Ce înseamnă „fraudă autorizată” și de ce băncile pierd miliarde când clientul confirmă plata

În imaginarul colectiv, frauda bancară înseamnă de cele mai multe ori un card clonat, o parolă furată, un cont spart sau o tranzacție făcută fără știrea clientului. Este scenariul clasic în care victima nu a apăsat niciun buton, nu a confirmat nimic, nu a autorizat nimic și descoperă ulterior că banii au dispărut. Doar că una dintre cele mai mari probleme ale industriei financiare din ultimii ani este mult mai complicată și mai greu de explicat: frauda autorizată, cunoscută la nivel internațional sub numele de Authorised Push Payment fraud sau APP fraud.

În acest caz, clientul confirmă plata. Introduce codul primit prin SMS, validează tranzacția în aplicația de banking, folosește biometria, apasă pe butonul de transfer și, din punct de vedere tehnic, pare că totul este în regulă. Problema este că decizia de a trimite banii a fost obținută prin manipulare. Clientul crede că își mută banii într-un cont sigur, că achită o factură reală, că investește într-o oportunitate legitimă sau că ajută pe cineva apropiat. În realitate, trimite banii direct către infractori.

Aceasta este marea schimbare de paradigmă: nu mai vorbim doar despre securitate informatică, ci despre inginerie socială, psihologie, presiune, frică, lăcomie, urgență și încredere exploatată. Băncile pot avea aplicații foarte sigure, autentificare biometrică, token-uri, notificări și sisteme antifraudă sofisticate, dar toate acestea devin insuficiente când utilizatorul însuși este convins că plata este legitimă. De aceea, frauda autorizată a devenit una dintre cele mai dureroase forme de fraudă financiară la nivel global.

În Marea Britanie, una dintre piețele unde fenomenul este măsurat foarte atent, UK Finance a raportat pierderi totale din fraudă de peste 1,1 miliarde de lire în 2024, iar frauda de tip APP rămâne una dintre categoriile importante, chiar dacă tacticile infractorilor se schimbă de la an la an. În prima jumătate a lui 2025, pierderile din APP fraud au ajuns la 257,5 milioane de lire, în creștere cu 12% față de aceeași perioadă a anului anterior, deși numărul cazurilor a scăzut. Cu alte cuvinte, atacurile pot fi mai puține, dar mai eficiente și mai scumpe.

Cum funcționează frauda autorizată

Frauda autorizată apare atunci când victima este convinsă să trimită bani din proprie inițiativă către un cont controlat de infractori. Nu contează că plata a fost confirmată printr-un mecanism legitim. Esența fraudei nu stă în spargerea sistemului bancar, ci în compromiterea procesului de decizie al clientului. De aceea, acest tip de atac este atât de greu de prevenit: tranzacția seamănă foarte mult cu una normală.

Un exemplu clasic este apelul de la „bancă”. Victima primește un telefon de la o persoană care pretinde că lucrează la departamentul antifraudă și i se spune că banii sunt în pericol. Pentru a-i proteja, trebuie transferați urgent într-un cont „sigur”. Limbajul este profesionist, numărul de telefon poate părea real, iar atacatorul știe uneori detalii personale obținute din scurgeri de date sau din rețele sociale. Clientul intră în panică și face exact ce i se cere.

O altă formă foarte răspândită este frauda cu facturi. O companie primește un email care pare să vină de la un furnizor cunoscut, cu mențiunea că datele bancare s-au schimbat. Contabilitatea modifică IBAN-ul în sistem, următoarea plată pleacă fără suspiciuni, iar banii ajung la infractori. Într-un astfel de caz, banca vede o plată inițiată de client, către un beneficiar introdus voluntar, în urma unui proces aparent normal.

Mai există fraude romantice, fraude de investiții, fraude cu livrări, fraude cu chirii, fraude cu anunțuri false, fraude cu locuri de muncă și fraude în care atacatorii se dau drept rude aflate într-o urgență. În toate scenariile, mecanismul este același: victima nu este „spartă” tehnic, ci ghidată emoțional către o plată greșită. Tocmai această combinație dintre aparentă legalitate și manipulare face fenomenul atât de periculos.

De ce confirmarea clientului nu mai este suficientă

Multă vreme, logica băncilor a fost relativ simplă: dacă tranzacția nu a fost autorizată de client, banca are o responsabilitate clară; dacă a fost autorizată, responsabilitatea se mută în mare parte către client. În lumea cardurilor furate și a parolelor compromise, această distincție părea rezonabilă. În lumea fraudelor autorizate, devine mult mai tulbure.

Când un client confirmă o plată după ce a fost mințit, amenințat sau manipulat, întrebarea nu mai este doar „cine a apăsat butonul?”, ci „în ce condiții a fost apăsat acel buton?”. Dacă o persoană crede că vorbește cu banca, cu poliția, cu un avocat, cu un copil aflat în pericol sau cu un furnizor real, consimțământul ei financiar este viciat. Din punct de vedere tehnic, plata este validă. Din punct de vedere uman, este rezultatul unei înșelăciuni.

Aici apare conflictul major dintre bănci, autorități și clienți. Băncile spun că nu pot controla toate deciziile utilizatorilor și că nu pot opri fiecare plată doar pentru că ar putea fi riscantă. Clienții spun, pe bună dreptate, că instituțiile financiare au acces la date, modele de risc și sisteme antifraudă pe care un om obișnuit nu le are. Autoritățile încearcă să găsească un echilibru între protecția consumatorului și riscul de a transforma banca într-un asigurător universal pentru orice greșeală.

În unele piețe, balanța începe să se încline spre rambursarea victimelor. În Marea Britanie, de exemplu, Payment Systems Regulator a introdus un regim de rambursare pentru anumite cazuri de APP fraud. Datele publicate pentru trimestrul al treilea din 2025 indică faptul că 88% din banii pierduți în cazurile eligibile raportate au fost rambursați victimelor, ceea ce arată presiunea tot mai mare asupra industriei de a trata frauda autorizată ca pe o problemă sistemică, nu doar ca pe o eroare individuală.

De ce pierd băncile miliarde

Băncile pierd bani din fraudă autorizată în mai multe feluri. Prima pierdere este cea directă, atunci când rambursează clienții. Chiar dacă plata a fost confirmată, presiunea de reglementare, reputațională și comercială poate împinge banca să suporte total sau parțial prejudiciul. În anumite jurisdicții, această rambursare nu mai este doar o decizie de bunăvoință, ci o obligație clară în cazurile care îndeplinesc criteriile stabilite de autorități.

A doua pierdere vine din costurile operaționale. O fraudă autorizată nu se rezolvă cu un simplu click. Trebuie analizate conversații, sesizări, trasee de plată, istoricul contului, comportamentul clientului, viteza cu care au fost mutați banii mai departe și posibila implicare a altor instituții financiare. Fiecare caz consumă timp, personal, infrastructură și capacitate de investigație. La scară mare, aceste costuri devin enorme.

A treia pierdere este una de încredere. O bancă poate spune că aplicația ei a funcționat perfect, dar pentru clientul care și-a pierdut economiile de-o viață explicația tehnică nu ajută foarte mult. Din perspectiva victimei, banii au plecat prin sistemul băncii, iar banca nu a reușit să oprească tranzacția. Chiar dacă realitatea juridică este mai complicată, percepția publică este dură: oamenii se așteaptă ca banca să le protejeze banii.

Mai există și efectul de contagiune asupra întregului ecosistem. Dacă un client este convins să trimită bani către un cont deschis la o altă bancă, instituția care primește fondurile poate fi acuzată că nu a identificat suficient de repede un cont-mulă. Dacă banii sunt mutați mai departe în câteva minute, recuperarea devine aproape imposibilă. De aceea, lupta împotriva APP fraud nu poate fi purtată de o singură bancă, ci necesită colaborare între instituții, procesatori de plăți, telecomunicații, platforme online și autorități.

Estimările globale diferă în funcție de metodologie, dar toate indică o problemă masivă. Deloitte estima că pierderile din authorised push payment fraud în Statele Unite ar putea ajunge aproape de 15 miliarde de dolari până în 2028, în timp ce alte analize privind scam-urile la nivel global vorbesc despre sute de miliarde de dolari pierdute de consumatori în scheme de manipulare financiară. Chiar și cu diferențe de definiție între piețe, direcția este clară: frauda autorizată a devenit o industrie criminală extrem de profitabilă.

Cum au devenit escrocii mai convingători decât alertele bancare

Partea cea mai frustrantă este că multe victime trec prin avertismente înainte de a pierde banii. Aplicația bancară le întreabă dacă sunt sigure. Sistemul le spune să verifice beneficiarul. Uneori apare un mesaj explicit despre riscul de fraudă. Cu toate acestea, plata este făcută. Motivul este simplu: infractorul a pregătit deja terenul emoțional.

Dacă atacatorul a convins victima că banca este compromisă, orice avertisment real din aplicație poate fi reinterpretat ca parte a problemei. Dacă victima crede că are o oportunitate de investiție care dispare în câteva minute, avertismentul devine o formalitate enervantă. Dacă cineva se prezintă drept copilul tău și spune că are nevoie urgentă de bani, instinctul de protecție poate bate orice mesaj standardizat din aplicația bancară.

Frauda modernă nu se mai bazează doar pe emailuri scrise prost și promisiuni ridicole. Atacatorii folosesc conturi false foarte credibile, reclame pe rețele sociale, deepfake-uri audio sau video, conversații lungi pe WhatsApp, site-uri care imită perfect platforme legitime și chiar centre de apel organizate. Unele fraude se desfășoară pe durata mai multor săptămâni sau luni, timp în care victima este obișnuită treptat cu ideea transferului.

În acest context, avertismentul generic de tip „ai grijă, ar putea fi fraudă” nu mai este suficient. Băncile trebuie să ajungă la avertismente contextuale, specifice, adaptate comportamentului tranzacției. Altfel spus, nu doar să întrebe „ești sigur?”, ci să explice concret: „nu ai mai trimis bani acestui beneficiar”, „contul a fost deschis recent”, „suma este neobișnuit de mare pentru istoricul tău”, „acest tip de plată apare frecvent în fraude de investiții”. Diferența dintre o alertă vagă și una relevantă poate fi diferența dintre bani salvați și bani pierduți.

Ce pot face băncile, clienții și platformele online

Pentru bănci, soluția nu poate fi doar blocarea agresivă a plăților. Dacă fiecare transfer mai mare devine un calvar, clienții vor fi frustrați, companiile vor pierde timp, iar sistemul financiar va deveni mai lent. Soluția reală este un amestec de analiză comportamentală, inteligență artificială, verificarea beneficiarilor, schimb rapid de informații între instituții și intervenții umane în cazurile cu risc mare.

Un instrument important este confirmarea beneficiarului. În loc ca banca să verifice doar dacă IBAN-ul este valid, sistemul trebuie să ajute clientul să vadă dacă numele beneficiarului corespunde cu cel așteptat. Dacă tu crezi că plătești o firmă de construcții, dar contul aparține unei persoane fizice necunoscute, aplicația ar trebui să îți atragă atenția într-un mod imposibil de ignorat. Nu rezolvă toate cazurile, dar reduce semnificativ fraudele cu facturi și beneficiari falși.

Pentru clienți, regula de bază este simplă: orice urgență financiară trebuie tratată ca un semnal de alarmă. Dacă cineva te presează să muți bani imediat, să nu închizi telefonul, să nu suni banca pe numărul oficial, să nu vorbești cu altcineva sau să nu verifici independent informația, probabilitatea de fraudă crește enorm. O bancă reală nu îți va cere să-ți transferi banii într-un cont „sigur”. Poliția nu îți va cere să faci plăți pentru a participa la o investigație. Un furnizor real nu ar trebui plătit într-un cont nou fără o verificare separată.

Platformele online au și ele o responsabilitate majoră. Multe fraude încep pe rețele sociale, marketplace-uri, aplicații de mesagerie sau reclame plătite. Dacă infractorii pot cumpăra vizibilitate, pot crea identități false și pot scala atacuri la mii de victime, banca ajunge de multe ori ultima linie de apărare. În realitate, frauda autorizată se produce înainte de aplicația bancară: în conversație, în reclamă, în anunț, în promisiunea falsă și în relația de încredere construită artificial.

De aceea, viitorul luptei împotriva fraudelor autorizate nu va aparține unei singure industrii. Băncile trebuie să detecteze plățile suspecte, platformele trebuie să elimine infrastructura escrocilor, telecomunicațiile trebuie să combată spoofing-ul și mesajele frauduloase, iar autoritățile trebuie să creeze reguli clare de responsabilitate. Fără această colaborare, infractorii vor continua să exploateze spațiile dintre sisteme: un mesaj fals pe o platformă, un apel telefonic mascat, o plată rapidă prin bancă și un cont-mulă dispărut înainte ca victima să înțeleagă ce s-a întâmplat.

Frauda autorizată este atât de periculoasă tocmai pentru că arată ca o tranzacție normală până când este prea târziu. Clientul confirmă plata, banca procesează instrucțiunea, sistemul funcționează tehnic corect, iar banii dispar. Într-o economie în care plățile instant, aplicațiile mobile și identitatea digitală au devenit parte din viața de zi cu zi, această formă de fraudă va rămâne una dintre cele mai grele provocări pentru industria financiară. Nu pentru că băncile nu știu să securizeze aplicații, ci pentru că infractorii au învățat să atace ceva mult mai vulnerabil decât infrastructura tehnică: încrederea oamenilor.

Topul domeniilor în care salariile au crescut la începutul lui 2026. Ce arată noile date INS