Banca Naţională a României atrage atenţia utilizatorilor de servicii de plată că elementele de securitate personalizate trebuie păstrate în condiţii de siguranţă, iar în cazul în care titularul instrumentului de plată a transmis elementele de securitate personalizate unor terţe persoane acesta este în culpă în situaţia producerii unei fraude, iar prestatorul serviciilor de plată nu poate fi obligat să suporte eventualul prejudiciu.
„BNR, în exercitarea atribuţiilor legale ce îi revin, monitorizează în mod permanent evoluţiile din domeniul plăţilor, urmărind respectarea de către prestatorii de servicii de plată a cerinţelor operaţionale şi de securitate aferente serviciilor de plată. În acest sens, banca centrală a emis în decembrie 2021 un comunicat prin care a avertizat utilizatorii serviciilor de plată cu privire la fraudele ce se bazează pe inginerii sociale (phishing) şi la necesitatea păstrării în condiţii de siguranţă a elementelor de securitate aferente instrumentelor de plată„, se spune în comunicat.
Instituţia menţionează că în ultima perioadă au fost observate noi tipologii/scenarii de fraude prin manipularea plătitorului, care vizează instrumentele de plată de tip card, internet banking sau mobile banking. În cele mai multe cazuri, utilizatorii serviciilor de plată sunt induşi în eroare de către atacatori şi, sub diverse pretexte înşelătoare – de exemplu necesitatea de actualizare a datelor personale, notificarea privind blocarea conturilor sau a instrumentelor de plată, obţinerea de informaţii legate de carduri de către falşi cumpărători de bunuri sau servicii postate pe platformele de anunţuri online – sunt convinşi să divulge elemente de securitate personalizate ale instrumentelor de plată pe care le deţin, informaţii ce sunt folosite ulterior pentru accesarea conturilor victimelor şi sustragerea fondurilor acestora.
În acest context, BNR atrage din nou atenţia utilizatorilor de servicii de plată asupra faptului că elementele de securitate personalizate aferente instrumentelor de plată (datele cardului, codul PIN, codul CVV/CVC, codurile de activare ale aplicaţiilor de internet/mobile banking, parolele statice sau dinamice, codurile de înrolare ale cardurilor în aplicaţii de tip portofel electronic) reprezintă informaţii care, potrivit legii, trebuie păstrate în condiţii de siguranţă. Aceste informaţii au caracter confidenţial şi nu sunt niciodată solicitate de către emitentul instrumentului de plată sau de către o altă autoritate.
Conform BNR, divulgarea acestor informaţii către terţe persoane, inclusiv prin accesarea unor site-uri de internet false, care imită din punct de vedere vizual pagina oficială a băncilor emitente a instrumentelor de plată sau a unor instituţii şi autorităţi, reprezintă cel mai important factor de risc care permite atacatorilor să acceseze conturile victimelor, iar ulterior să iniţieze operaţiuni de plată frauduloase.
De asemenea, banca centrală precizează că, potrivit prevederilor legale în vigoare, în cazul în care titularul instrumentului de plată a transmis elementele de securitate personalizate unor terţe persoane şi, ca atare, nu şi-a îndeplinit obligaţia de a păstra în siguranţă a informaţiilor respective, acesta este în culpă în situaţia producerii unei fraude, iar prestatorul serviciilor de plată nu poate fi obligat să suporte eventualul prejudiciu.