Sunteți pe pagina 1din 12

Propun redenumirea cap.9 (pag.

373), cu titlul Investigarea criminalitii


informatice i a fraudelor cu cri de credit.
La pag. 415, propun introducerea seciunii cu titlul Cercetarea criminalistic
a fraudelor cu cri de credit, avnd urmtorul coninut:
Iniiativa introducerii instrumentelor de plat electronic, de genul cardului, i-a aparinut
n anul 1946 lui John C. Biggins1. Acesta a conceput nite bonuri valorice n schimbul crora se
puteau face de la comerciani diferite achiziii. De la acest sistem simplist s-a ajuns la eliberarea
primelor carduri n 1951, banca ce a fcut acest prim pas fiind Franklin National Bank din New
York. Tot n aceeai perioad, n anul 1950, Diners Club introducea pe pia primul card pentru
cltorii i consum. Seria lansrilor a continuat, n 1960 Bank of America lansnd
BankAmericard, n prezent faimoasele VISA.
Cardurile de credit nu reprezint un fenomen recent. De fapt, cardurile de plat au fost
utilizate nc de la nceputul secolului trecut n SUA. Hotelurile, companiile petroliere i
departamentele de vnzri din SUA au emis carduri nainte de primul rzboi mondial. Unii dintre
marii comerciani au dat carduri clienilor mai importani. Cardurile identificau clienii ca avnd
un cont de credit la comerciantul respectiv.
De la sfritul celui de-al doilea rzboi mondial, oamenii au folosit carduri de identificare
pentru a-i plti cumprturile. Totui, cardurile de plat erau strict limitate: ele erau acceptate doar
n locaiile asociate cu emitentul lor. Cu mici excepii, nimeni nu a emis carduri de plat care s fie
acceptate n aria larg a magazinelor neafiliate. Astfel, la sfritul anilor '40, cardul de pli universal
nu exista.
Evoluia acestor instrumente de plat a fost spectaculoas. Pn n 1980 numrul
cardurilor emise a atins cota de 73 milioane, iar pn n 1991 s-a ajuns la peste 100 milioane.
Iniial bncile i celelalte instituii emitente nu au tiut crui sector de pia s adreseze
aceste carduri, comercianilor sau consumatorilor. ns rspunsul a venit de la sine datorit unei
caracteristici fundamentale a cardurilor: uurina n utilizare, cardurile fiind acceptate de ctre
toate categoriile de poteniali utilizatori.
Astfel cumprtorii s-au vzut scpai de problemele cauzate de utilizarea numerarului, ei
nemaintlnind dificulti n achiziionarea de bunuri i servicii. n afara acestui aspect, cardul s-a
constituit ntr-un instrument ce le asigura obinerea instantanee de credite.
i comercianii au fost mult ajutai n munca lor de utilizarea cardurilor. Ei puteau astfel
autoriza vnzrile cu mult mai mult uurin. Dac numrul cardului nu aprea pe lista neagr i
valoarea tranzaciei se ncadra sub limita stabilit, atunci tranzacia se putea desfura fr
probleme. n alt ordine de idei, volumul vnzrilor a crescut substanial n urma utilizrii
cardurilor. Cu ct s-au emis mai multe carduri din punct de vedere cantitativ i al diversitii lor,
cu att comercianii care acceptau astfel de instrumente de plat au fost mai mult vizitai de ctre
cumprtori. Un alt avantaj const n faptul c micii comerciani nu ar fi avut puterea de a realiza
un sistem de vnzare pe baz de credite. Astfel, prin intermediul cardurilor de credit, ei au putut i
pot beneficia de un astfel de sistem de pli, sistem ce le aduce un numr mult mai mare de
cumprtori.
Bncile sunt la rndul lor o categorie ce a beneficiat de numeroase avantaje financiare de
pe urma cardurilor, i mai ales a credit cardurilor. Astfel, prin intermediul acestora din urm ele
acordau cu uurin credite, n urma crora ncasau dobnzi destul de avantajoase. n afar de
aspectele de ordin financiar, bncile au reuit prin intermediul cardurilor s sparg bariera impus
de limitele gografice. Dac pn la apariia cardurilor clienii preferau bncile din vecintatea lor,
de la acel moment acest criteriu a devenit din ce n ce mai puin semnificativ.
1

Radu Popescu Cardul-instrument modern de plat, Editura Tribuna Economic, Bucureti, 1998, pag. 10-17.

n lucrrile de specialitate cardul a fost definit ca fiind un instrument de decontare care


asigur posesorului autorizat achiziionarea de bunuri sau servicii fr prezena efectiv a
numerarului2.
Potrivit legislaiei naionale n vigoare3, prin instrument de plat electronic se nelege un
instrument care permite titularului su s efectueze urmtoarele tipuri de operaiuni:
transferuri de fonduri, altele dect cele ordonate si executate de ctre instituii financiare;
retrageri de numerar, precum i ncrcarea i descrcarea unui instrument de moned
electronic.
Cardul este un instrument de plat electronic, respectiv un suport de informaie
standardizat, securizat i individualizat, care permite deintorului su s utilizeze disponibilitile
bneti proprii dintr-un cont deschis pe numele su la emitentul cardului ori s utilizeze o linie de
credit, n limita unui plafon stabilit n prealabil, deschis de emitent n favoarea deintorului
cardului, n vederea efecturii, cumulativ sau nu, a urmtoarelor operaiuni4:
retragerea de numerar, respectiv ncrcarea i descrcarea unitilor valorice n cazul unui
instrument de plat de tip moned electronic, de la terminale precum distribuitoarele de
numerar i ATM, de la ghieele emitentului/bncii acceptante sau de la sediul unei
instituii, obligat prin contract s accepte instrumentul de plat electronic;
plata bunurilor sau a serviciilor achiziionate de la comercianii acceptani i plata
obligaiilor ctre autoritile administraiei publice, reprezentnd impozite, taxe, amenzi,
penaliti, etc., prin intermediul imprinterelor, terminalelor POS sau prin alte medii
electronice;
transferurile de fonduri ntre conturi, altele dect cele ordonate i executate de instituiile
financiare, efectuate prin intermediul instrumentului de plat electronic.
Dup destinaia lor, cardurile pot fi de debit, de credit, de numerar, de garantare a
cecurilor, cardul-hibrid, cardul co-branded i smart-cardul5.
Cardul conine elemente de securizare care s protejeze corpul material al acestuia,
trsturi de personalizare ncorporate pe suprafaa sa i, dup caz, alte componente inserate n
corpul material al acestuia, inclusiv banda magnetic i/sau microprocesorul (circuit integrat
specializat).
Elemente de identificare comune pentru crile de credit sunt urmtoarele:

Radu Popescu op.cit., pag. 33.


Art.1, pct.10 din Legea nr. 365/2002 privind comerul electronic, modificat i completat prin Legea nr.
121/2006.
4
Art.1, pct.3 din Regulamentul Bncii Naionale a Romniei nr. 4/2002 privind tranzaciile efectuate prin
intermediul instrumentelor de plat electronic i relaiile dintre participanii la aceste tranzacii.
5
Recent, s-a investit major n design-ul i dezvoltarea cardurilor cu circuit integrat (cunoscute sub denumirea de
chip card sau smart card), care vor schimba n mod hotrtor natura comerului, introducnd elemente de siguran
foarte avansate tehnologic. Dei migrarea ctre cardurile cu chip este n curs de desfurare, se anticipeaz c vor
trece civa ani pn cnd va fi complet implementat. Mai mult, n aceast faz incipient, cardurile cu cip sau smart
cardurile vor continua s conin o band magetic pentru a putea fi efectuate n continuare tranzacii n lipsa existenei
unui cititor de card sau a unei reele adecvate.
3

- pe faa crii de credit se vor regsi urmtoarele elemente:


1. numrul crii de credit, data expirrii (uneori i data emiterii luna, an) i numele
titularului, pot fi embosate (ieite n relief) sau gravat cu laser;
2. brand-ul (VISA, Mastercad, Maestro, American Express, etc);
3. banca emitent;
4. holograma (pentru VISA, MasterCard);

- pe spatele crii de credit se vor regsi urmtoarele elemente:


1. codul cvv2, cvc, uneori numrul crii de credit, imprimate pe panelul de semntur,
inclinate invers, prin gravare cu laser;
2. panelul de semntur;
3. banda magnetic.
Folosirea crilor de credit presupune accesarea unui sistem informatic, iar infraciunea de
falsificare a mijloacelor de plat electronic este o infraciune secundar, ea urmnd unor
infraciuni de acces n sistemele informatice, transfer neautorizat de date informatice, de unde se
obin informaiile despre crile de credit care ulterior sunt folosite i pentru inscripionarea pe
benzile magnetice.
Aspectele care in de prevenirea i combaterea infracionalitii cu mijloace de plat
electronic au sediul materiei n Legea nr. 365/2002 privind comerul electronic.
Procedura de plat cu cardurile presupune existena unui deintor de carte de credit care
dorete s efectueze o plat la un comerciant care accept la plat, astfel de instrumente.
Operaiunea implic folosirea unui POS, dispozitiv care asigur comunicarea on-line cu centrul
de procesare al acestor tranzacii, prin intermediul crora se fac verificri la banca emitent a
cardului.

Dup ce tranzacia este acceptat, urmeaz transferarea fondurilor de la banca


deintorului de card la banca comerciantului, care se face n cadrul unui proces financiar
reglementat intre bnci i de ctre companiile de carduri.
Cardurile au nceput s fie utilizate n Romnia n anul 1996, debutul fiind destul de timid.
n prezent, piaa cardurilor valide a crescut cu aproximativ 1,7 milioane n perioada aprilie 2005aprilie 2006, ajungnd la un total de 7,8 milioane de carduri, potrivit datelor statistice publicate
de BNR. n anul 2006, creterea pieei a avut un ritm de 158.000 de carduri pe lun. Performana
este superioar anului 2005 cnd s-a nregistrat o cretere de 94.000 de noi carduri pe lun.
Odat cu apariia industriei cardurilor de plat, infractorii au exploatat oportunitatea de a folosi
cardurile pierdute sau furate n scopuri frauduloase. Reembosarea, ca form a contrafacerii, a fost
frecvent folosit de ctre primii falsificatori de cri de credit. Dispunnd de cardurile pierdute sau
furate, aceste persoane au fost capabile s obin informaii valide privind contul i s produc copii
nelimitate de carduri contrafcute prin reembosarea cu informaii valide. Cardurile astfel obinute
puteau fi apoi distribuite global pentru efectuarea tranzaciilor frauduloase.
Abilitatea falsificatorilor de a altera i contraface crile de credit a fost n mare msur
circumscris grupurilor infracionale organizate tradiionale i altor grupri infracionale bine
structurate, atrgnd de partea lor persoane specializate care:
s furnizeze o surs continu de carduri contrafcute sau carduri pierdute/furate pentru a fi
reembosate i alterate cu date de cont valide furate;
s poat obine copii ale chitanelor cu date active ale posesorului de card pentru
reembosare;
s aib acces la echipamentul de reembosat i cunotine tehnice pentru a-l folosi;
s asigure un canal de distribuie sau o reea de curieri pentru tranzacii cu astfel de carduri.
Dac iniial datele privind posesorul de card erau limitate la caracterele embosate pe plasticul
cardului, prin introducerea benzii magnetice pe cardul de credit, bncile/instituiile emitente de
carduri de credit au avut posibilitatea s insereze informaii suplimentare. Odat cu introducerera i
implementarea la scar larg a tehnologiei benzii magnetice, sigurana datelor cardului de credit a
fost semnificativ mbuntit, iar spaiul de aciune pentru activitile de alterare i contrafacere a
cardurilor a fost substanial limitat, fiind accesibil doar anumitor grupuri criminale specializate.
La nceputul anilor '90, situaia a nceput s se schimbe. Proliferarea cardurilor de plastic cu
band magnetic emise pentru telecomunicaii sau n scopuri comerciale, sociale, etc. pentru diverse
companii, precum i accesul - din ce n ce mai puin costisitor - la tehnologia necesar tergerii i
encodrii (scrierii) benzii magnetice au deschis calea unor noi oportuniti infracionale pentru o
mulime de criminali aspirani.
Avnd n vedere pierderile imense nregistrate cauzate prin fraudele cu cri de credit
alterate sau contrafcute, s-au luat msuri pentru ntrirea" elementelor de siguran ale
cardurilor. n acest sens, s-a investit n dezvoltarea i implementare unui cod 6 ("valori") din 3-5
cifre obinut pe baza unui algoritm, care putea fi encodat pe una din nregistrrile (track) benzii
magnetice. Totui, la sfritul anului 1995, au fost descoperite mai multe cazuri n care codurile
CVV/CVC fuseser compromise. Infractorii i-au dat seama c pot captura codul CVV/CVC prin
citirea ntregii benzi magnetice i transferarea informaiei pe un alt card7.
Pe msur ce tehnologia avanseaz, infractorii se perfecioneaz, ncercnd s devanseze
eforturile de prevenire, detectare i combatere a fraudelor cu cri de credit. S-a identificat o nou
generaie a modalitilor de fraudare, semnalndu-se totodat existena unor infractori care

Card Verification Code (CVC)/Card Verification Value (CVV).


Din 1995, skimming-ul (copierea de pe banda magnetic a datelor necesare pentru autorizarea tranzaciei) s-a
intensificat, la jumtatea anului 1997 rata de cretere fiind semnificativ n aproape toate regiunile lumii.
7

exploateaz dezvoltarea tehnologiei pentru o viitoare penetrare i subminare a mijloacelor de aprare


promovate de industria cardurilor.
Din cazuistica instrumentat de organele judiciare, reiese faptul c o parte din reelele
criminale organizate transnaionale, care n trecut i desfurau activitatea n alte domenii (trafic
de autoturisme furate, trafic de fiine umane i chiar traficul de droguri) s-au reorientat, svrind
infraciuni cu cri de credit i prin Internet, sumele de bani obinute n mod ilicit ca urmare a
acestor activiti fiind uneori mult mai mari dect cele obinute anterior.
Factorii care au determinat reorientarea gruprilor criminale ctre infraciuni cu cri de
credit sunt8:
obinerea de ctiguri materiale mari ntr-un timp relativ scurt i cu riscuri relativ mici;
caracterul transfrontalier al infraciunilor face ca instrumentarea acestora de ctre
autoritile unui stat s fie mult mai dificil, ntruct pentru probarea faptelor este nevoie,
de cele mai multe ori, de obinerea unor informaii de la autoritile competente din mai
multe state, pe calea cererilor de asisten juridic internaional, procedur ce este
costisitoare i lent;
accesul facil la echipamente moderne, care permit desfurarea de activiti ilicite
complexe;
posibilitatea deplasrii rapide de pe teritoriul unui stat pe teritoriul altui stat a membrilor
unei grupri criminale, urmrirea activitii desfsurate de ctre acetia fiind de cele mai
multe ori, foarte greu de realizat de ctre autoritile competente.
Principalele moduri de operare folosite de ctre infractori n comiterea fraudelor cu cri de
credit sunt urmtoarele:
1. Furtul de date referitoare la crile de credit prin Internet (Phishing)
Phishing-ul este unul dintre aa-numitele atacuri de inginerie social, fcnd uz de arta
nelciunii. Prin inventarea unei poveti convingtoare, oamenii sunt tentai s ofere foarte
repede propriile date confideniale. Dac, spre exemplu, un infractor, pretinznd a fi un angajat al
companiei de cri de credit, l-ar suna pe posesorul cardului i i-ar spune c, probabil, cardul su
de credit a fost compromis, dar, pentru a fi sigur de acest lucru, trebuie s fie verificate unele
detalii legate de numrul crii de credit i data de expirare a cardului, exist probabilitatea ca
posesorul cardului s ofere acele informaii.
Phishing-ul este creaia mesajelor transmise prin pota electronic (e-mail) i paginilor
web care sunt reproduceri exacte ale unor site-uri existente, pentru a pcli utilizatorii n a supune
spre examinare date personale, financiare sau privind parola.
Acest mod de operare const n crearea de pagini de internet false, care imit paginele
unor instituii financiare cunoscute (de exemplu bnci sau comerciani care efectueaz tranzactii
on-line prin folosirea de cri de credit). Dup ce sunt create, aceste pagini false sunt gzduite la
furnizori de servicii, gratuit sau contra cost, n Romnia sau strintate. Gzduirea se poate face i
neautorizat pe anumite servere sau prin plata acestui serviciu fraudulos cu mijloace de plat
electronic.
Urmtorul pas const n obinerea adreselor de pot electronic ale clienilor acestor
instituii finaciare, care se face fie prin anumite programe specializate fie prin accesarea
neautorizat a unor baze de date ce conin aceste informaii.
Dup ce sunt obinute adresele de pot electronic ale clienilor se trimit acestora mesaje,
ca i cum ar veni de la adevrata institutie financiar a crei pagin a fost falsificat i se cer
clienilor s-i introduc datele referitoare la crile de credit (numrul crii de credit, data
expirrii i codul PIN), sub diverse pretexte.
8

www.politiaromana.ro

Phishing-ul prin e-mail presupune adesea o tehnic simpl de trimitere a unor mesaje tip
spam . Fraudatorii trimit un numr foarte mare de e-mail-uri utilizatorilor de Internet solicitndule s-i actualizeze (update) informaiile despre cont de la bncile lor/emitenii crilor de credit,
serviciile de plat on-line ori site-urile populare de cumprturi. Aceste mesaje spam atenioneaz
asupra faptului c informaiile privind contul au expirat, au fost compromise sau pierdute i c
posesorul contului trebuie s le retrimit urgent companiei.
Adesea, acest e-mail fraudulos apare ca fiind trimis chiar din partea bncii legitime, a
societii de asigurri, a comerciantului sau a companiei cardului de credit. De fapt, identitatea
fraudatorului a fost ascuns n spatele acestor surse credibile, printr-o practic denumit
spoofing, care merge mn n mn cu phishing-ul. Dac reuesc s conving, spammerii vor
ctiga civa clieni.
Astfel de mesaje transmise prin phishing includ adesea link-uri 10 oficiale" (n aparen)
ctre o pagin web. Alteori, prin e-mail i se solicit destinatarului s accepte i s descarce
(download) un anumit fiier.
Prin apsarea link-ului din e-mail, utilizatorul va fi redirecionat ctre un site fals (un
website care este, de fapt, o clon a ntregului site sau numai a paginilor de la care provine
comanda clientului), fiindu-i solicitat numrul crii de credit, numrul contului, codul PIN i
datele de identificare.
Clienii nu au niciun motiv s cread c nu au de-a face cu acea companie de la care ei au
vrut s cumpere bunuri sau servicii, deoarece paginile pe care le-au accesat sunt identice cu cele
ale site-ului real. Site-ul clonat va primi/nregistra detaliile clientului i i va trimite acestuia o
chitan a tranzaciei prin e-mail, ntocmai cum ar fi procedat compania real. Clientul nu
suspecteaz nimic, n timp ce fraudatorii au toate detaliile de care au nevoie pentru a comite
fraude cu cri de credit.
9

2. Skimming-ul (copierea coninutului benzii magnetice)


Activitatea de copiere a datelor valide de pe banda magnetic a cardului fr cunotina
posesorului acestuia, cu intenia de a fi folosite n scopuri frauduloase, poart denumirea de
skimming.
Skimming-ul presupune copierea ntregului coninut al uneia sau al mai multor nregistrri
(track-un), inclusiv codul CVV/CVC, de pe banda magnetic a unui card autentic. Cel care
copiaz datele (skimmer), le poate folosi pentru a falsifica carduri sau le poate vinde altor indivizi
interesai. Mai mult, skimmer-ul poate folosi cardurile contrafcute produse pentru a retrage
numerar sau pentru a cumpra bunuri i/sau servicii ori poate vinde cardurile contrafcute altor
persoane (complici).
Acest mod de obinere a detaliilor bancare ale unui card i are originea n Asia. n timpul
anilor 1993 i 1994, falsificatorii din Asia au nceput s codifice un numr de trei cifre (de tip
CVC, CVV) n cmpul de date nerestricionat de pe banda magnetic a cardurilor contrafcute
pentru a simula existena codului CVC sau CVV.
Primul caz de skimming a fost semnalat n anul 1994, ntr-un club de noapte din
Singapore. La mijlocul anilor '90, fenomenul s-a extins n Malayezia, Hong Kong, Taiwan,
Japonia, indicnd rspndirea prolific a skimming-ului pe teritoriul rilor asiatice.
9

Spamul desemneaz trimiterea masiv i uneori repetat a mesajelor electronice nesolicitate, ctre persoane cu
care expeditorul nu a avut niciodat contact i a cror adres electronic a fost obinut pe ci ilegale. Spammerul
(cel care trimite mesajele nesolicitate) are nevoie de o list de adrese e-mail pentru a-i trimite mesajele. Acestea pot
fi obinute n mod legal sau ilegal. Se consider c o adres este obinut n mod ilicit atunci cnd spammerul
foloseste diferite motoare de cutare pentru a gsi pe Internet adrese valide sau cnd, apelnd la programe speciale,
spammerul utilizeaz diverse combinaii pentru a obine posibile adrese.
10
Legtur ctre un alt site web care poate fi accesat printr-un simplu click pe link-ul respectiv.

Perfecionrile tehnologice rapide au permis infractorilor s sporeasc complexitatea i


capacitatea de memorare a dispozitivelor de skimming, n acelai timp cu reducerea mrimii
acestor dispozitive (devenind astfel foarte greu detectabile).
Skimming-ul reprezint la ora actual un fenomen global i are cea mai nsemnat
contribuie la creterea rapid a fraudei n industria cardurilor bancare, afectnd, de asemenea,
America Latin i Uniunea European. Infractorii de etnie asiatic nu mai sunt singurii care comit
activiti de skimming. Mai mult, dispozitive elctronice disponibile n comer sunt adaptate de
infractori pentru a fi folosite ca dispozitive de skimming. n plus, terminalele PC pot fi furate,
reprogramate sau adaptate i folosite n mod fraudulos pentru copierea datei encodate pe banda
magnetic.
n principal, skimming-ul se bazeaz pe faptul c datele de pe banda magnetic pot
nregistrate i apoi rescrise pe un card - nou sau contrafcut - cu ajutorul unui calculator i a unui
dispozitiv de rescris banda magnetic a cardurilor.
Dac un card astfel contrafcut este trecut printr-un terminal POS sau este introdus n
fanta cititorului de card ATM, n cazul n care contul este valid, emitentul nu va fi n msur s
determine dac tranzacia este fals, deoarece codul CVC1 sau CVV1 este citit mpreun cu alte
date coninute de banda magnetic i transmis electronic n timpul procesului de autorizare pentru
a fi comparat cu cel nregistrat de ctre emitent.
Dac codurile corespund i celelalte condiii sunt validate, atunci tranzacia este aprobat.
Dac nu corespund, autorizaia nu este transmis, iar tranzacia va fi refuzat. Prin skimming este
copiat att codul CVC1 sau CVV1, ct i orice alte informaii nregistrate; sistemele bancare nu
pot s fac diferena, pe baza acestor informaii, ntre cardurile originale i cele contrafcute prin
rescrierea benzii magnetice.
n ultimii cinci ani, dispozitivele de skimming au devenit cele mai populare mijloace
pentru obinerea informaiilor privind contul ataat unui card autentic. Dispozitivele de skimming
pot varia n ceea ce privete dimensiunea, ns toate prezint o fant prin care se trece cardul
pentru a copia informaiile coninute pe banda magnetic. Cu toate c unele dintre aceste
dispozitive sunt mai mici dect un pachet de igri, majoritatea au suficient spaiu de memorare
pentru a stoca datele coninute de peste 2.000 de carduri. Datele stocate n memoria intern pot fi
apoi descrcate ntr-un calculator, precum un laptop, un notebook sau uneori, un palmtop.
Dispozitivele de skimming pot fi clasificate n hand skimmers 11 (manuale) i ATM/POS
skimmers (montate la ATM-uri i la punctele de vnzare) 12. La cele din urm, se mai face
11

Datele de pe banda magnetic sunt copiate atunci cnd cardul este nmnat de ctre posesor unei alte persoane,
n timpul unei tranzacii obinuite (spre exemplu, plata alimentrii cu carburant). Fptuitorul trebuie s se afle
temporar n posesia cardului. Dispozitivele utilizate pentru acest tip de skimming, denumite hand skimmers, sunt de
dimensiuni reduse i pot aprea sub diverse forme, fiind uor de disimulat.
12
Exemplificnd, la data de 21.04.2005, Brigada de Combatere a Crimei Organizate i Antidrog Bucureti s-a
sesizat cu privire la faptul c, n scara nr. 1 a blocului D27, situat n
os. Mihai Bravu, sector 2, a fost instalat un
dispozitiv confecionat artizanal, care a funcionat ca un bancomat (ATM), folosindu-se sigla i caracteristicile de soft
aparinnd unei cunoscute bnci comerciale. n urma verificrilor preliminare s-a stabilit c bancomatul a funcionat
n locaia respectiv, n perioada 15.03-19.04.2005, fiind montat n geamul termopan al uii fixe de acces n bloc, cu
accesare direct din strad. Panoul frontal prezenta toate caracteristicile unui panou autentic de ATM.
Cazul a fost luat in supraveghere de catre D.I.I.C.O.T. - Biroul Teritorial Bucuresti, care a dispus delegarea
poliitilor din cadrul B.C.C.O.A.B., n vederea desfurrii activitilor specifice de cercetare.
n acest sens, s-a stabilit c formalitile derulate de autori n vederea montrii sistemului n scara blocului, au
fost demarate ncepnd cu data de 10.03.2005, cnd la administraia blocului s-au prezentat doi indivizi, care au
incheiat un contract de nchiriere a unui spaiu din scara blocului, n vederea montrii unui bancomat, destinat noilor
bancnote autohtone. Dup ce au asigurat spaiul nchiriat cu panoul termopan i usa de acces asigurat, autorii au
montat i un contor electric n vederea alimentrii cu energie electric a sistemului. Dup instalare, sistemul a
funcionat n locaia respectiv ca un ATM autentic, singura diferen fiind c nu se puteau scoate sume de bani n
numerar, replicnd utilizatorului mesajul c tranzactia nu se poate efectua.

distincia ntre slot skimmers (instalate la fanta de introducere a cardului) 13 i door skimmer
(instalate la dispozitivele de acces ntr-o banc pe baza cardului)14.
Folosirea dispozitivului de skimming la ATM-uri implic uneori folosirea unei camere de
luat vederi miniaturale, care permite vizualizarea codului PIN al crii de credit.
Skimmingul reprezint doar un pas n procesul de contrafacere al crilor de credit i acela
de obinere a datelor de pe banda magnetic i a codului PIN.
3. Contrafacerea crilor de credit
Activitatea de contrafacere a crilor de credit este ulterioar activitilor de obinere a
datelor despre crile de credit i prelucrrii acestora n vederea realizrii cardurilor contrafcute.
Procesul contrafacerii cuprinde urmtoarele etape:
obinerea detaliilor bancare ale unui cont de card;
Prin acest mod de operare s-a urmrit citirea i copierea datelor coninute de banda magnetic a cardurilor
autentice ce erau introduse n acest sistem iar, ulterior, acestea fiind folosite pentru implementarea, pe o banda
magnetic a unui card blank (operaiune de clonare), ce urmau a fi folosite la tranzacii frauduloase, la bancomate din
sistemul bancar. Prin acest sistem, au fost clonate cardurile a circa 60 de posesori, persoane fizice, nregistrndu-se
un prejudiciu de circa 700 milioane lei.
n urma verficrilor efectuate, s-a stabilt c, ncepnd cu data de 20.04.2005, att pe raza mun. Constanta ct i n
Bucureti, au fost efectuate, la diverse ATM-uri, tranzacii frauduloase, unde s-au folosit informaiile obinute prin
sistemul instalat, fiind identificate circa 15 locaii unde existau bancomate care nu erau dotate cu sisteme de
supraveghere. De asemenea, s-a stabilit c tranzaciile frauduloase au vizat titulari de carduri emise de cinci bnci, ai
cror clieni au fost prejudiciai prin compromiterea datelor de pe crile de credit.
n urma unor activiti operative complexe, sub directa supraveghere a unui procuror din cadrul Biroului
Teritorial Bucureti - DIICOT, poliiti din cadrul BCCOAB, au identificat autorii faptei n persoana urmtorilor:
S.L., de 27 de ani, din mun. Constanta, cu domiciliul stabil n Bucureti, fr antecedente penale, absolvent de studii
superioare n domeniul informatic; S.M.A., de 28 de ani, din Bucureti, fr antecedente penale, absolvent de studii
superioare n domeniul mecanic.
Astfel, n baza probelor administrate, au fost identificate 9 adrese, dintre care 5 n Constana i 4 n Bucureti,
unde domiciliau att autorii ct i persoane din anturajul acestora, n legtur cu care existau indicii c sunt implicate
sau au legtur cu fapta.
La data de 30.06.2005, n baza autorizaiilor de percheziie domiciliar, emise de ctre Tribunalul Mun. Bucureti,
s-a procedat la efectuarea descinderilor, simultan n mun. Bucureti i Constana, cunoscndu-se faptul c autorii, cu
toate c figurau cu domiciliul stabil n Bucureti, de circa dou luni de zile locuiau fr forme legale n mun.
Constana, la o adres a unei rude, unde se ascundeau. n urma activitilor desfurate, s-a reuit depistarea lui S.L.
i S.M.A., la o adres din mun. Constana, de unde au fost ridicate n vederea cercetrilor mai multe carduri blank
contrafcute, ce conineau date copiate, aparinnd unor carduri autentice, inclusiv codul PIN, mai multe carduri
autentice de fidelitate, pe care le foloseau pentru implementarea datelor copiate, un dispozitiv de copiere (citire)
carduri, precum i softurile folosite la decriptarea i reinscripionarea datelor de identificare a informaiilor coninute
pe banda magnetic a crilor de credit.
Autorii deineau la domiciliu tehnic de calcul (sisteme PC i Laptop), prin intermediul crora desfurau
activitile ilicite i ineau o eviden strict a cardurilor, dup numrul de cont de card, codul de identificare i
numele titularului. n derularea tranzaciilor frauduloase pe care le efectuau la ATM-uri, pentru disimularea
blancurilor, aplicau pe una din feele acestora o imagine cu grafica specific unei bnci, metod ce era necesar
pentru a nu atrage atenia n momentul retragerii de numerar.
Au fost ridicate i indisponibilizate sumele de 250 milioane lei i 9500 euro, precum i tehnic de calcul (uniti
centrale, laptop-uri, hdd-uri, cd-uri), folosit n activitatea infracional, n valoare total de aproximativ 150
milioane lei.
13
Datele de pe banda magnetic sunt copiate cnd posesorul cardului, fr a avea vreo suspiciune, introduce
cardul n bancomat pentru a efectua o tranzacie obinuit, precum retragerea de numerar. Dispozitivele instalate la
fanta de introducere a cardului sunt denumite slot skimmers. Aceste dispozitive nregistreaz detaliile benzii
magnetice atunci cnd utilizatorul i introduce cardul pentru a iniia o tranzacie.
14
Infractorii utilizeaz dispozitive de skimming la intrrile n sediile instituiilor bancare. Anunul afiat afar l
ndeamn pe posesorul cardului s treac cardul prin dispozitiv (eventual n combinaie cu introducerea codului PIN).
Aceste dispozitive sunt denumite door skimmers. Informaiile privind contul sunt copiate n momentul n care
posesorul i folosete cardul pentru a deschide ua cnd intr n banc.

capturarea codului PIN15;


colectarea datelor obinute (informaiile privind contul ataat cardului de credit i
codul PIN);
falsificarea propriu-zis (rescrierea datelor fraudulos obinute pe alte carduri de
plastic care conin o band magnetic).
n funcie de destinaia lor, pot fi ntlnite urmtoarele tipuri de carduri contrafcute:
carduri blank (albe), ce conin doar date inscripionate pe banda magnetic; carduri care au
contrafcut parial sau total suportul de plastic, fr scrierea/rescrierea benzii magnetice; carduri
contrafcute total.
Datele copiate ilegal referitoare la contul ataat cardului de credit sunt, n final, encodate
pe banda magnetic a unui card de credit contrafcut sau, mai simplu, pe un card de plastic
prevzut cu o band magnetic.
Reencodarea datelor pe banda magnetic presupune folosirea unor programe speciale i a
unor dispozitive de rescriere a benzii magnetice. Dispozitivele respective pot varia n ce privete
modul de construcie i design-ul, dar sunt prevzute ntotdeauna fie cu o fant prin care este
trecut cardul, fie cu un orificiu de introducere a cardului. Ele permit citirea datelor existente pe o
band magnetic, precum i scrierea informaiilor pe banda magnetic a cardului. Dispozitivul va
fi ataat la un calculator pentru a face posibil vizualizarea informaiilor i modificarea acestora
cu ajutorul tastaturii.
Cnd informaia este citit de pe card, o copie a acesteia este memorat de dispozitiv i
poate fi copiat pe orice alt card de plastic care conine band magnetic. Astfel, falsificatorii pot
produce cteva carduri cu aceleai informaii.
Legislaia romn n domeniul fraudelor cu cri de credit adoptat n ultimii ani statueaz
un cadru modern pentru incriminarea acestui gen de infraciuni. Legea special n materie este
Legea nr. 365/2002 privind comerul electronic, act normativ care reuete s defineasc o serie
de termeni tehnici specifici acestui domeniu, reglementnd n acelai timp efectuarea operaiunilor de
pli fr numerar prin intermediul mijloacelor electronice.
Pe de alt parte, textul de lege prevede ca infraciuni anumite fapte svrite n legtur cu
emiterea i utilizarea instrumentelor de plat electronic i cu utilizarea datelor de identificare n vederea
efecturii de operaiuni financiare, dup cum urmeaz: falsificarea instrumentelor de plat electronic i
punerea n circulaie, n orice mod, a instrumentelor de plat electronic falsificate sau deinerea
lor n vederea punerii n circulaie (art.24)16, deinerea de echipamente n vederea falsificrii
instrumentelor de plat electronic (art.25)17, falsul n declaraii n vederea emiterii sau utilizrii
instrumentelor de plat electronic (art.26)18, efectuarea de operaiuni financiare n mod fraudulos
(art.27)19 i acceptarea operaiunilor financiare efectuate n mod fraudulos (art.28)20.
15

Dintre tehnicile folosite de infractori pentru capturarea codului PIN, cele mai uzitate sunt: supravegherea fizic
peste umr, utilizarea unor camere video miniaturale, ntrebuinarea unor pad-uri (tastaturi) pentru PIN false, ATM-ul
fals sau carcasa exterioar a ATM-ului fals.
16

Falsificarea unui instrument de plat electronic se pedepsete cu nchisoare de la 3 la 12 ani i interzicerea


unor drepturi. Cu aceeai pedeaps se sancioneaz punerea n circulaie, n orice mod, a instrumentelor de plat
electronic falsificate sau deinerea lor n vederea punerii n circulaie.
17
Fabricarea ori deinerea de echipamente, inclusiv hardware sau software, cu scopul de a servi la falsificarea
instrumentelor de plat electronic se pedepsete cu nchisoare de la 6 luni la 5 ani.
18
Declararea necorespunztoare adevrului, fcut unei instituii bancare, de credit sau financiare ori oricrei alte
persoane juridice autorizate n condiiile legii s emit instrumente de plat electronic, n vederea emiterii sau
utilizrii unui instrument de plat electronic, pentru sine sau pentru altul, atunci cnd, potrivit legii ori
mprejurrilor, declaraia fcut servete pentru emiterea sau utilizarea acelui instrument, se pedepsete cu nchisoare
de la 3 luni la 2 ani sau cu amend.

Comerul electronic a nceput s se dezvolte puternic n ultima perioad de timp i n


Romnia, att n ceea ce privete site-urile de comer electronic, folosirea de instrumente de plat
electronic (cri de credit) ct i a numrului de persoane care achizitioneaz produse prin acest
sistem. Ca o consecin a acestor mutaii, se remarc o tendin de specializare continu a
infractorilor, att asupra activitilor desfaurate n cadrul activitii infracionale, dar i din punct
de vedere tehnic, pentru identificarea de noi moduri de operare: licitaii frauduloase, folosire de
site-uri false de escrow, site-uri de transport, site-uri de comer electronic, site-uri de phishing,
ascunderea urmelor prin Internet i a circuitului produsului financiar.
O parte dintre activitile infracionale sunt iniiate din Romnia, dar vizeaz victime din
strintate sau sunt finalizate n strintate, unde se ridic produsul financiar. Autorii folosesc n
comiterea acestor fapte sisteme de plat rapide oferite prin Internet (sistem escrow, conturi de
paypal, conturi e-gold, conturi de internet-banking) sau sisteme de transfer rapid de bani.
Cele mai active zone ale rii, n ceea ce privete comiterea acestui gen de fapte sunt:
Bucureti, Alexandria, Rmnicu-Vlcea, Craiova, Timioara, Iai, Sibiu i Constana.
Tranzacii e-Commerce 3-D Secure
Pentru micorarea numrului de fraude on-line i creterea ncrederii n plile on-line
VISA a dezvoltat protocolul 3-D Secure care permite autentificarea deintorului de card n
tranzaciile electronice.
Datorit asemnrilor cu protocolul de MasterCard SecureCode
dezvoltat MasterCard acest protocol este denumit frecvent 3-D Secure
MasterCard SecureCode. JCB International a adoptat de asemenea acest
protocol numit J/Secure.
Avantajele acestui protocol sunt22:
reprezint un standard global pentru autentificarea plailor la distan
reduce expunerea la riscul operaional i minimizeaz refuzurile la plat
(chargebacks) ca urmare a utilizrii neautorizate ca cardurilor
poate fi implementat fr a-i fi necesare deintorului de card echipamente specializate
(hardware sau software)
poate fi completat de ctre emitentul cardului astfel nct s satisfac cerinele de securitate i
de gestionare a clienilor fr a avea imact asupra acceptatorului sau comerciantului
21

19

Efectuarea uneia dintre operaiunile prevzute la art.1, pct. 10 din Legea nr. 365/2002 privind comerul
electronic, prin utilizarea unui instrument de plat electronic, inclusiv a datelor de identificare care permit utilizarea
acestuia, fr consimmntul titularului instrumentului respectiv, se pedepseste cu nchisoare de la 1 la 12 ani. Cu
aceeai pedeaps se sancioneaz efectuarea uneia dintre operaiunile prevzute la art.1, pct.10, prin utilizarea
neautorizat a oricror date de identificare sau prin utilizarea de date de identificare fictive. Cu aceeai pedeaps se
sancioneaz transmiterea neautorizat ctre alt persoan a oricror date de identificare, n vederea efecturii uneia
dintre operaiunile prevzute la art.1, pct.10.
20
Acceptarea uneia dintre operaiunile prevzute la art.1, pct. 10, cunoscnd c este efectuat prin folosirea unui
instrument de plat electronic falsificat sau utilizat fr consimmntul titularului su, se pedepsete cu nchisoare
de la 1 la 12 ani. Cu aceeasi pedeaps se sancioneaz acceptarea uneia dintre operaiunile prevzute la art.1, pct.10,
cunoscnd c este efectuat prin utilizarea neautorizat a oricror date de identificare sau prin utilizarea de date de
identificare fictive.
21
Vezi siteul VISA: https://partnernetwork.visa.com/vpn/global/category.do?
userRegion=1&categoryId=85&documentId=117
22
3-D Secure System Overview PDF (531KB) , Aprilie 2007, accesat n data de 03.03.2008, Capitolul 3-D Secure
Protocol Feauters, pagina 19, ,https://partnernetwork.visa.com/vpn/global/retrieve_document.do?
documentRetrievalId=119

poate fi extins pentru inglobara n canale alternative de plat cum ar fi telefoane mobile,
PDA-uri i televiziune digital
este bazat pe standarde tehnice acceptate global dezvoltate de organisme internaionale de
standardizare cum ar fi Internet Engineering Task
Force (IETF)
Acesul la arhivarea centralizat a modului de autentificare a tranzaciilor util n reconcilierea
disputelor
Termenul de 3-D Secure vine de la cele 3 domenii de securitate n care a fost mprit
procesul de autorizare financiar (Acquirer Domain = comerciantul, Issuer Domain = banca
emitent a cardului implicat n tranzacie i Interoperability Domain = VISA/Master Card/JCB
International n funcie de card) vezi figura de mai jos23.

Cele 3 deomenii de securitate

23

3-D Secure Introduction format PDF (702KB) , Aprilie 2007, accesat n data de 03.03.2008,
https://partnernetwork.visa.com/vpn/global/retrieve_document.do?documentRetrievalId=118

Etapele unei tranzacii, aa cum este implementat n Romania de ctre ROMCARD SA,
sunt:

Etapele unei tranzacii 3-D Secure

Pasul 1: cumprtorul alege de pe situl magazinului on-line produsele sau serviciile dorite i
completeaz formularul de comand.
Pasul 2: Serverul magazinului trimite ctre ROMCARD SA solicitarea de autorizare a unei plai.
Serverul ROMCARD valideaz seria i tipul cardului. Cererea de autentificare este
trimis prin intermediul serverelor VISA, MasterCard sau JCB International care verifica
existena unui mod de autentificare ctre banca emitent a cardului. Aceasta autentific
pltitorul (deintorul de card) i ntoarce un code de autorizare sau de eroare.
n acest pas, dup trimiterea codului de autorizare suma tranzaciei este blocat, pentru
maxim 30 de zile, n contul deintorului de card.
Pasul 3: Magazinul on-line trimite produsele sau serviciile tranzacionate.
Pasul 4: Dup confirmarea livrrii comenzii, magazinul on-line poate solicita ncasarea sumei
blocate, n caz contrar poate solicita napoierea total sau parial a sumei blocate.
Pasul 5: sumele autorizate sunt transferate n banca magazinului on-line.
ncepnd cu data de 20 martie 2004 ROMCARD 24 SA a lansat protocolul 3-D Secure
MasterCard SecureCode, primele bnci nrolate fiind Banca Comercial Romn, Raiffeisen
Bank, Banca Comercial "Ion IRIAC" i Alphabank Romnia.
Proiectul 3D Secure realizat de ROMCARD SA a fost proiect pilot n regiunea VISA CEMEA i
n regiunea MasterCard SAMEA. Rezultatul acestei nalte performane: Romnia este prima ar
n aceast regiune a Europei capabil de a procesa tranzacii cu carduri bancare n completa
conformitate cu ultima tehnologie Internet care este protocolul 3D Secure. Primele magazine online participante n aceast faz pilot sunt: www.farmaline.ro, www.novatravel.ro,
www.tourneo.ro.

24

Siteul ROMCARD S.A. accesat n data de 03.03.2008, http://www.romcard.ro/nou/tds.php