Educație · 🔐 Siguranță & fraude · 6 min citire · Actualizat 19 iun. 2026

Phishing și smishing: cum recunoști și eviți țepele online

Un SMS te anunță că ai un colet blocat și trebuie să plătești 2 lei pentru livrare. Un e-mail „de la bancă" îți cere să-ți confirmi datele cardului ca să nu-ți fie suspendat contul. Un mesaj „de la ANAF" te avertizează că ai o amendă neplătită și pune un link la îndemână. Toate au ceva în comun: sunt țepe. Iar în România anul 2025-2026, acest tip de fraudă a explodat: phishing-ul (păcăleala prin e-mail sau site fals) și smishing-ul (aceeași păcăleală, dar prin SMS) sunt printre cele mai frecvente atacuri care golesc conturile oamenilor.

Vestea bună e că aproape toate folosesc aceleași trucuri. Odată ce le recunoști, devii greu de păcălit. Hai să le luăm pe rând.

Ce sunt, de fapt, phishing-ul și smishing-ul

Ideea e simplă și veche de când lumea: cineva se dă drept o instituție în care ai încredere (banca ta, ANAF, un curier, Poșta Română, chiar și Directoratul Național de Securitate Cibernetică) ca să te convingă să faci un gest rapid: să dai click pe un link, să introduci datele cardului, parola sau codul primit prin SMS.

Phishing – mesaje false trimise prin e-mail sau ferestre/site-uri care imită perfect pagina reală a băncii ori a unei instituții.
Smishing – aceeași tactică, dar prin SMS. Adesea mesajul ajunge chiar în firul de conversație legitim al băncii sau curierului (atac de tip „spoofing"), ceea ce-l face foarte credibil.
Vishing – varianta prin telefon: te sună cineva care se prezintă drept angajat al băncii și te presează să-i dai coduri sau să muți banii „într-un cont sigur".

Poliția Română, DNSC și Asociația Română a Băncilor au avertizat repetat asupra fraudei de tip spoofing, în care numărul afișat pare al băncii tale. Regula de aur: nicio bancă reală nu te va suna sau scrie ca să-ți ceară parola, codul PIN, codul din SMS sau să muți banii în alt cont.

Semnale de alarmă: cum recunoști o țeapă

Înainte să dai orice click, caută aceste indicii. Dacă bifezi măcar unul, oprește-te.

Urgență și frică. „Contul tău va fi blocat în 24 de ore", „ai o amendă", „coletul se returnează azi". Scopul e să te grăbească, ca să nu mai gândești.
Linkuri ciudate. Adresa nu e site-ul oficial. Atenție la litere schimbate sau domenii adăugate: bcr-securitate.ro, anaf-plati.com, posta-romana.info în loc de domeniile reale. Ține apăsat pe link (fără să dai click) ca să vezi adevărata adresă.
Cereri de date sensibile. Ți se cer parola, codul PIN, CVV-ul (cele 3 cifre de pe spatele cardului) sau codul de autentificare primit prin SMS. Niciodată legitim.
Greșeli de limbă. Diacritice lipsă, formulări stângace, „Stimate client" fără numele tău.
Expeditor mascat. Numele pare oficial, dar adresa de e-mail reală (cea din paranteze) e una aiurea, pe gmail sau pe un domeniu necunoscut.
Plăți „mici" sau premii. 2 lei pentru un colet, un cont la o loterie, un cadou de la operatorul de telefonie. Suma mică e doar momeala ca să-ți introduci datele cardului.

Exemple concrete văzute în România

SMS „colet curier" – cere o taxă de livrare derizorie și te trimite la o pagină care copiază formularul de plată.
E-mail „ANAF" – te anunță de o rambursare sau o amendă și cere date personale. DNSC a emis alerte oficiale pe acest subiect; ANAF nu cere date de card prin e-mail.
Mesaj „de la bancă" – „tranzacție suspectă, confirmă-ți identitatea aici". Linkul duce la un clon al aplicației de internet banking.
Mesaje false „de la DNSC" sau de la loterii – tocmai instituțiile care te avertizează sunt și ele imitate.

Cum te aperi în practică

Nu da click pe linkuri din mesaje. Intră pe site sau în aplicație tastând tu adresa ori folosind aplicația oficială instalată din magazinul telefonului.
Verifică direct la sursă. Sună la numărul de pe spatele cardului (nu la cel din mesaj) sau folosește datele de contact de pe site-ul oficial.
Activează autentificarea în doi pași oriunde se poate și nu transmite nimănui codurile primite prin SMS sau prin aplicație.
Setează limite și alerte pentru tranzacții, ca să primești notificare la fiecare plată.
Nu instala aplicații recomandate prin telefon de un „operator" și nu oferi acces de la distanță (AnyDesk, TeamViewer) cuiva care te-a sunat.
Ține telefonul și calculatorul actualizate și folosește o soluție de securitate.

Ce faci dacă ai dat deja datele

Dacă realizezi că ai introdus datele cardului, parola sau un cod, acționează imediat. Fiecare minut contează.

Sună urgent la bancă (numărul de pe spatele cardului) și cere blocarea cardului și a contului. Poți face asta de obicei și din aplicație: opțiunea de blocare card.
Schimbă parolele la internet banking și la orice cont important, mai ales dacă foloseai aceeași parolă în mai multe locuri.
Contestă în scris tranzacțiile neautorizate la bancă, „fără întârziere nejustificată". Păstrează toate dovezile: capturi de ecran, SMS-uri, e-mailuri, numerele de telefon.
Raportează la DNSC (Directoratul Național de Securitate Cibernetică): sună la 1911, scrie la alerts@dnsc.ro sau completează formularul pe platforma PNRISC (pnrisc.dnsc.ro). DNSC poate bloca domenii frauduloase și emite alerte, dar nu este organ de anchetă penală.
Depune plângere la Poliție dacă ai pierdut bani. Pentru urgențe folosești 112; fraudele informatice se reclamă la poliție/parchet.

Drepturile tale: ce spune legea despre banii furați

La nivel european, protecția ta e dată de Directiva (UE) 2015/2366 (cunoscută drept PSD2), transpusă în România prin Legea nr. 209/2019 privind serviciile de plată. Ce e bine să știi:

Sarcina probei revine băncii. În cazul unei operațiuni de plată pe care o reclami ca neautorizată, banca trebuie să dovedească faptul că tranzacția a fost autorizată de tine sau că ai acționat cu neglijență gravă ori fraudulos.
Rambursare rapidă. Ca regulă, banca trebuie să-ți restituie suma debitată neautorizat și să readucă contul la starea anterioară, în principiu până la sfârșitul zilei lucrătoare următoare notificării. Sunt și excepții (de exemplu suspiciunea de fraudă din partea ta), de aceea contează ce poți demonstra.
Atenție la neglijența gravă. Dacă tu ai oferit voluntar codurile sau parola, banca poate refuza rambursarea invocând neglijența gravă. De aceea nu transmite niciodată coduri.

Pentru cifre, termene și condiții exacte, verifică textul Legii nr. 209/2019 și informațiile oficiale de pe site-ul băncii tale și al BNR (bnr.ro).

Dacă banca refuză sau tergiversează

Reclamație la ANPC (Autoritatea Națională pentru Protecția Consumatorilor) – anpc.ro – pentru încălcarea drepturilor de consumator.
CSALB (Centrul de Soluționare Alternativă a Litigiilor în domeniul Bancar) – csalb.ro – îți oferă gratuit o cale de soluționare amiabilă cu banca, mai rapidă decât instanța (în medie circa două săptămâni). Completezi un formular online.
ASF (Autoritatea de Supraveghere Financiară) – asfromania.ro – dacă disputa privește o societate de asigurări, un broker sau o entitate din piața de capital, nu o bancă.
Instanța – ultima soluție, eventual cu ajutorul unui avocat, dacă negocierea eșuează.

Concluzie: încetinește înainte să dai click

Toate aceste fraude mizează pe viteză și pe frică. Cel mai bun reflex e simplu: când un mesaj te grăbește să faci ceva cu banii sau cu datele tale, oprește-te 30 de secunde, nu da click pe link și verifică direct la sursă. Băncile, ANAF, curierii și instituțiile statului nu-ți cer niciodată parola, PIN-ul sau codul din SMS. Dacă cineva ți le cere, ai în față o țeapă, nu un partener de încredere. Iar dacă ai greșit deja, nu intra în panică: blochezi cardul, anunți banca, raportezi la DNSC și la Poliție și îți cunoști drepturile.

⚠️ Conținut educativ, nu sfat de investiții. Pentru decizii financiare consultă un specialist autorizat.

← Toate articolele