Frauda sintetică de credit: identitate falsă din documente reale
Această lecție tratează frauda sintetică credit identitate falsă de la nivelul unui șef de risc operațional, nu de la cel al unei broșuri de prevenire. Stăpânești deja arhitectura Biroului de Credit, modelul logistic de scoring și mecanica unei cereri; aici intrăm în zona în care fragmentele reale sunt recombinate într-un debitor care nu există juridic, dar trece prin toate filtrele de onboarding. Înțelegerea modului în care se face construirea unei identități false din documente reale este condiția necesară pentru a o detecta — nu aperi o bază de date împotriva unui vector pe care nu îl modelezi cantitativ.
Analizăm synthetic identity fraud așa cum lovește bureauul de credit românesc: CNP valid ca structură dar neasociat unui istoric, nume real cuplat cu telefon controlat de fraudator, plus credit piggybacking care fabrică un thin-file. Acoperim vulnerabilitățile de credit scoring exploatate de fraudele de identitate, un protocol de detecție AI a fraudelor de credit cu reconciliere ANAF în România, apărarea instituțională la fraudele sintetice în biroul de credit și recuperarea după o fraudă de identitate sintetică, când pierderea s-a materializat.
Totul ancorat în România 2026: CNP-ul de 13 cifre cu cifra de control, raportarea la Biroul de Credit, Centrala Riscului de Credit (CRC) a BNR pentru expuneri agregate, fluxul de KYC sub Legea 129/2019 (combaterea spălării banilor), verificarea în REVISAL/Ghișeul.ro a veniturilor declarate la ANAF și pârghiile ASF/BNR de raportare a incidentelor de fraudă. Fără teorie generică — doar mecanica atacului și contramecanica.
Anatomia identității sintetice: de ce e mai periculoasă decât furtul clasic
Furtul de identitate clasic copiază integral o persoană reală. Victima observă, contestă, conturile se îngheață. Identitatea sintetică este structural diferită: combină fragmente reale din persoane diferite cu fragmente fabricate, astfel încât niciun individ real nu primește o alertă. Nu există victimă care să reclame, deci frauda trăiește 18–36 de luni înainte de bust-out, perioadă în care debitorul fals construiește activ un istoric „bun".
Tipologia pe care o modelăm are trei straturi de fragmente:
- Ancora juridică (CNP-ul). CNP-ul românesc are 13 cifre cu o structură deterministă: S (sex/secol), AALLZZ (data nașterii), JJ (județul), NNN (secvențial), C (cifra de control calculată cu ponderile 2-7-9-1-4-6-3-5-8-2-7-9, modulo 11, 10→1). Un fraudator nu inventează cifre la întâmplare: generează un CNP valid ca checksum dar care, la momentul aplicării, nu are istoric de credit asociat. Validarea de checksum trece; validarea de existență reală a persoanei nu se face automat la majoritatea creditorilor non-bancari.
- Ancora reală parazitată. Un nume, o adresă sau un IBAN aparținând unei persoane reale (deseori un minor, un decedat recent sau cineva cu profil financiar inactiv) — toate cu probabilitate mică de a genera o reclamație rapidă.
- Stratul fabricat și controlat. Telefon, e-mail, adresă de corespondență, profil digital — elemente pe care fraudatorul le deține integral, ca să intercepteze orice comunicare de verificare.
Punctul critic teoretic: identitatea sintetică nu este un fals total, ci un vector parțial coerent. Sistemele de detecție construite să prindă inconsistențe (nume care nu se potrivesc cu CNP-ul) eșuează, pentru că fiecare câmp luat individual este verosimil. Detecția trebuie să se mute de la consistența intra-câmp la coerența relațională între câmpuri și în timp — concept pe care îl operaționalizăm mai jos.
Construirea istoricului fals: piggybacking și fabricarea thin-file-ului
Un CNP fără istoric primește scor „no-hit" sau thin-file la Biroul de Credit. Un thin-file nu obține credit mare, deci atacul de valoare necesită fabricarea unui istoric pozitiv înainte de bust-out. Mecanica, descrisă pentru a fi recunoscută defensiv:
- Credit piggybacking — utilizator autorizat. Identitatea sintetică este adăugată ca utilizator autorizat pe un card cu istoric impecabil. La unele scheme de scoring, tradelinul vechi și plătit la timp se reflectă parțial în fișierul sintetic, ridicând brusc vechimea medie a conturilor și utilizarea sub 30%. Un thin-file devine, în 60–90 de zile, un fișier cu „vechime" de ani.
- Seasoning prin micro-credite. Fraudatorul ia produse mici (limită 1.500–3.000 lei la IFN-uri, BNPL, overdraft minor), le plătește perfect 6–12 luni. Vectorul de comportament raportat la BC devine 0-0-0-0-0, semnalul cel mai pozitiv posibil. Modelul logistic, care pune ~35% greutate pe istoricul de plăți, urcă scorul către clasa în care se aprobă limite mari.
- Stacking sincronizat (bust-out). Odată ce scorul atinge pragul, fraudatorul aplică simultan la 8–12 creditori în 24–72 de ore, exploatând fereastra de raportare. Pentru că BC și CRC actualizează cu latență (raportarea nu e în timp real strict), niciun creditor nu vede aplicările concurente ale celorlalți. Toate aprobă pe baza aceluiași scor curat. Apoi conturile sunt trase la maximum și abandonate.
Modelarea pierderii. Fie un fișier sintetic care, după seasoning, atinge un scor ce deblochează expunere medie E = 25.000 lei per creditor. Cu n = 10 creditori stacked și o rată de aprobare în fereastra oarbă p = 0,7, pierderea brută așteptată este E[L] = E × n × p = 25.000 × 10 × 0,7 = 175.000 lei dintr-un singur fișier sintetic. Costul de „construcție" (seasoning, micro-credite plătite, piggybacking) este de ordinul a câteva mii de lei și 12 luni. Raportul pierdere/cost explică de ce vectorul este economic rațional pentru rețele organizate și de ce apărarea trebuie să atace faza de seasoning, nu doar momentul aplicării.
Vulnerabilitățile de credit scoring exploatate de frauda de identitate
Modelul de scoring nu este construit pentru a detecta non-existența persoanei — este construit pentru a estima probabilitatea de default (PD) condiționată de existența debitorului. Asta lasă trei breșe structurale pe care un specialist trebuie să le numească explicit:
1. No-hit tratat ca neutru, nu ca suspect
Un CNP fără istoric primește deseori un scor median (treatment „neutral" sau cu mică penalizare). Un fișier sintetic proaspăt arată exact ca un tânăr la primul credit. Distincția nu se poate face din interiorul modelului de PD; necesită un strat de identity assurance separat de scoring. Eroarea de design: a confunda „risc de credit scăzut din lipsă de date" cu „identitate validată".
2. Greutatea exponențială pe istoricul recent
Modelul premiază un șir de plăți curat recent. Fraudatorul fabrică exact acest semnal prin seasoning. Cu cât modelul e mai „inteligent" pe comportament recent, cu atât e mai ușor de mimat: semnalul cel mai predictiv pentru un debitor real (plată impecabilă) este și cel mai ieftin de fabricat pentru unul sintetic. Apărarea cere o caracteristică antifragilă: variabile pe care fraudatorul nu le controlează (vechimea reală a CNP-ului în ecosistem, corelația cu venit declarat la ANAF).
3. Latența de raportare (velocity blind spot)
Fereastra dintre aplicare și actualizarea BC/CRC permite stacking-ul. Cuantificabil: dacă latența medie de raportare este τ ≈ 24–72 ore, orice debitor care depune ≥ k cereri în fereastra τ are o probabilitate de fraudă mult peste baseline. Această variabilă — velocity-ul de aplicare pe fereastră scurtă — nu apare în scorul standard de PD și trebuie injectată ca semnal de fraudă paralel.
Concluzia de arhitectură: scoringul de credit și scoringul de fraudă sunt două funcții obiectiv diferite. Un fișier poate avea simultan PD scăzut (pare bun debitor) și probabilitate de fraudă mare (pare construit). Instituțiile care le colapsează într-un singur scor pierd sistematic pe sintetic.
Protocol de detecție AI: de la consistența câmpurilor la coerența relațională
Detecția modernă abandonează regulile rigide („nume ≠ CNP → respinge") și trece la trei familii de modele care se aplică în cascadă. Le prezint cu logica de feature engineering, nu ca cutie neagră.
A. Graf de identitate (entity resolution)
Se construiește un graf în care nodurile sunt entități (CNP, telefon, e-mail, IBAN, adresă, device fingerprint) și muchiile sunt co-apariții în cereri. Identitatea sintetică produce semnături topologice anormale:
- Fan-out anormal: un singur număr de telefon sau o singură adresă conectată la k CNP-uri distincte. La populația legitimă, distribuția e aproape 1:1; un nod cu grad ≥ 5 este outlier cu z-score ridicat.
- Componente dense parazite: rețele de fraudă reutilizează elemente (același device, aceeași adresă de corespondență). Algoritmi de community detection (Louvain, connected components) izolează clustere în care raportul muchii/noduri depășește pragul așteptat pentru clienți independenți.
- Recombinare de fragmente: CNP-ul A apare cu telefonul lui B, care apare cu adresa lui C — un lanț care, în populația reală, are probabilitate aproape nulă.
B. Model supervizat pe trăsături antifragile
Peste graf rulează un clasificator (gradient boosting / rețea pe embeddings de graf) antrenat pe etichete confirmate de fraudă. Trăsăturile cu putere discriminantă mare, alese deliberat să fie greu de fabricat:
- Vechimea reală a CNP-ului în ecosistemul de date (prima apariție vs. acum) — un CNP „nou-născut" la 40 de ani biologici e suspect.
- Coerența venit declarat: salariul afirmat în cerere vs. baza ANAF/REVISAL. O discrepanță sistematică (venit declarat mare, zero contribuții la CNPP) e semnal puternic.
- Velocity de aplicare pe fereastra τ (cereri concurente).
- Profilul digital: vechimea e-mailului, reputația device fingerprint-ului, geolocația IP vs. adresa declarată.
- Entropia datelor: identitățile sintetice au deseori câmpuri „prea curate" — fără variațiile naturale ale unei vieți reale (mutări, schimbări de telefon).
C. Reconciliere instituțională ANAF/CNPP
Pasul care rupe seasoning-ul. Un fișier sintetic poate fabrica istoric de credit, dar nu poate fabrica ușor contribuții sociale reale. Cross-check-ul venit-declarat-în-cerere vs. venit-impozabil-la-ANAF și contribuții-la-CNPP transformă un fișier „curat" la BC într-un fișier suspect. Operațional: un debitor care declară 8.000 lei/lună net dar are zero raportări în REVISAL și zero contribuții CAS/CASS în ultimele 12 luni are o probabilitate de fraudă sintetică ridicată, indiferent cât de bun îi este scorul de comportament.
Calibrarea pragului: detecția de fraudă are un trade-off precision/recall acut. Fiecare alertă fals-pozitivă blochează un client real (cost comercial); fiecare fals-negativ trece o pierdere de ~25.000 lei. Fie costul unui fals-pozitiv c_FP (client pierdut, ~câteva sute de lei valoare prezentă) și al unui fals-negativ c_FN ≈ 25.000 lei. Pragul optim de scor de fraudă θ* se setează acolo unde rata marginală de fraudă prinsă × c_FN = rata marginală de clienți buni blocați × c_FP. Cu raportul c_FN/c_FP ≈ 50–100, pragul se împinge agresiv către recall — preferi să blochezi mai mult, pentru că un singur fals-negativ stacked costă cât sute de fricțiuni comerciale.
Apărarea instituțională la nivel de bază de date a biroului de credit
Detecția per-cerere nu e suficientă; rețelele sintetice se văd doar la nivel de sistem. Apărarea de bază de date are patru piloni pe care un arhitect de risc îi implementează:
- Velocity layer în timp aproape-real. Compensarea latenței de raportare: un strat de aplicări „pending" partajat (sub mecanismele permise legal între creditori și BC) care marchează un CNP aplicat la ≥ k creditori în fereastra τ. Asta închide blind spot-ul de stacking, atacând faza cea mai profitabilă a fraudei.
- Suppression list pe fragmente, nu pe identități. Când o fraudă e confirmată, nu doar CNP-ul intră pe listă, ci toate fragmentele (telefon, IBAN, device, adresă de corespondență). Pentru că rețelele recombină fragmente, blocarea pe fragment otrăvește zeci de identități sintetice viitoare construite din aceleași piese.
- Monitorizare de seasoning. Modele care urmăresc traiectoria unui fișier nou: un CNP no-hit care, în 6–12 luni, urcă liniar prin micro-credite perfect plătite și apoi accelerează aplicările — pattern de bust-out. Alerta se aprinde înainte de stacking, nu după.
- Feedback loop etichetat. Fiecare bust-out confirmat re-antrenează clasificatorul. Frauda sintetică e adversarială: atacatorii își adaptează tehnica, deci modelul are nevoie de re-etichetare lunară, altfel degradează în 2–3 trimestre.
Cadrul legal care permite și obligă aceste schimburi: Legea 129/2019 (KYC/AML) impune verificarea identității clientului; GDPR și regulamentul Biroului de Credit permit prelucrarea pentru prevenirea fraudei ca interes legitim, cu proporționalitate; raportarea incidentelor de fraudă majoră către BNR/ASF este parte din obligațiile prudențiale. Apărarea de bază de date trebuie proiectată să fie conformă by-design — un model care blochează un client real fără bază legală generează el însuși risc juridic.
Recuperarea după frauda de identitate sintetică: când pierderea s-a materializat
Spre deosebire de furtul clasic, recuperarea într-o fraudă sintetică e dominată de o întrebare grea: cine e victima? Frecvent, persoana reală al cărei nume a fost parazitat descoperă un credit pe care nu l-a luat. Protocolul de recuperare are două fronturi.
Frontul persoanei reale parazitate
- Plângere penală pentru fals în înscrisuri și fraudă informatică — atenție, identitatea sintetică nu e furt clasic, încadrarea trebuie precizată corect.
- Notificare scrisă către fiecare creditor și către Biroul de Credit cu cerere de blocare și de rectificare a datelor (dreptul GDPR de rectificare/ștergere a datelor inexacte). Tradelinul fraudulos trebuie scos din fișierul tău, altfel îți distruge scorul real.
- Verificarea CRC a BNR pentru expunerile mari raportate pe numele tău și contestarea lor.
- Monitorizare de control: cerere periodică a raportului propriu (gratuit o dată pe an) pentru a depista reutilizarea fragmentului tău în identități noi.
Frontul instituției păgubite
- Triaj rapid sintetic vs. clasic: dacă nicio persoană reală nu reclamă și fragmentele sunt recombinate, recuperarea prin victimă e iluzorie — pierderea e net charge-off, nu recuperabilă de la un debitor inexistent.
- Atribuire la rețea: legarea fișierului bust-out de cluster prin graful de identitate, pentru a identifica și îngheța celelalte fișiere ale aceleiași rețele înainte ca ele să facă bust-out.
- Raportare și partajare a indicatorilor de compromis (fragmente otrăvite) către sistem, transformând o pierdere într-un imunizator colectiv.
Checklist operațional de specialist
- Separă cele două scoruri. Nu colapsa PD-ul de credit cu probabilitatea de fraudă într-un singur număr — sunt funcții obiectiv distincte; un fișier poate fi „bun debitor" și „construit" simultan.
- Tratează no-hit-ul ca suspect, nu ca neutru, până la validare de identitate independentă de scoring.
- Injectează velocity-ul de aplicare pe fereastra τ (≥ k creditori în 24–72 ore) ca semnal de fraudă paralel — închide blind spot-ul de stacking.
- Construiește graful de identitate și monitorizează fan-out-ul (telefon/IBAN/adresă cu grad ≥ 5) și componentele dense parazite.
- Ancorează în trăsături antifragile: vechimea reală a CNP-ului, coerența venit-cerere vs. ANAF/CNPP, contribuții CAS/CASS reale — semnale pe care fraudatorul nu le poate fabrica ieftin.
- Reconciliază cu ANAF/REVISAL: venit declarat fără contribuții sociale = red flag, indiferent de scorul de comportament.
- Setează pragul către recall: cu c_FN/c_FP ≈ 50–100, preferă să blochezi mai mult — un fals-negativ stacked costă cât sute de fricțiuni.
- Otrăvește pe fragment, nu pe identitate: la fraudă confirmată, blochează toate piesele (telefon, IBAN, device, adresă), nu doar CNP-ul.
- Monitorizează seasoning-ul: aprinde alerta pe traiectoria de bust-out (urcare prin micro-credite + accelerare bruscă a aplicărilor) înainte de stacking.
- Re-antrenează lunar: frauda e adversarială; un model neactualizat degradează în 2–3 trimestre.
- Conformitate by-design: orice blocare pe baza Legii 129/2019 + GDPR (interes legitim, proporționalitate); raportează incidentele majore către BNR/ASF.
- Pentru persoana parazitată: plângere penală cu încadrare corectă + rectificare GDPR a tradelinului fals la BC + verificare CRC + monitorizare anuală a fragmentului.