. Iz svih prikupljenih se informacija mogu iščitati motivi pošiljatelja. Hipoteza je sigurno mnogo, no policija namjerno neće u javnost izaći s detaljima. Ne bih nagađao, jer nisam u toj istrazi, ali kraj svega ovisit će o tome kada napadač procijeni je li ispunio svoj cilj – bila to financijska šteta, testiranje kapaciteta MUP-a, utjecaj na turističku sezonu ili bilo što drugo. U biti, ovisi o tome tko stoji iza svega – kriminalci, aktivisti ili netko treći, o čemu ne mogu špekulirati.