Autentificarea în doi pași (2FA): cum îți blindezi conturile bancare
Parola singură nu îți mai apără banii. Un atacator care îți află parola de la internet banking sau de la email poate goli un cont în câteva minute, mai ales dacă acel email este și cheia de resetare pentru toate celelalte conturi. Aici intervine autentificarea în doi pași (2FA, de la „two-factor authentication") sau, mai exact, autentificarea cu mai mulți factori: pe lângă ceva ce știi (parola), adaugi ceva ce ai (telefonul, o cheie fizică) sau ceva ce ești (amprenta, fața).
Vestea bună e că la bancă, în România, 2FA nu mai e opțional. Din 2019, regulamentul european PSD2 impune autentificarea strictă a clienților (SCA) pentru plățile online și accesul la cont. Practic, banca te obligă deja la doi factori. Vestea mai puțin bună: nu toți factorii sunt la fel de siguri, iar cele mai multe fraude din 2025 din România nu sparg 2FA, ci te păcălesc pe tine să-l aprobi singur.
De ce SMS-ul nu mai e suficient
Mulți români primesc încă pe SMS codul de autorizare a tranzacției. Funcționează, dar e cel mai slab dintre toți factorii „posesie", din câteva motive concrete:
- SIM swap (clonarea numărului). Un escroc convinge operatorul telecom să-ți mute numărul pe cartela lui, apoi primește el codurile tale. Atacurile de tip SIM swap au o rată de succes raportată surprinzător de mare în studiile internaționale, iar tu rămâi fără semnal exact când îți golesc contul.
- Interceptarea pe rețea (SS7). Protocolul vechi care rutează SMS-urile între operatori are defecte de proiectare cunoscute, care permit redirecționarea mesajelor.
- Phishing în timp real. Un site fals îți cere parola și codul SMS, le preia instantaneu și le folosește pe site-ul real înainte să expire. Codul de pe SMS nu „știe" pe ce site îl tastezi.
Tendința la nivel global e clară: tot mai multe țări elimină treptat SMS-ul ca metodă de autentificare pentru servicii financiare. În UE, PSD2 acceptă încă SMS-ul ca factor, dar reglementatorii și băncile împing spre metode mai sigure. Concluzia practică: dacă banca ta îți oferă o alternativă (aplicația băncii cu aprobare biometrică, un token în aplicație sau o cheie fizică), folosește-o în locul SMS-ului.
Ierarhia metodelor 2FA, de la cea mai slabă la cea mai puternică
1. SMS / cod pe email (acceptabil, dar evită-l dacă poți)
Mai bun decât nimic. Folosește-l doar când nu ai altă opțiune. Codul pe email e și mai riscant, fiindcă dacă emailul e compromis, cade și al doilea factor.
2. Aplicație de autentificare (TOTP) — un standard solid
Aplicații precum Google Authenticator, Microsoft Authenticator, Authy sau Aegis (open-source, Android) generează un cod de 6 cifre care se schimbă la fiecare 30 de secunde, calculat local pe telefon, fără semnal sau internet. Avantajul față de SMS: nu trece prin rețeaua telecom, deci scapi de SIM swap și de interceptarea SS7. Limita: codul tot poate fi „furat" pe un site fals de phishing, fiindcă tu îl tastezi manual.
3. Aplicația băncii cu aprobare în telefon (cel mai folosit în RO)
Cele mai multe bănci românești îți cer să confirmi tranzacția direct în aplicația mobilă, cu amprenta, fața sau un cod PIN. E comod și sigur dacă ești atent la ce aprobi — și exact aici se nasc cele mai multe fraude din 2025 (vezi mai jos).
4. Passkeys / chei de securitate FIDO2 (cel mai sigur)
Passkeys și cheile fizice (YubiKey, Google Titan) folosesc criptografie legată de adresa exactă a site-ului. Telefonul sau cheia verifică criptografic dacă ești pe site-ul real înainte să răspundă; pe un site fals, pur și simplu refuză. De aceea sunt numite „rezistente la phishing": un cod nu poate fi furat și reutilizat. Companii mari care au trecut la chei de securitate au raportat zero compromiteri de cont prin phishing. În 2026, tot mai multe servicii (Google, Microsoft, Apple, unele bănci) acceptă passkeys pentru email și conturi.
Cum activezi 2FA, pas cu pas
La bancă
- Verifică dacă folosești aplicația oficială a băncii (descărcată din App Store / Google Play, niciodată dintr-un link primit pe SMS sau email).
- Activează aprobarea biometrică (amprentă / Face ID) în setările aplicației, în loc de cod pe SMS, acolo unde banca permite.
- Setează un plafon zilnic de plăți mic, pe care îl ridici manual când chiar ai nevoie. O limită de, să zicem, 2.000 lei/zi reduce dramatic paguba dacă cineva îți aprobă o plată din greșeală.
- Activează notificările push pentru orice tranzacție, ca să vezi imediat o plată suspectă.
La email (la fel de important ca banca)
Emailul e „inelul care le conduce pe toate": cine îl controlează poate reseta parolele la bancă, broker, criptomonede. Tratează-l ca pe un seif:
- Intră în setările de securitate (la Gmail: Manage your Google Account → Security) și activează verificarea în doi pași.
- Alege ca metodă principală o aplicație de autentificare sau un passkey, nu SMS-ul.
- Salvează codurile de rezervă (backup codes) într-un loc sigur, offline — îți rămân ca plasă de siguranță dacă pierzi telefonul.
- Folosește un manager de parole ca să ai o parolă unică, lungă, pe fiecare cont.
Capcana din 2026: aprobarea pe care o dai chiar tu
În România, cele mai costisitoare fraude din ultima vreme nu „sparg" 2FA — te conving pe tine să apeși „Aprob". Asociația Română a Băncilor și BNR au avertizat în 2025 despre scheme în care escrocii sună sau scriu pretinzând că sunt de la bancă, ANAF, CNAS sau chiar de la BNR, invocând o „rambursare de TVA", o „verificare" sau o „tranzacție suspectă". Te roagă să instalezi o aplicație de screen sharing (de tip AnyDesk/TeamViewer) sau să le dictezi codul, apoi inițiază ei plata, iar tu o autorizezi crezând că o blochezi.
Reguli de aur care te apără mai bine decât orice tehnologie:
- Citește mesajul de aprobare, nu doar suma. Aplicația băncii îți arată beneficiarul și suma. Dacă nu recunoști plata, respinge.
- Niciun cod, niciodată, nimănui. Banca, ANAF sau BNR nu îți cer la telefon parola, codul de autorizare, CVV-ul sau să le instalezi vreo aplicație de control la distanță.
- Nu da clic pe linkuri din SMS/email. Intră în aplicația băncii sau scrie singur adresa în browser.
- Verifică sursa. BNR comunică oficial doar prin bnr.ro, bnro.ro și conturile sale verificate de pe rețelele sociale — nu prin apeluri care îți cer date sau bani.
- Dacă ai aprobat ceva dubios: blochează imediat cardul și aplicația din app, sună la banca ta și contestă tranzacția cât mai repede.
Pe scurt
- Activează 2FA peste tot, dar mai ales la email și bancă.
- Renunță la SMS în favoarea aplicației de autentificare, a aprobării biometrice din app sau a unui passkey.
- Setează un plafon zilnic și notificări la fiecare plată.
- Cel mai vulnerabil factor ești tot tu: citește ce aprobi și nu da niciodată codul sau acces la distanță cuiva care te sună „de la bancă".
Detaliile de activare diferă de la o bancă la alta și se mai schimbă. Verifică pașii exacți în secțiunea de securitate de pe site-ul oficial al băncii tale și informațiile de pe bnr.ro.