Phishing-ul este denumirea generică a unui tip de înșelătorie întâlnită în mediul online, caracterizată prin manipularea victimelor de către atacatori care trimit mesaje-capcană prin diferite canale de comunicare, cum ar fi email sau SMS, ce par a proveni de la o entitate legitimă (ex. bancă, poștă, firmă de curierat, o autoritate a statului etc.) și care, sub diverse pretexte, conving victimele să divulge date personale sensibile (ex. parole de la contul de email, PIN-uri și datele cardurilor, nume de utilizator, parole și codurile de autentificare în aplicațiile de internet/mobile banking ale băncilor etc.).

Odată cu digitalizarea accelerată a industriei bancare, atacurile de tip phishing în acest domeniu s-au înmulțit îngrijorător, fiind afectate în special instrumentele de plată electronică, respectiv cardurile și aplicațiile de internet/mobile banking.

În continuare este prezentat cel mai frecvent întâlnit atac de phishing, cunoscut în terminologia de specialitate și sub denumirea de „fraudă prin manipularea plătitorului”.

Un scenariu frecvent întâlnit în ultima vreme este cel în care victima primește un email care simulează într-un mod verosimil că ar fi proveni de la banca sa, întrucât conține elemente de identitate vizuală pe care clientul le recunoaște ca fiind specifice băncii în cauză. Prin mesajul respectiv, victima este informată că banca i-a blocat sau urmează să îi blocheze în curând instrumentul de plată (ex. cardul sau aplicația de internet/mobile banking) și că, pentru a evita această situație, trebuie să își actualizeze de urgență datele personale. În acest sens, victima este invitată să acceseze un link sau să apese un buton din cuprinsul mesajului respectiv. Mesajul capcană poate avea și alte variante de text sau abordare. Spre exemplu, victima este avertizată că din contul său a fost inițiată o plată de valoare mare, pe care banca a oprit-o temporar, iar dacă dorește să anuleze operațiunea în cauză trebuie să acceseze imediat link-ul din mesajul respectiv. Însă, în general, sunt folosite pretexte cu impact emoțional, menite să creeze un sentiment de urgență, astfel încât victima să acționeze imediat și în mod instinctiv.

Prin accesarea link-ului sau apăsarea butonului indicat, victima este direcționată către o pagină de internet ce imită din punct de vedere vizual website-ul băncii sale, dar care în realitate este o pagină falsă, creată de atacatori. În pagina respectivă victimei i se solicită o serie de date sensibile pentru o pretinsă verificare, actualizare sau autentificare. Informațiile care i se cer reprezintă însă elemente de securitate personalizate ale instrumentului de plată, pe care deținătorul avea obligația să le păstreze confidențiale (ex. numărul cardului, numele titularului acestuia, data expirării, codul CVV/CVC, codul 3D Secure¹, PIN-ul în cazul cardurilor, sau denumirea utilizatorului, parola statică și parola dinamică primită prin SMS ori generată de dispozitivul de tip token² pentru autorizarea accesului la aplicația de internet banking).

Odată completate rubricile respective, informațiile ajung la atacatori, care le folosesc pentru a dobândi accesul total la instrumentul de plată și pentru a sustrage fondurile din conturile victimei. Astfel, în multe cazuri, atacatorii folosesc datele cardurilor pentru a face diverse cumpărături în mediul online ori pentru a înrola cardurile victimei într-o aplicație de tip portofel electronic (wallet) instalată pe telefoanele lor (ex. Apple Pay, Google Pay), cu care pot face plăți inclusiv la terminale POS ale comercianților sau pot chiar retrage numerar de la bancomate.

În situația în care ajung să aibă acces la contul victimei prin intermediul aplicației de internet/mobile banking, atacatorii efectuează transferuri către conturile lor³ sau autorizează operațiuni de plată pentru achiziția de bunuri și servicii de valori mari, inclusiv de criptomonede, al căror traseu nu poate fi urmărit ulterior.

În lupta cu acest fenomen, cele mai importante măsuri sunt cele de prevenire, care necesită implicare atât din partea utilizatorilor de instrumente de plată, cât și din partea instituțiilor financiare emitente (bănci și alți prestatori de servicii de plată).

În acest sens, este esențială asigurarea confidențialității elementelor de securitate personalizate aferente instrumentelor de plată, fie că este vorba de carduri sau de aplicații de internet/mobile banking, iar utilizatorii trebuie să conștientizeze că au responsabilitatea păstrării în siguranță a acestor informații.

În cazul cardurilor, ne referim în primul rând la datele imprimate pe acestea, respectiv numărul cardului, numele titularului, data expirării, codul CVV, dar și la codul PIN, iar în cazul aplicațiilor de internet/mobile banking, codul/numele utilizatorului („username”), codul de acces (denumit și parolă statică), codul OTP („one-time-password”) trimis de bancă prin SMS sau cel generat de dispozitivul Token fizic ori de aplicația specială instalată pe telefonul mobil (denumit și parolă dinamică).

Reguli și recomandări adresate utilizatorilor de instrumente de plată electronică:

• Nu dați curs solicitărilor primite prin email sau SMS, prin care vi se cere actualizarea datelor personale, prin accesarea unui anumit link. Băncile nu solicită clienților să transmită sau să li se confirme elementele de securitate personalizate ale instrumentelor de plată pe email sau SMS și nici nu fac actualizarea datelor personale ale clienților prin intermediul unor astfel de canale. Orice email care pare să provină de la banca dumneavoastră, prin care vi se solicită să întreprindeți de urgență o anumită acțiune (de obicei, în astfel de mesaje apare sintagma „foarte important/urgent”) și care implică transmiterea unor informații sensibile legate de instrumente de plată pe care le dețineți trebuie considerat suspect. Dacă vă confruntați cu o astfel de situație vă recomandăm să luați imediat legătura cu banca prin canalele oficiale;
• Nu dați curs mesajelor primite prin email sau SMS prin care vi se solicită să efectuați urgent diferite acțiuni fără de care conturile și/sau instrumentele dumneavoastră de plată urmează a fi blocate sau închise;
• Nu dați curs mesajelor primite prin email sau SMS care conțin greșeli de ortografie sau exprimări neobișnuite, ce par a fi traduceri improprii din altă limbă;
• Atunci când primiți un email care pare să provină de la o bancă (dar și de la Poștă, firme de curierat, platforme de comercializare a produselor, companii de telefonie, ANAF sau alte autorități), verificați cu atenție adresa de email reală de la care au fost trimise mesajele. Din punct de vedere tehnic, în fraudele de tip phishing, atacatorii „maschează” adresa reală de email folosind un alias (o adresă sau denumire aparentă), astfel că sursa reală nu apare în mod explicit la deschiderea mesajului (de exemplu, alias-ul pe care îl vedem este „Poșta Română”, însă adresa email reală a expeditorului este office@postaatbtp.com). Pentru a vedea adresa reală trebuie accesată printr-un click rubrica expeditorului (respectiv pe căsuța From) din email-ul primit. O altă metodă de a vizualiza adresa reală a expeditorului, pentru majoritatea aplicațiilor de email, este să dați Reply la emailul primit. Dacă adresa de email reală este asemănătoare cu o adresă de email legitimă, însă are litere schimbate ori conține litere sau numere adăugate, atunci se poate presupune că este un mesaj suspect (în exemplul de mai sus fiind office@postaatbtp.com în loc de suportclienti@posta-romana.ro);
• Nu accesați aplicațiile de internet banking din link-uri primite pe email sau SMS de la persoane necunoscute sau din paginile de social media, ci doar prin introducerea manuală a adresei în bara de adrese din cadrul browser-ului;
• Întotdeauna accesați pagina de autentificare (pagina de „login”) la serviciul de internet banking prin introducerea manuală a adresei oficiale a băncii în bara de adrese și nu prin intermediul motoarelor de căutare (ex. Google, Bing, Baidu, Yahoo! etc.), întrucât este posibil ca unul dintre primele link-uri de răspuns generate de acestea, în special cele marcate ca „Sponsored”, să conducă la o pagină falsă, creată de către atacatori. Prin utilizarea unor procedee și tehnici specifice de optimizare artificială a paginilor web, inclusiv prin anunțuri plătite, aceștia reușesc să „păcălească” motoarele de căutare, astfel încât paginile lor false să se claseze mai sus în cadrul ordonării rezultatelor căutării, uneori să fie chiar primele afișate;
• În cazul în care primiți prin SMS mesaje prin care vi se transmit coduri de autorizare pentru operațiuni pe care nu le recunoașteți și pe care nu le-ați solicitat (ex. operațiuni de înrolare a cardului dumneavoastră în portofele electronice, precum ApplePay sau GooglePay, ori pentru autorizarea unor tranzacții), nu le comunicați mai departe, ci luați imediat legătura cu banca, folosind canalele oficiale (numerele de telefon tipărite pe card sau cele de pe pagina oficială de internet a instituției) și blocați-vă temporar cardurile până la clarificarea situației;
• Recomandăm clienților băncilor să își activeze opțiunea de tip „SMS Alert” sau „push notification”, astfel încât să primească notificări în timp real cu privire la toate operațiunile care sunt efectuate în legătură cu instrumentele lor de plată.

Băncile și celelalte instituții financiare au la rândul lor o serie de obligații legate de asigurarea securității instrumentelor de plată electronică pe care le pun în circulație și lucrează continuu pentru a-și îmbunătăți sistemele de detectare a fraudelor, implementând soluții digitale tot mai complexe și inovatoare pentru identificarea operațiunilor de plată frauduloase.

Distinct de cele de mai sus, este de menționat faptul că autoritățile statului care au competențe în acest domeniu, împreună cu comunitatea bancară, au dus ample campanii de informare în mass-media națională cu privire la fenomenul fraudelor din mediul online efectuate prin manipularea plătitorului, iar informații relevante și mesaje de atenționare pe acest subiect au fost transmise clienților prin email sau au fost publicate pe paginile de internet ale instituțiilor de credit și ale celorlalți prestatori de servicii de plată.

În situația în care sesizează că au fost victimele unor astfel de fraude, clienții trebuie să anunțe de îndată banca lor, respectiv banca emitentă a instrumentului de plată compromis. Aceasta va oferi imediat asistență clientului păgubit, fie prin intermediul personalului de la unitatea teritorială unde s-a prezentat clientul, fie prin intermediul „call center”. Este important ca orice suspiciune de fraudă să fie notificată cât mai repede băncii, pentru a preveni alte operațiuni frauduloase ulterioare, în cazul în care atacatorul a dobândit accesul total la instrumentul dumneavoastră de plată.

Printre măsurile pe care le poate lua banca se numără i) blocarea imediată a cardului sau/și a aplicației de internet/mobile banking, și ii) inițierea procedurii de contestare a tranzacțiilor frauduloase și solicitarea restituirii fondurilor (în terminologia bancară „refuz la plată”) în relația cu banca beneficiarului plății (bancă acceptantă).

Această procedură de refuz la plată necesită implicarea clienților păgubiți, care fie sunt invitați să completeze în fața funcționarului bancar un formular tipizat, fie pot transmite pe email formularul împreună cu documentele doveditoare.

În practică se observă că, în încercarea de a liniști clienții păgubiți, unii funcționarii bancari i-au asigurat pe aceștia de rezolvarea favorabilă a situației. Ulterior însă, clienții au observat în aplicația de internet/mobile banking că sumele care fac obiectul fraudei apar în cont lor pentru o perioadă de timp ca fiind „blocate”, „reținute” ori „în așteptare” (până la momentul decontării) și nu înțeleg de ce banca lor nu anulează operațiunea de plată pe care au raportat-o ca fiind ilicită. Inițial consternate de situație, victimele ajung să acuze banca lor de rea-credință, de lipsă de profesionalism sau chiar de comportament ilegal și apelează la autorități pentru a-și recupera prejudiciul, inclusiv la BNR.

În acest context, atragem atenția asupra a două aspecte esențiale:

1. Dacă operațiunea de plată a fost efectuată/autorizată prin aplicarea procedurii de autentificare strictă a clientului (mai multe detalii despre această procedură sunt prezentate la secțiunea E), banca emitentă nu are posibilitatea legală de a anula transferul fondurilor, în perioada în care acestea figurează ca fiind „blocate”, „reținute” ori „în așteptare”. Explicația acestui raționament este prezentată mai jos, la secțiunea H;
2. Rata de succes a procedurii de contestare a tranzacției frauduloase este una relativ scăzută. Dacă fondurile transferate în mod ilicit au fost deja folosite de fraudatori pentru cumpărarea de bunuri sau servicii care au fost deja livrate, inclusiv pentru achiziția de criptomonede, procedura de contestare a tranzacției pe motiv de bunuri nelivrate nu mai are temei.

Așadar, trebuie să înțelegem că instrumentele aflate la dispoziția băncii emitente pentru a înlătura pagubele suferite de clienții săi ca urmare a unei fraude de tip phishing sunt limitate și nu este culpa băncii că situația nu a putut fi rezolvată la nivelul său.

O problemă deosebit de importantă este legată de modul în care sunt suportate pierderile în cazul operațiunilor de plată efectuate în mod fraudulos, ca urmare a unor atacuri de tip phishing.

În principiu, cei care au produs paguba, respectiv autorii fraudei, trebuie să suporte consecințele faptelor lor, inclusiv din perspectiva răspunderii civile. De multe ori, însă, cercetările pentru descoperirea și tragerea lor la răspundere durează mult, iar în unele cazuri autorii fraudelor rămân neidentificați.

În consecință, se pune întrebarea legitimă “cine suportă pierderile patrimoniale cauzate victimelor fraudelor, până la depistarea și tragerea la răspundere a autorilor fraudelor bancare”?

Acesta problemă și-a găsit răspunsul la nivel european în cadrul legislativ care reglementează serviciile de plată, respectiv Directiva revizuită privind serviciile de plată în cadrul pieței interne⁴, ce a fost transpusă în legislația națională prin Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative. Principiul juridic de bază urmărit de legislație este că răspunderea patrimonială revine celui aflat în culpă, respectiv celui care nu și-a îndeplinit obligațiile ce îi reveneau conform reglementărilor în vigoare și a contractelor/convențiilor încheiate între utilizatorul și prestatorul serviciilor de plăți.

Prevederile legislative relevante pentru această problematică se regăsesc în cuprinsul Legii nr. 209/2019, la secțiunea a 6-a „Obligațiile părților cu privire la instrumentele de plată și la elementele de securitate personalizate” și la secțiunea a 9-a „Răspunderea pentru operațiunile de plată neautorizate”⁵.

Din analiza textului de lege, se disting mai multe situații, după cum urmează:

1. Dacă operațiunile de plată contestate au fost efectuate fără ca prestatorul serviciilor de plată (banca emitentă) să fi aplicat procedura de autorizare strictă a clientului, atunci banca emitentă este răspunzătoare și suportă prejudiciul, conform art. 177 lit. d din lege;
2. În cazul în care operațiunile de plată contestate au fost efectuate prin aplicarea procedurii de autentificare strictă a clientului – în această situație, legislația instituie o prezumție legală că tranzacția provine de la titularul legitim al instrumentului de plată în cauză sau că acesta a transmis elementele de securitate personalizate unor terțe persoane și, ca atare, prin faptul că nu și-a îndeplinit obligațiile de păstrare în siguranță a informațiilor respective, este în culpă și suportă prejudiciul (a se vedea în acest sens prevederile art. 166 alin. 2, coroborate cu cele ale art. 177 lit. d și ale art. 179 alin. 2 din Legea nr. 209/2019);
3. În situația în care operațiunile de plată contestate au fost efectuate după ce clientul a notificat banca sa despre pierderea, furtul, folosirea fără drept a instrumentului său de plată sau de orice altă utilizare neautorizată a acestuia, atunci banca emitentă este răspunzătoare și suportă prejudiciul, indiferent dacă a aplicat sau nu procedura de autentificare strictă a clienților (a se vedea prevederile art. 166 alin. 1 lit. a, coroborate cu cele ale art. 177 lit. c din Legea nr. 209/2019).

Autentificarea strictă a clienților este o procedură reglementată la nivel european⁶, menită să asigure un grad sporit de securitate în cazul operațiunilor de plată electronice, prin prevenirea accesului neautorizat la conturile utilizatorilor și a fraudelor aferente tranzacțiilor efectuate în mediul online. După cum reiese din însăși denumirea sa, rolul acestei proceduri este de a confirma identitatea persoanei care inițiază și autorizează operațiunile de plată, respectiv de a garanta că acestea sunt efectuate doar de titularul instrumentului de plată.

Din punct de vedere practic, autentificarea strictă a clienților presupune folosirea a cel puțin două elemente de securitate (factori de autentificare), din categorii diferite, categorii ce sunt prezentate mai jos:

1. categoria „elemente de cunoaștere” – informații pe care doar titularul instrumentului de plată le cunoaște, cum ar fi: codul PIN sau o parolă (de obicei, numită „parolă statică”, pentru că este valabilă pentru o perioadă mai lungă de timp);
2. categoria „elemente de posesie” – elemente pe care doar titularul instrumentului de plată le deține, spre exemplu un dispozitiv de încredere (cum ar fi un telefon mobil sau o tabletă), dispozitiv care a fost agreat în prealabil cu banca pentru transmiterea elementelor de securitate personalizate clientului său. În acest caz, banca trimite prin SMS, pe numărul de telefon convenit anterior, un cod pe care clientul îl va folosi în procesul de autentificare (codul/parola respectivă este numită „parolă dinamică” sau „one time password”, fiind generată în mod automat de către sistemul băncii pentru fiecare operațiune în parte). O altă variantă este folosirea unui dispozitiv de tip token care va genera un cod de autentificare. La rândul său, token-ul poate fi de tip hardware, respectiv un dispozitiv fizic pe care banca îl pune la dispoziția exclusivă a clientului, sau de tip software, respectiv o aplicație ce se instalează pe telefon/tabletă, după ce, în prealabil, s-a aplicat o procedură de autentificare strictă a clientului.
3. categoria „elemente de inerență” – ceva ce „clientul este”, în această categorie intrând recunoașterea clientului pe baza amprentei digitale, identificării faciale sau a altor elemente de biometrie.

Toate aceste aspecte legate de procedura de autentificare strictă a clienților sunt reglementate detaliat în cuprinsul Regulamentului delegat (UE) nr. 2018/389 de completare a Directivei (UE) 2015/2366 a Parlamentului European și a Consiliului cu privire la standardele tehnice de reglementare pentru autentificarea strictă a clienților și standardele deschise, comune și sigure de comunicare (link aici).

Din punct de vedere tehnic, procedura de autentificare strictă a clientului este foarte sigură și nu poate fi compromisă de către atacatori dacă titularul instrumentului de plată nu face greșeala de a le comunica acestora elementele sale de securitate personalizate.

Din cauza pericolului social pe care îl presupune, frauda de tipul phishing-ului este incriminată de legea penală ca infracțiune, respectiv efectuarea de operațiuni financiare în mod fraudulos, fiind încadrată la art. 250 alin. 1 din Codul Penal („Efectuarea unei operațiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, valoare monetară sau monedă virtuală, prin utilizarea, fără consimțământul titularului, a unui instrument de plată fără numerar sau a datelor de identificare care permit utilizarea acestuia, se pedepsește cu închisoarea de la 2 la 7 ani”). Ca atare, cercetarea și investigarea acestor fapte este de competența organelor de cercetare penală, respectiv a organelor abilitate din cadrul Poliției Române.

Banca Națională a României, în virtutea atribuțiilor legale ce îi revin în domeniul plăților și sistemelor de plăți din România, monitorizează și controlează modul în care prestatorii de servicii de plată aplică mecanisme și proceduri suficiente și adecvate pentru asigurarea securității și a disponibilității instrumentelor de plată pe care le emit sau le acceptă, în conformitate cu cerințele legale în vigoare.

După cum am menționat anterior la secțiunea D, chiar dacă utilizatorii serviciilor de plată au notificat în timp util banca lor că au fost victimele unei fraude și indică operațiunile de plată pe care le consideră frauduloase, instituția de credit nu poate anula tranzacțiile respective, astfel că sumele respective apar pentru un timp în aplicația de internet banking ca fiind „blocate” sau „reținute” ori „în așteptare”, iar după o perioadă sunt debitate din contul victimei.

În cele ce urmează, vom încerca să explicăm într-un mod cât mai accesibil motivele pentru care banca emitentă nu poate anula transferul fondurilor în procesul de decontare a operațiunile de plată, chiar și atunci când operațiunea respectivă a fost reclamată de titularul instrumentului de plată ca fiind frauduloasă și de ce nu i se pot imputa băncii sumele respective.

În primul rând, trebuie să știm că operațiunile de plată cu cardul nu se realizează instantaneu. Astfel, între momentul efectuării plății și momentul reflectării acesteia în conturile plătitorului și, respectiv beneficiarului plății (în terminologia de specialitate „momentul decontării”), există un decalaj de timp, care poate dura de la câteva ore la câteva zile, în funcție de o serie de elemente (ora la care s-a inițiat operațiunea, jurisdicția în care operează banca emitentă și cea acceptantă etc.).

Pentru a evita neajunsurile care derivă din acest decalaj între momentul plății și cel al transferului efectiv al fondurilor din contul plătitorului în contul beneficiarului, schemele de carduri impun reguli prin care garantează ferm că plățile efectuate vor fi și decontate⁷. Acesta este un principiu central al funcționării schemelor de plată cu cardul, în lipsa căruia s-ar crea o stare de incertitudine juridică. Fără această garanție, beneficiarii plăților (ex. comercianții) ar fi descurajați să mai accepte plățile cu cardul, întrucât orice tranzacție ar fi susceptibilă să fie contestată ulterior de plătitor, pe diverse motive, iar finalitatea operațiunii de plată ar fi putea fi pusă oricând la îndoială.

Din punct de vedere funcțional, acest principiu se transpune în practică prin blocarea fondurilor de către banca emitentă a cardului (banca plătitorului) la momentul efectuării plății și transmiterea operațiunii spre decontare, indiferent de apariția unor evenimente ulterioare, care ar putea depinde de voința cumpărătorului (spre exemplu, dacă acesta se răzgândește cu privire la achiziția efectuată). Pe lângă faptul că garantează beneficiarului plății că își va primi banii la momentul decontării, operațiunea de blocare elimină riscul utilizării aceleiași sume pentru efectuarea altor tranzacții.

Precizăm că blocarea sumelor nu reprezintă un efect al contestării operațiunii de plată, ci este o etapă standard în fluxul obișnuit de procesare și decontare a tranzacțiilor efectuate cu cardul.