În 2008 scriam despre bancomatele „rele” — cititoare de carduri clonate, camere ascunse, PIN-uri furate. Sfaturile erau valabile atunci și unele sunt valabile și azi. Dar peisajul fraudei cu carduri s-a schimbat fundamental în 17 ani.

Skimming-ul clasic la bancomat a scăzut dramatic. Frauda s-a mutat online — phishing, smishing, site-uri false, apeluri telefonice de la „banca ta”. Dacă în 2008 trebuia să verifici cititorul de card cu mâna, în 2025 trebuie să verifici URL-ul din browser și să nu răspunzi la SMS-uri suspecte.

Ghidul de mai jos acoperă ambele epoci.

Cum funcționează un bancomat — bazele

Un bancomat nu e altceva decât un calculator dedicat cu câteva periferice specifice: cititor de carduri, tastatură PIN, display, mini-imprimantă pentru chitanță și dispenser de bancnote.

Comunicația cu sistemul băncii se face prin rețea — TCP/IP via fibră optică, Ethernet, 4G/5G, sau în locații izolate chiar dial-up. Datele sunt criptate, iar tranzacția e autorizată în timp real de serverele băncii.

POS-urile din magazine sunt mai simple — tastatură, display, cititor de card — și se conectează la bancă doar în momentul tranzacției. În rest stau offline, pentru a nu genera costuri de comunicație comercianților.

Înțelegerea acestei arhitecturi ajută să înțelegi unde apar vulnerabilitățile.

Skimming clasic — ce era în 2008 și cât mai există în 2025

În 2008, metoda principală de fraudă la bancomat era skimming-ul fizic:

• Un dispozitiv plastic montat peste cititorul de card original, care copiază datele de pe bandă magnetică
• O cameră minusculă ascunsă într-un obiect plasat lângă bancomat (broșuri, oglinzi false) sau o tastatură falsă suprapusă, care înregistrează PIN-ul
• Datele copiate erau folosite pentru a crea carduri clonate cu bandă magnetică

De ce a scăzut dramatic în 2025: cipurile EMV (Chip and PIN), introduse obligatoriu în UE și România după 2010, au făcut clonarea prin bandă magnetică aproape inutilă. Un card cu cip nu poate fi copiat funcțional cu dispozitivele de skimming clasice — cipul generează un cod unic pentru fiecare tranzacție.

Skimming-ul nu a dispărut complet — există încă în zone cu bancomate mai vechi sau în țări fără EMV obligatoriu — dar în România urbană riscul e mult mai mic decât în 2008. Sfaturile originale rămân valabile ca precauție de bază:

• Verifică vizual cititorul de card — trage ușor de el, un dispozitiv fals se poate desprinde
• Acoperă tastatura cu mâna când introduci PIN-ul
• Evită bancomatele apărute peste noapte în locuri neobișnuite sau cele cu aspect modificat
• Preferă bancomatele din sucursalele băncilor față de cele din magazine mici sau izolate

Frauda modernă — ce s-a mutat online

Aici e unde trebuie să fii atent în 2025. Fraudatorii s-au adaptat la cipuri și atacă acum vectori mult mai ușori: tine, direct.

Phishing — email-uri care imită comunicările băncii tale, cu link-uri spre site-uri false identice vizual cu cel real. Scopul: să introduci datele cardului sau credențialele de internet banking. Semnale de alarmă: adresa expeditorului nu e domeniul oficial al băncii, URL-ul diferă ușor (raiffeisen-secure.ro în loc de raiffeisen.ro), urgența artificială („contul va fi blocat în 24 de ore”).

Smishing — același atac prin SMS. „BRD: tranzacție suspectă detectată. Verificați aici: [link].” Link-ul duce spre un site fals. Băncile românești nu trimit SMS-uri cu link-uri de autentificare — dacă primești unul, e fraudă.

Vishing — apel telefonic de la cineva care se prezintă ca angajat al băncii sau al poliției. Scenariul clasic: „am detectat o tranzacție frauduloasă pe contul dvs., aveți nevoie de ajutorul nostru urgent.” Îți cer datele cardului, codul CVV sau codul primit prin SMS (OTP). Nicio bancă legitimă nu cere niciodată CVV-ul sau OTP-ul prin telefon.

Site-uri de vânzări false — OLX, Facebook Marketplace, anunțuri cu prețuri atrăgătoare. Vânzătorul îți trimite un link „pentru a primi plata” care de fapt îți golește cardul. Regula: pe OLX nu există „link de primire bani” — plata se face direct, față în față sau prin transfer bancar standard.

Frauda contactless — NFC și plata cu telefonul

Plata contactless (tap) și Apple Pay/Google Pay au generat multe întrebări despre securitate. Realitatea e mai liniștitoare decât zvonurile:

Mitul „cititoarelor NFC din metrou” — circulă de ani de zile ideea că cineva cu un cititor NFC poate fura datele cardului tău din buzunar. În practică, chiar dacă se pot citi unele date (numărul cardului, data expirării), CVV-ul dinamic necesar pentru o tranzacție online nu e accesibil astfel. Frauda NFC pasivă e teoretic posibilă dar extrem de rară și dificilă în practică.

Apple Pay și Google Pay — mai sigure decât cardul fizic. Folosesc tokenizare — în loc de numărul real al cardului, se transmite un număr virtual unic per tranzacție. Chiar dacă datele sunt interceptate, sunt inutile pentru o altă tranzacție.

Limita de 100 RON fără PIN — tranzacțiile contactless sub 100 RON nu cer PIN. Dacă cineva îți fură cardul, poate face câteva tranzacții mici rapid. Soluție: activează notificările push pentru orice tranzacție și blochează cardul imediat din aplicație dacă îl pierzi.

Sfaturi practice 2025 — ce faci concret

• Activează notificările push sau SMS pentru orice tranzacție, indiferent de sumă. E prima linie de apărare — știi imediat dacă apare ceva suspect.
• Setează limite zilnice de retragere și plată online din aplicația băncii. Majoritatea băncilor românești permit acest lucru acum.
• Folosește un card virtual pentru cumpărăturile online — ING, Revolut, BCR și alte bănci oferă carduri virtuale cu număr diferit față de cardul fizic. Dacă datele sunt compromise, cardul fizic e în siguranță.
• Nu salva datele cardului pe site-uri pe care nu le cunoști sau nu le folosești des.
• Verifică întotdeauna URL-ul înainte să introduci date de card — trebuie să fie HTTPS și domeniul exact al băncii sau magazinului.
• Nu da niciodată OTP-ul (codul primit prin SMS) nimănui, indiferent cine spune că este.
• Blochează cardul imediat din aplicație dacă îl pierzi sau dacă observi tranzacții necunoscute — nu aștepta să suni la call center.

Cum raportezi frauda și cum recuperezi banii

Dacă ai fost fraudat, ordinea acțiunilor contează:

1. Blochează cardul imediat — din aplicație sau sunând la numărul de urgență al băncii (disponibil 24/7 pe spatele cardului)
2. Contactează banca în scris — depune o sesizare formală de fraudă. Ai dreptul la procedura de chargeback pentru tranzacții neautorizate.
3. Depune plângere la poliție — necesar pentru dosarul de recuperare și pentru investigarea fraudatorilor
4. Sesizează ANPC (0800 080 999, gratuit) dacă banca refuză să îți returneze banii fără motiv justificat
5. Contactează DNSC (Directoratul Național de Securitate Cibernetică) pentru fraude online complexe — dnsc.ro

Drepturile tale ca posesor de card: conform directivei PSD2 implementată în România, pentru tranzacții neautorizate pe care nu le-ai aprobat, banca e obligată să îți returneze banii în termen de o zi lucrătoare, urmând să investigheze ulterior. Excepție: dacă se dovedește neglijență gravă din partea ta (ai dat PIN-ul cuiva, ai căzut victimă unui phishing evident).

Concluzie — 2008 vs 2025

Sfatul din 2008 era: verifică bancomatul vizual, acoperă tastatura. Sfatul din 2025 e același, plus: nu da nimănui OTP-ul, verifică URL-urile, folosește card virtual pentru online și activează notificările pentru orice tranzacție.

Frauda nu a dispărut — s-a mutat unde ești mai vulnerabil. Și în 2025, cel mai slab punct de securitate nu e bancomatul. Ești tu, când răspunzi la un SMS sau la un apel telefonic convingător.