criminalitatea informatică privind transferurile financiare · continuitatea afacerii..... error!...
Post on 08-Mar-2021
23 Views
Preview:
TRANSCRIPT
1
ROMÂNIA
MINISTERUL AFACERILOR INTERNE
Academia de Poliţie „Alexandru Ioan Cuza”
Şcoala doctorală „Ordine Publică şi Siguranţă Naţională”
Şcheau Mircea Constantin
TEZĂ DE DOCTORAT
Criminalitatea informatică privind
transferurile financiare
- REZUMAT -
Conducător de doctorat
Profesor Universitar Doctor
Cavaropol Dan Victor
Teză elaborată în vederea obţinerii
titlului de DOCTOR în „Ordine Publică şi Siguranţă Naţională”
- BUCUREŞTI, 2017 –
2
CUPRINS
ARGUMENT ........................................................................................................... 5
CAPITOLUL 1. TRANSFORMĂRI CONCEPTUALE ALE SPAŢIULUI
INFORMAŢIONAL ŞI FINANCIAR ................................................................... 8
1.1. Cloud computing ......................................... Error! Bookmark not defined.
1.1.1. Noțiuni introductive ........................... Error! Bookmark not defined.
1.1.2. Clasificare ........................................... Error! Bookmark not defined.
1.1.3. Comparaţie .......................................... Error! Bookmark not defined.
1.2. Evoluţii ale spaţiului financiar ................... Error! Bookmark not defined.
1.2.1. Consideraţii generale .......................... Error! Bookmark not defined.
1.2.2. Globalizare .......................................... Error! Bookmark not defined.
2.2.2.1. Cloud accounting - o nouă provocare pentru contabilitate .... Error!
Bookmark not defined.
2.2.2.2. Proiectul SEPA în România ............... Error! Bookmark not defined.
2.2.2.3. Plăţile electronice .............................. Error! Bookmark not defined.
1.3. Frauda ........................................................... Error! Bookmark not defined.
1.3.1. Frauda ca business .............................. Error! Bookmark not defined.
1.3.2. Frauda şi transferurile financiare electroniceError! Bookmark not
defined.
1.3.3. Costul fraudei ...................................... Error! Bookmark not defined.
CAPITOLUL 2. IMPACTUL NOILOR TEHNOLOGII ASUPRA
DOMENIULUI FINANCIAR .............................................................................. 12
2.1. Skimming – repoziţionări ale criminalităţiiError! Bookmark not
defined.
2.1.1. ATM.................................................... Error! Bookmark not defined.
2.1.1.1. Dispozitive de copiat banda magneticăError! Bookmark not
defined.
2.1.1.2. Dispozitive de copiere a PIN-ului . Error! Bookmark not defined.
2.1.1.3. Door skimmer şi cameră video ...... Error! Bookmark not defined.
2.1.1.4. Vandalizări ..................................... Error! Bookmark not defined.
2.1.1.5. Studii de caz ................................... Error! Bookmark not defined.
2.1.1.6. Black Box ....................................... Error! Bookmark not defined.
2.1.2. PoS ...................................................... Error! Bookmark not defined.
2.2. Atacul informatic prin vectori de infecţie . Error! Bookmark not defined.
2.2.1. Tipuri de malware ............................... Error! Bookmark not defined.
2.2.2. Vectori de infecție .............................. Error! Bookmark not defined.
2.2.3. Tipuri de atacuri .................................. Error! Bookmark not defined.
2.2.4. Studii de caz ........................................ Error! Bookmark not defined.
3
2.3. Phishing-ul şi domeniul financiar: o problemă de management al
securităţii informaţiei? .......................................... Error! Bookmark not defined.
2.3.1. Vulnerabilităţi ..................................... Error! Bookmark not defined.
2.3.2. Tipologii sub care este întâlnit atacul de tip phishing ................. Error!
Bookmark not defined.
CAPITOLUL 3. CRIMINALITATE INFORMATICĂ ŞI CIRCUITE
FINANCIARE ....................................................................................................... 17
3.1. Contextul internaţional ............................... Error! Bookmark not defined.
3.2. Spălarea banilor, element fundamental al strategiei financiare a
grupărilor criminalităţii organizate ..................... Error! Bookmark not defined.
3.2.1. Etapele spălării banilor ....................... Error! Bookmark not defined.
3.2.2. Cyber-Crime ca sursă de fonduri pentru spălarea banilor ........... Error!
Bookmark not defined.
3.2.2.1. Mişcarea banilor............................ Error! Bookmark not defined.
3.2.2.2. Monedele virtuale şi spălarea banilorError! Bookmark not
defined.
3.2.3. Indici de anomalie şi tehnici de simulareError! Bookmark not
defined.
3.2.4. Metode de spălarea banilor ................. Error! Bookmark not defined.
3.2.4.1. Spălarea banilor din fraude cu carduriError! Bookmark not
defined.
3.2.4.2. Spălarea banilor prin activităţi de e-commerceError! Bookmark
not defined.
3.2.4.3. Spălarea banilor prin intermediul ATM-urilorError! Bookmark
not defined.
3.2.4.4. Spălarea banilor în interiorul aceluiaşi grup de firme ........ Error!
Bookmark not defined.
3.2.4.5. Spălarea banilor şi scrisorile nigerieneError! Bookmark not
defined.
3.2.4.6. Spălarea banilor şi sistemul PrepaidError! Bookmark not
defined.
3.2.4.7. Spălarea banilor şi Mobile Payments (M-commerce) .......... Error!
Bookmark not defined.
3.2.4.8. Spălarea banilor şi asset-urile virtualeError! Bookmark not
defined.
CAPITOLUL 4. PROPUNERI ŞI MĂSURI PRIVIND MANAGEMENTUL
RISCULUI TRANSFERURILOR FINANCIARE ............................................ 22
4.1. Implicații juridice şi răspuns la incidente . Error! Bookmark not defined.
4.1.1. Legislaţia actuală în condiţiile implementării noilor tehnologii . Error!
Bookmark not defined.
4.1.2. Fraudele cu carduri ............................. Error! Bookmark not defined.
4
4.1.3. Cadrul legislativ privind spălarea banilorError! Bookmark not
defined.
4.1.4. Protecția utilizatorului şi recuperarea datelorError! Bookmark not
defined.
4.1.5. Consideraţii privind managementul strategic al infrastructurilor critice
şi domeniul financiar ........................................ Error! Bookmark not defined.
4.2. Managementul riscului de fraudă în cazul tranzacţiilor financiare cu
cardul ....................................................................... Error! Bookmark not defined.
4.2.1. Elemente de identificare şi de operabilitateError! Bookmark not
defined.
4.2.2. Recomandările emitenţilor ................. Error! Bookmark not defined.
4.2.2.1. Noi tehnologii de autentificare ...... Error! Bookmark not defined.
4.2.2.2. Sistem Rotativ de Securitate (SRS) Error! Bookmark not defined.
4.2.3. Tendinţe şi evoluţie ............................ Error! Bookmark not defined.
4.3. Combaterea spălării banilor ....................... Error! Bookmark not defined.
4.3.1. Identificarea şi prevenirea tranzacţiilor suspecteError! Bookmark
not defined.
4.3.2. Raportarea tranzacţiilor suspecte ........ Error! Bookmark not defined.
4.3.3. Monitorizarea respectării standardelor Error! Bookmark not defined.
4.3.3.1. Recomandări şi sancţiuni ................... Error! Bookmark not defined.
4.3.3.2. Analiză şi investigare ......................... Error! Bookmark not defined.
4.3.3.3. Etape de acţiune ................................. Error! Bookmark not defined.
4.4. Domeniul financiar în contextul managementului strategic al
infrastructurilor critice ......................................... Error! Bookmark not defined.
4.4.1. Risc şi necesitate ................................. Error! Bookmark not defined.
4.4.2. Stabilitate şi strategie financiară ......... Error! Bookmark not defined.
CAPITOLUL 5. CONCLUZII ŞI DIRECŢII DE DEZVOLTARE
ULTERIOARĂ ...................................................................................................... 31
ANEXA 1- GHID PENTRU INSTITUŢIILE FINANCIARE .......................... 38
A1. Elemente generale privind impactarea instituțiilor financiare ........ Error!
Bookmark not defined.
A2. Planificare strategică ...................................... Error! Bookmark not defined.
A2.1. Bune practici pentru gestionarea securităţii reţeleiError! Bookmark not
defined.
A2.2. Securitatea fizică .................................... Error! Bookmark not defined.
A2.3. Continuitatea afacerii.............................. Error! Bookmark not defined.
A3. Poziţionare în raport cu activitatea cyber-crimeError! Bookmark not
defined.
A3.1. Identificarea unui atac de tip phishing ... Error! Bookmark not defined.
A3.2. Metode de contracarare a unor atacuri de tip phishingError! Bookmark
not defined.
5
A4. Strategii de combatere a atacurilor asupra ATM-urilorError! Bookmark
not defined.
A4.1. Instituţii şi producători ........................... Error! Bookmark not defined.
A4.2. Auto-protecţie ......................................... Error! Bookmark not defined.
A5. Propuneri suplimentare de măsuri ............... Error! Bookmark not defined.
BIBLIOGRAFIE ................................................................................................... 40
Cărți, articole: .................................................................................................... 41
Legislație: ................................................................ Error! Bookmark not defined.
Resurse Internet: ................................................................................................ 52
ARGUMENT
Este de dorit să îţi prezinţi contribuţia personală din domeniul în care
activezi sau în care ai activat şi să diseminezi informaţia către cei care doresc să
beneficieze de rezultatele obţinute1. Cercetarea poate permite abordarea subiectelor
din mai multe puncte de vedere şi are cu siguranţă efect în plan general.
Cunoştinţele acumulate centralizat consolidează şi dezvoltă structura necesară
susţinerii efortului comun. În plus, sectoarele de activitate al diferitelor persoane
şi/sau instituţii implicate în medii conexe de lucru, oferă acces la informaţii care
pot deveni de interes naţional. Chiar dacă până în acest moment sectorul financiar-
1 Conţinutul prezentei teze a fost deja publicat de autor în articole de specialitate menţionate în bibliografie
6
bancar nu este declarat infrastructură critică, evoluţia evenimentelor poate să
modifice starea de fapt. Efectele înregistrate pot fi resimţite extrem de sensibil la
nivelul societăţii. Este un domeniu sensibil, care necesită mult mai multă atenţie şi
protecţie în beneficiul societăţii în general şi al fiecăruia dintre noi în particular.
Construcţia unei imagini foarte clare de ansamblu este destul de dificilă datorită
diverselor metode de abordare ale aceloraşi probleme. Companiile private se
poziţionau şi se poziţionează în continuare diferit faţă de instituţiile publice.
Interesele sunt de multe ori antagonice. Se pot însă exporta informaţiile din mediu
privat pentru a genera soluţii de răspuns în domeniul public şi invers, în situaţia în
care se doreşte o aliniere bazată pe norme şi regulamente.
După prezentarea unor metode infracţionale ingenioase întâlnite în viaţa
reală, se doreşte identificarea breşelor ce trebuiesc astupate, estimarea necesarului
de resurse2 şi crearea unor alternative în vederea dezvoltării şi protejării sistemului
financiar, în contextul migrării tehnologiei şi a modificării conceptuale ale mediilor
de stocare, prelucrare şi transmitere a informaţiei. Reaua intenţie sau doar o clipă
de neatenţie poate să aibă consecinţe greu de anticipat chiar dacă fluxurile
procedurale impun o anumită disciplină. Modificarea cadrului legislativ şi
armonizarea acestuia cu legislaţia europeană, în contextul în care criminalitatea
informatică nu are graniţe, este un prim pas care trebuie parcurs cât mai curând
posibil. Indiferent de origine sau actori, ameninţarea teroristă este percepută ca o
agresivitate ce poate avea ca efect pierderea de vieţi omeneşti sau pierderi
materiale rezultate ca urmare a distrugerii unor obiective civile sau/şi militare.
Terorismul financiar ne demonstrează în aceeaşi notă că problematica este mai
complexă şi acţiunile criminale sunt greu de contracarat. Factorii timp şi spaţiu
capătă noi dimensiuni, generate de modificările conceptuale, politice, geografice şi
de strategie ale construcţiilor în continuă transformare. Uniunea Europeană este
una dintre ele şi reprezintă exemplul elocvent de globalizare. Alinierea metodelor
de răspuns la incidente poate să conducă la construcţia unei platforme comune de
2 Tehnologie şi capital uman
7
apărare, dar poate să expună în faţa agresiunilor toate structurile care nu au luat în
calcul planuri alternative de protecţie.
Statul şi instituţiile statului se pot proteja? Cum vom proceda în cazul unor
infracţiuni3 ce se desfăşoară întru-un „spaţiu” cu proprietar necunoscut? Putem să
înlocuim în acest moment dispozitivele hardware cu cele virtuale? Care este
procentul şi care sunt argumentele pentru instituţiile de stat şi pentru companiile
private? Analizele încearcă să ofere un răspuns la conflictul de idei privind cele
două tendinţe actuale de adoptare a sistemelor centralizate sau/şi distribuite.
Concluzia care se conturează şi pe care o susţin şi eu este aceea de
complementaritate şi nu de ireconciliere. Evaluarea riscului asociat activităţilor
financiare şi propunerea privind stabilirea unui cadru unitar al managementului
securităţii, coroborat cu elemente alternative de soluţionare a incidentelor,
reprezintă obiectul prezentului proiect de cercetare ştiinţifică.
Termenul de „transfer financiar”este destul de larg si adesea dificil de
înţeles în toate variantele sale. Putem să vorbim despre transferuri rapide care nu
presupuneau până acum deschiderea unui cont4, despre transferuri intra şi
interbancare, transferuri între societăţi strict private sau între societăţi private şi
instituţii ale statului şi putem să discutăm de asemenea despre transferuri între
Banca Central Europeană, Fondul Monetar Internaţional şi state beneficiare.
Regulile aplicabile sunt diferite. Riscurile sunt diferite5, dar pe de altă parte, în
lumea materială utilizăm din ce în ce mai mult tranzacţiile electronice. Putem să
cumpărăm aproape orice de aproape oriunde şi toate acestea devin posibile dacă
avem un card sau dacă avem acces la informaţiile furate ale unui card.
Subiectul referitor la spălarea banilor în condiţiile dezvoltării şi
implementării noilor tehnologii informatice este destul de cunoscut, dar este în
continuă „adaptare” la legislaţia naţională şi europeană. Aşa cum am menţionat,
3 În speţă discutăm despre transferuri financiare 4 Transferurile prin MoneyGram sau Western Union se pot efectua în prezent şi prin intermediul conturilor curente
bancare (acest aspect va fi detaliat în capitolul „Costul fraudei”) 5 Unul dintre exemple îl constituie transferurile rapide. Chiar dacă par foarte puțin importante, pagubele produse ca
urmare a fraudelor, au un impact major asupra instituțiilor financiare şi a societăţilor de asigurări. Cu mult mai
importante sunt transferurile care urmăresc influenţarea pieţei de capital. Putem discuta despre pierderi de sute de
milioane de unităţi monetare lunar.
8
ingeniozitatea nu are limite, un capitol important ocupându-l transferurile
financiare în scopul ascunderii urmelor sau a creării unor piste false. Există
elemente de identificare a unei tranzacţii suspecte „filtrele active6” semnalând de
multe ori situaţiile potenţial frauduloase şi de aceea, cu cât devin mai cunoscute
anumite procedee, cu atât creşte gradul de protecţie al acestor filtre. Operaţiunea de
spălarea banilor este una dintre activităţile care beneficiază de întreaga atenţie – a
infractorului şi a legiuitorului. Fără a avea pretenţia enunţării unui adevăr infailibil,
putem considera că, indiferent de natura lor, conflictele prezintă într-o măsură mai
mare sau mai mică o latură economică. Întreţinerea unui focar sau identificarea
unor pârghii de stabilitate fac trimitere imediată la resurse. Putem discuta despre
incidente locale, regionale sau globale, putem să luăm în calcul conflicte de mică
anvergură, atacuri armate între naţiuni sau chiar războaie mondiale şi vom
descoperi că în spatele acestora se află de multe ori interese economice. Bazate pe
principiul motivaţiei raţionale a actelor iraţionale, se pot declanşa mecanisme ce
pot produce efecte greu de calculat pe termen lung.
De funcţionarea fiabilă a infrastructurilor critice şi o rezilienţă consolidată
în faţa unor posibile situaţii de criză depinde în mare măsură securitatea oricărei
națiuni. Ca element de legătură, managementul strategic trebuie să cuprindă în
grila de activităţi şi monitorizarea amenințările cibernetice care pot să exploateze
punctele de conectivitate ale sistemelor în general şi să afecteze destul de serios
spaţiul financiar în particular. În condiţiile unei bune gestionări a riscurilor,
colaborarea dintre instituţiile de stat şi mediul privat, pe baza unor standarde şi al
unui set de bune practici, poate să conducă la construcţia unui mediu social şi de
afaceri stabil. Libertăţile civile privite în contextul securităţii naţionale sunt la fel
de importante ca inovația, prosperitatea economică şi garantarea siguranţei tuturor
domeniilor de activitate şi trebuie bineînţeles să vină în sprijinul eforturilor
comune şi nu contra acestora. Identificarea algoritmului care să permită o
reprezentare corectă a intereselor personale în contextul respectării intereselor
generale, reprezintă unul dintre dezideratele oricărei guvernări mature. Încălcarea
6 Operatori umani
9
cu bună ştiinţă a graniţelor trasate de organismele cu rol de apărare în faţa
agresiunilor externe, poate să fie considerată ca un act împotriva societăţii şi să fie
tratat ca atare. Nicio justificare nu poate pretinde că are fundament real în
momentul în care majoritatea absolută suferă prejudicii evidente cauzate de o
persoană, o minoritate sau o entitate ce acţionează în sensul generării unui profit
ilicit bazat pe exploatarea fără permisiune a resurselor majorităţii. Forma
expresiilor este mai puţin importantă decât efectul acestora.
CAPITOLUL 1. TRANSFORMĂRI CONCEPTUALE ALE
SPAŢIULUI INFORMAŢIONAL ŞI FINANCIAR
Tehnologia cloud computing este un domeniu relativ nou. Terminologia
este din ce în ce mai folosită în mass-media, rădăcinile fiind însă mult mai vechi,
originea considerându-se a fi contemporană apariției corespondenței electronice
purtate prin intermediul internetului. Viteza de transfer a datelor și capacitatea de
stocare s-a dezvoltat direct proporțional cu internetul. Cloud Computing este un
concept modern, un model de servicii de acces prin Internet la sisteme distribuite
de resurse de calcul configurabile la cerere, care pot fi puse rapid la dispoziție cu
eforturi minime de management și întreţinere din partea clientului și a furnizorului.
Accesul se poate face de oriunde, fără ca utilizatorul să aibă nevoie să cunoască
amplasarea și configurația fizică a sistemelor care furnizează aceste servicii.
Accesate de la distanță7, aplicațiile și datele rulează și sunt stocate în altă parte
decât pe serverele8 și stațiile de lucru ale utilizatorului.
Ne propunem să analizăm sumar procesul de acces la informația din cloud
și de asemenea, să încercăm să conștientizăm viitorul utilizator despre implicațiile
juridice în general şi despre efectele în cazul transferurilor financiare în particular.
Noile tehnologii încearcă să penetreze o piaţă concurenţială şi prezintă avantaje
7 http://www.cert-ro.eu/files/doc/775_20131030091057011764400_X.pdf 8 Sérver, servere, s.n. - computer performant dedicat oferirii unor servicii în rețea (aplicații centralizate,intranet,
baze de date etc.)
10
atractive consumatorului încercând să elimine cât mai multe dintre vulnerabilităţile
identificate în timpul exploatării. Spre deosebire de perioadele anterioare, de data
aceasta preţurile de achiziţie nu sunt prohibitive şi concurenţa acerbă lansează
semnale privind o evoluţie logaritmică a acestora. Paleta de distribuţie a
segmentelor de piaţă va depinde în mare măsură de calitatea serviciilor versus
costuri. Companiile vor încerca să ofere soluţii adaptabile tuturor cerinţelor
Cloud-ul a devenit un mediu inteligent, intuitiv şi nu este doar un spaţiu de
stocare a datelor, aplicațiile sugerând imediat varianta optimă de utilizare9.
Conceptul a evoluat rapid spre furnizarea unei puteri de calcul sporite adaptată la
cerinţele operaţiilor de efectuat10 şi spre servicii specializate, echivalente cu
instalarea pe sistemul informatic a unui anumit soft cu funcţiuni dedicate11. Deși
efortul dezvoltatorilor de aplicaţii cloud este de a elimina blocajele de înțelegere și
asimilare a modului de exploatare a serviciilor cloud pentru operator, în realitate
conceptul, sub aspect structural și funcțional, este unul foarte complex datorită
modelelor de implementare a infrastructurii reale utilizate şi a destinaţiei serviciilor
oferite.
Clasificarea după criteriului adresabilităţii sau al categoriilor de utilizatori
poate identifica patru tipuri de cloud: cloud privat, cloud de comunitate, cloud
public și cloud hibrid. Un alt criteriu de clasificare, este cel al „modelului de
serviciu” cloud sau „nivelul de specializare” existînd mai multe soluții de cloud
computing disponibile pe piață, acestea putând fi grupate în trei categorii
principale: IaaS12, SaaS13, PaaS14. Toate soluţiile propuse prezintă avantaje şi
dezavantaje, concluziile specialiştilor făcând trimitere la prioritizarea necesităţilor
fiecărui utilizator. Nu există un câştigător clar între formula clasică şi noua
9 http://stiintasitehnica.com/inspector-gadget/cloud-computing-procesarea-intangibila, Claudiu Antone, Cloud
Computing – procesarea intangibilă 10 Comparabil cu a avea un sistem cu capacităţi practic nelimitate raportate la nevoile utilizatorului final 11 Un exemplu îl constituie arhivarea şi partajarea de documente între utilizatori, indiferent de locaţia lor geografică
sau de dispozitivul utilizat 12 Acronim pentru Infrastructure as a Service 13 Acronim pentru Software as a Service 14 Acronim pentru Platform as a Service
11
tendinţă. Sunt dese cazurile în care hibridizarea susţinută de soluţiile de securitate
eterogene, este singura opţiune posibilă.
Un domeniu particular, extrem de sensibil în ceea ce priveşte protecţia
datelor, este cel financiar, incluzând bineînțeles în acesta şi domeniul bancar.
Având în vedere nivelul de globalizare şi mediul de afaceri dinamic, multe dintre
organizaţii externalizează anumite servicii. Se implementează modelul de cloud
hibrid, profitând de beneficiile aduse atât de cloud-ul privat cât şi de cel public, dar
datorită caracterului special al datelor cu care se operează, este necesară
implementarea unor mecanisme de securitate ce au ca scop izolarea informaţiilor
de accesul neautorizat.
Elementele extrem de importante în buna desfăşurare a activităţii
instituţiilor financiare, sunt confidenţialitatea, integritatea, disponibilitatea şi de
cele mai multe ori, non-repudierea informaţiilor procesate. Pentru înţelege
posibilul impact asupra domeniului financiar în general, este nevoie să detaliem
puţin cele două noţiuni anterioare. Referitor la confidenţialitate, aşa cum vom
vedea în capitolul “Implicaţii juridice şi răspuns la incidente”, datele pot fi stocate
sub forma mai multor copii, în mai multe jurisdicţii, cu diferite tipuri de legislaţie,
tocmai acest fapt complicând destul de mult protocolul de colaborare instituţie
financiară – furnizor. Legislaţia şi reglementările cu privire la confidenţialitate şi
protecţia datelor, precum acelea ale ţărilor din Uniunea Europeană si Programul
US Safe Harbor, dar mai ales USA Patriot Act, necesită cunoaşterea în orice
moment a locaţiei datelor stocate. Ceea ce este permis într-o ţară, poate să
constituie o posibilă încălcare a legii în altă ţară.15 Elementele de conformitate
trebuie respectate în egală măsură atât de clientul instituţie financiară cât şi de
furnizorul de servicii. Managementul accesului şi politicile asociate trebuie să fie
identice sau cel puţin similare. Nu pot exista excepţii în situaţia în care se doreşte
construirea unui sistem comun de securitate. Respectând principiul transparenţei,
furnizorul de cloud trebuie să facă dovada capacităţii de control intern, de control
al măsurilor de confidenţialitate implementate şi al canalelor de comunicare ce
15 http://www.cert-ro.eu/files/doc/775_20131030091057011764400_X.pdf
12
trebuie testate periodic în timpul operaţiunilor. Neuniformitatea legislativă însă dă
naştere la multe controverse chiar în interiorul Uniunii Europene şi scade
încrederea într-o colaborare în acest domeniu. Măsurile ce se impun trebuie
implementate la nivel mondial, în încercarea de prevenire a infracţiunilor mai ales
că, natura descentralizată a mediului on-line a permis ca spălarea banilor să devină
o practică destul de comună în rândul indivizilor ce desfășoară activităţi ilegale, un
exemplu fiind tranzacţionarea prin monede virtuale sau digitale (ex: bitcoin16).
Subiectul „globalizare” a devenit destul de abuzat în prezent, dar nu se
poate nega realitatea în care procesele se desfăşoară cu destul de mare repeziciune,
producând efecte imediate. Chiar dacă pentru Europa definiţiile termenului au o
conotaţie destul de exactă, punctele de vedere se modifică în funcţie de noile
variabile ce intervin în sistemele de ecuaţii. Latura economică se împleteşte cu cea
socială, politică, militară şi este influenţată de evoluţia structurilor din afara
continentului. Mai multe forţe concertate pot fi concentrate voluntar, cu scopul
deturnării efortului proiectanţilor. De aceea, se impun măsuri ce se doresc a fi
adoptate în vederea asigurării stabilităţii, a diminuării riscului de fraudă şi a
creşterii interoperabilităţii.
„Falsificarea, denaturarea sau alterarea informaţiilor,
documentelor/activelor, săvârșită de către un aplicant, cu intenţia de a cauza un
prejudiciu în vederea obţinerii unor foloase sau beneficii necuvenite şi care se
materializează sub forma unei infracțiuni”17 poate să fie privită ca o posibilă
definiţie a fraudei. Cu siguranţă există şi alte abordări care permit enunţuri diferite.
Cele patru componente, infractor, victimă, metodă şi obiect trebuie să fie prezente.
Societatea a dezvoltat şi dezvoltă anticorpi care reuşesc sa-şi exercite acţiunea prin
intermediul mecanismelor antifraudă implementate. Interacţiunea dintre aceştia şi
făptuitor se transformă într-o luptă continuă, de uzură, privită ca o stare de fapt.
Riscul nu poate fi eliminat în totalitate. El poate fi cel mult monitorizat şi diminuat,
16 Bitcoin - https://en.wikipedia.org/wiki/Bitcoin 17 Asociaţia Română a Băncilor, Comisia Antifraudă – Departamentul Antifraudă, de la strategie la implementare,
seminar privind Combaterea Crimei Organizate, 2013
13
măsurile adoptate în Acordurile de la Basel recunoscând practic nivelul noilor
ameninţări18.
O scurtă trecere în revistă a metodelor operative identificate în cursul
operaţiunilor de prevenire şi combatere a criminalităţii19, evidenţiază o recadrare a
acestora simultan cu evoluţia tehnologică. În funcţie de areal, metodele
combinative devin extrem de sofisticate. Coroborarea elementelor mecanice cu
cele avansate tehnologic reuşesc să pună serioase probleme specialiştilor în
domeniu. Am încercat să surprindem principalele tendinţe din ultimii ani pe plan
naţional şi internaţional, a tipurilor de metode consacrate şi am continuat în
secţiunea de management al riscurilor cu prezentarea unor statistici şi a unor
propuneri de răspuns la incidente care să vină în sprijinul efortului comun de
contracarare a fenomenului infracţional.
CAPITOLUL 2. IMPACTUL NOILOR TEHNOLOGII
ASUPRA DOMENIULUI FINANCIAR
Domeniul fraudelor este extrem de variat, atât din punct de vedere al
tipologiilor, cât şi al comportamentului persoanelor fraudulente, care pot să
acţioneze şi în domeniul traficului de droguri, traficului de persoane şi/sau al
spălării banilor. În plus, în condiţiile unui sistem juridic destul de greoi, în sprijinul
grupărilor infracţionale se angajează persoane care cunosc slăbiciunile şi breşele
legislative şi care colaborează foarte bine cu cei care cunosc modalităţile de
funcţionare.
Analizând cele expuse în capitolul „Transformări conceptuale ale spaţiului
informaţional şi financiar”, rezultă că eforturile reprezentate de alinierea în faţa
provocărilor şi de adoptare a unor standarde comune vor trebui să facă faţă mai
multor încercări ce vor îngreuna puţin fluxul de integrare, dar necesitatea este
evidentă şi este susţinută de strategiile de combatere a pericolelor la care se pot
18 Riscul operaţional 19 A criminalităţii în general şi a celei cu carduri în particular
14
expune structurile integrate neprotejate. Instituțiile se confruntă adesea cu atacuri
directe asupra serverelor care guvernează serviciile sau aplicaţiile specifice
domeniului de activitate și cu infecții destinate să compromită rețelele interne. Prin
urmare, sistemele angajaților devin ținta hacker-ilor deoarece în lanțul de
securitate din perimetrul unei companii, atât ele cât și utilizatorul din spatele lor,
sunt de foarte multe ori veriga cea mai slabă. Se impune adoptarea pe orizontală şi
pe verticală a unor măsuri care să preîntâmpine expunerea instituţiilor angajatoare
ca urmare a neglijenţei angajatului. Daunele pot să fie imense. Linia dintre
superficialitate şi complicitate devine din ce în ce mai subţire. Nu este deloc
satisfăcătoare „blindarea” soft şi hard a birourilor IT atât timp cât toate celelalte
departamente sunt expuse. Este ca şi cum am împărţi personalul în două categorii:
una care luptă pentru menţinerea unei bune funcţionări, a integrităţii şi a stabilităţii,
cea de-a doua considerând că nu are atribuţii şi obligaţii în ceea ce priveşte punerea
în practică a măsurilor de protecţie internă şi externă. Analiza poate fi extinsă prin
compararea modalităţilor de acţiune în instituţiile de stat şi în cele private. Acestea
din urmă sunt mult mai atente şi fac eforturi deosebite investind, în funcţie de
capacitatea financiară, în produse de ultimă generaţie pentru a-şi proteja afacerea.
În condiţiile comunicării interinstituţionale continue, dacă cerinţele pentru cele de
stat nu respectă aceleaşi exigenţe, vectorii de infecţie beneficiază de un teren
propice de dezvoltare şi propagare fără frontiere solide.
Combinaţia dintre vectori de atac și malware, mai exact combinația dintre
aplicația malițioasă şi metoda de propagare folosită, poate avea consecințe drastice
atunci când instituțiile financiare sunt alese ca ținte pentru atacuri cibernetice. În
condițiile în care un malware este livrat cu succes, acesta poate, în funcție de
capabilitățile cu care a fost conceput, să monitorizeze, să intercepteze și eventual
să modifice transferuri bancare. Mai mult decât atât, un astfel de malware ar putea
permite unor infractori desfăşurarea de acţiuni de spălarea de bani sau gestiune
ilicită de fonduri publice sau private.
15
Fred Cohen20, cunoscut ca și fondatorul al tehnicilor de apărare împotriva
atacurilor prin intermediul virușilor, susţine prin intermediul articolului “Computer
Viruses - Theory and Experiments”21 că, în condiții teoretice ideale, este practic
imposibilă detecția de malware. Totuși, prezența acestora poate fi semnalată
datorită efectelor pe care le au asupra sistemelor infectate, deși acest fapt
presupune apariţia unor eventuale pierderi din momentul infecţiei până în
momentul implementării soluţiilor de răspuns. Atacatorii au acces de cele mai
multe ori la aceleași resurse, la fel ca specialiştii care lucrează în industria de
securitate iar evoluţia este determinată tocmai de faptul că oportunităţile create de
accesul la resurse lărgeşte paleta de aplicaţii în condiţiile unei dezvoltări
neuniforme a reţelei sistemelor de monitorizare. În plus, interacţiunea dintre nou şi
vechi face ca anumite domenii să fie mult mai expuse decât altele. Atenţia acordată
depinde de interesul celor implicaţi şi de pregătire acestora, dar interacţiunea dintre
domenii se poate dovedi la fel de importantă în anumite contexte.
Odată cu dezvoltarea serviciilor de internet și disponibilitatea on-line a
datelor, atacurile informatice au devenit o practică obișnuită în ultimul deceniu.
Bazându-se pe diverse tehnici pentru a pătrunde în interiorul infrastructurilor
critice sau pentru a livra conţinut „contaminat” victimelor încrezătoare, motivaţia
din spatele celor mai multe atacuri nu sunt doar banii, ci mai degrabă informaţia. În
industria criminalităţii contemporane, grupările infracționale au devenit la fel de
bine structurate, organizate, și calificate ca furnizorii de securitate, provocând
pierderi financiare anuale globale în valoare de miliarde de dolari. Cu dorinţa de a
oferi servicii de calitate clienţilor, instituțiile financiare au aderat la noile concepte
ale tehnologiei, ceea ce a avut însă ca rezultat şi o serie de probleme datorate
creşterii complexității sistemelor necesare furnizării acestor servicii. Extinderea
infrastructurilor IT și fragmentarea sistemului de operare a pavat calea pentru
20 Fred Cohen - cercetător American născut în 1957, cunoscut pentru definirea tehnicilor de combatere a virușilor,
https://en.wikipedia.org/wiki/Fred_Cohen 21 Fred Cohen, „Computer Viruses Theory and Experiments," Computers and Security, vol. 6, pp. 22—35, 1987
16
infractorii cibernetici în drumul lor de a identifica și de a exploata noi
vulnerabilităţi22.
Piaţa începe să se segmenteze conturându-se două nivele - unul de
„producător”, cu abilităţi şi cunoştinţe informatice deosebite şi unul de
„consumator”, cu capacităţi de a pune în practică „achiziţiile”, pentru a-şi atinge
scopul. Piramidal, prima categorie se situează în topul celor care ştiu şi pot să
exploateze vulnerabilităţi. Mediul de comunicare și de transmitere utilizate în
tranzacțiile dintre clienți ca utilizatorii finali și instituţiile financiare ca furnizori, a
devenit deosebit de complex și predispus la intruziuni. Întregul lanț, pornind de la
simpla utilizare a unui card şi ajungând până la capacitatea unei bănci de a procesa
o tranzacție, a devenit principalul obiectiv al atacatorilor.
Chiar dacă domeniul de adresabilitate este foarte larg, din cele de mai sus
se poate deduce cu uşurinţă că atacatorii în acest moment au abilitatea şi răbdarea
necesară pentru a ocoli controalele de securitate de rețea şi pentru a evita
activitățile curente de detecţie, ce ar trebui să conducă în mod firesc la o eliminare
totală sau o diminuare a pierderilor rezultate în urma atacului. În fiecare zi apar noi
tipologii de agresiuni informatice, care sunt replici modificate ale unor metode
consacrate sau care introduc elemente de noutate absolută. Chiar şi pentru
companiile de specialitate este destul de dificilă monitorizarea privind intensitatea
şi distribuţia activităţilor criminale , dar cu certitudine fiecare raport conţine un
capitol destul de consistent referitor la domeniul financiar23.
Calculatoarele au evoluat de la o simplă implementare CPU/sistem de
operare la un nou model bazat pe mai multe mașini virtuale, care rulează într-o
singură locaţie (gazdă) fizică. Într-un centru de date tradițional, aplicațiile, bazele
de date, și mediile de stocare erau construite ca entități separate, distribuite în
22 În anul 2015 tipurile de malware plasate în top zece, caracteristice spațiului cibernetic românesc, au fost
Conficker, Sality, ZeroAccess, Ramnit, Tinba, Virut, StealRat, Pushdo, NivDort, Gameover ZeuS, cele mai afectate
sisteme fiind în ordine Network Devices Firmware/OS, Unix, Linux, UPnP OS şi Windows, conform unui raport cu
privire la alertele de securitate cibernetică procesate de CERT-RO, www.cert.ro 23 Conform unei firme bine cunoscute în domeniu, doar în primul trimestru al anului 2016 au fost identificate şi
respinse doar de specialiştii respectivei companii 228.420.754 de atacuri maliţioase cu resurse on-line localizate în
195 de ţări din întreaga lume, KasperskyLab , Alexander Gostev, Roman Unuchek, Maria Garnaeva, Denis
Makrushin, Anton Ivanov - IT THREAT EVOLUTION IN Q1 2016,
https://securelist.com/files/2016/05/Q1_2016_MW_report_FINAL_eng.pdf
17
rețea, ceea ce a creat avantaje în termeni de scalabilitate, fiabilitate și agilitate în
desfășurare activităţii și de management. Arhitecturile au crescut însă în
complexitate şi echipele de implementare au fost forțate să aplatizeze topologia
rețelei care să permită mai multe gazde pe același segment de rețea, dar această
abordare a vulnerabilizat mediul la atacurile din interior, datorită naturii deschise a
arhitecturii. Soluția clasică a constat în impunerea a multor reguli legate de firewall
şi de restricționarea accesului între nivele/servere, efectul secundar fiind o creştere
a complexităţii gestionării și apariţia erorilor în aplicarea politicilor de firewall.
Prin virtualizarea „totală” se menţin beneficiile arhitecturii multi-nivel şi se
introduc cele de micro-segmentare în condiţiile unor diminuări ale costurilor.
Există îngrijorări referitoare la posibilitatea propagării în cascadă a instrumentelor
de atac (malware), dar prin aplicarea unor politici de securitate coerente şi
dinamice se poate asigura integritatea la un nivel destul de ridicat. În locul unor
programe de monitorizare a activităţii de rețea, noul concept încorporează aplicații
de securitate în timp real în sistemul de operare cloud, rezultatul fiind o arhitectură
cyber-security virtualizată şi se consideră că această evoluție reprezintă o mare
oportunitate de a oferi managerilor centrelor de date platforme virtuale ca soluţii
pentru serviciile de securitate24.
CAPITOLUL 3. CRIMINALITATE INFORMATICĂ ŞI
CIRCUITE FINANCIARE
Transferurile financiare se interpun în lanţul de mişcare a resurselor şi pot,
în situaţia în care sunt atent monitorizate, să rupă verigile îmbinate. O organizație
criminală nu poate supravieţui şi nu este recunoscută ca fiind veritabilă decât dacă
reuşeşte să construiască un mecanism ce se bazează pe un ansamblu de structuri
legale, care servesc la disimularea activităților infracționale și la valorificarea
24 https://www.linkedin.com/pulse/using-virtualization-advanced-cyber-security-edward-amoroso
18
profiturilor reinvestite, clădindu-le astfel credibilitatea. În sens negativ, economia
crimei privită ca subprodus al economiei globale, se amestecă la nivelul tuturor
structurilor sale cu economia legală în care se reproduce, asistând chiar la o
simbioză a celor două. Ce se află de multe ori în spatele ingineriilor financiare?
Este o întrebare care poate comporta răspunsuri limitate doar de imaginaţia
operatorilor/infractorilor.
Urmele pot să fie „prea puţin acoperite” în situaţia în care, fără să se
schimbe forma, banii sunt plimbaţi prin mai multe conturi bancare, dar indiferent
dacă banii murdari sunt transformați din lichidităţi în depozite bancare sau din
depozite bancare în certificate de investiţii, „spălătorul” nu câștigă nimic în ceea ce
priveşte siguranţa dacă nu reuşeşte să confere o aparență de legitimitate fondurilor
pe care le-a obţinut. Este inutil să schimbi forma capitalurilor dacă statutul acestora
nu a fost modificat şi dacă utilizarea acestora nu este plauzibilă în raport cu masele
financiare pe care le presupun. Nu se pot gestiona milioane sau miliarde de unităţi
monetare similar cu gestiunea unei case de amanet sau a unui simplu market.
Tocmai de aceea, alegerea tehnicilor de reciclare depinde în primul rând de nivelul
atins de organizația criminală și de sumele pe care aceasta este capabilă să le
manipuleze. Un al doilea element ce este luat în considerare priveşte scopul
utilizării ulterioare şi necesitatea generată de variaţia perioadei de disponibilitate a
sumei. Analizând situaţia în care banii trebuie rapid cheltuiţi şi reinvestiţi, nu vor fi
utilizate tehnici de economisire de lungă durată, în schimb în situaţia în care nu
contează lichiditatea şi creşte nevoia de capitalizare, importantă devine
transparenţa sau mai exact lipsa de transparenţă a plasamentelor. Gradul de
dinamicitate este direct proporţional cu nevoile organizaţiei criminale sau ale
posesorului fondurilor şi cu constrângerile cu care aceştia se confruntă. Ca
exemplu, constrângerea legată de volum depinde de constrângerea privind
legalitate, precauțiile adoptate și complexitatea tehnicilor trebuind să se adapteze
nivelului de presiune exercitată de către autorități. Legalitatea fondurilor devine
astfel proporțională cu onorabilitatea deținătorului lor. În plus, în caz particular,
19
schimburile realizate în interiorul unei comunităţi etnice, dar ermetice, poate să
îngreuneze mult munca investigatorului.
De nereglementarea financiară au profitat în decursul timpului mai multe
companii. Procedeele de spălare necesită uneori o adevărată industrie compusă
dintr-o multitudine de activități fantomă în colaborare cu altele care sunt reale şi în
perfectă legalitate. Multiplicarea și diversificarea metodelor de spălare sfârșesc
prin a da naștere unei economii virtuale, unde se instaurează iluzia. Faptul că
această economie implică şi activitățile legale reale nu poate decât să perfecționeze
mirajul. Astfel, o economie fictivă capătă forma unui edificiu solid și util. Spălarea
elementară vizează transformarea lichidităților ,,murdare” în bani proprii prin cel
mai scurt circuit posibil şi fără tehnici complexe. Operațiunile sunt punctuale,
episodice şi de mică importanță destinate pentru cheltuielile de consum imediat.
Spălarea elaborată corespunde dorinței de a reinvesti rezultatul obţinut din
activităţi ilegale în activități legale, ceea ce presupune sume mai mari,
periodicitate atent monitorizată şi care justifică circuitele stabile de reciclare. Dacă
originea fondurilor masive ce se doresc a fi comasate într-un timp foarte scurt nu
va putea fi justificată prin mijloacele economiei tradiționale spălarea va trebui să
devină mult sofisticată. Anumite tehnici sunt nedetectabile și conduc la un paradox
aberant al globalizării infracționalității ce devine cu atât mai puţin vizibilă cu cât
gradul de importanţă al acesteia creşte. Există voci25 care afirmă că marea spălare
este invizibilă și rămâne o sursă de prosperitate financiar bancară deloc neglijabilă.
Dacă nu există nicio constrângere legată de factorul timp, nu este ciudat că sumele
mai importante care trebuie disimulate, sunt mai ușor de spălat şi circuitele
financiare internaționale garantează o securitate sporită marilor operațiuni?
Infracţiunile de spălarea banilor prin natura lor sunt infracţiuni subsecvente
şi complementare infracţiunilor generatoare de bani murdari, în cazul nostru
discutând despre fonduri provenite din criminalitate informatică. La nivel mondial,
25 Jean de Maillard - Un monde sans loi, Éditions Stock, 1998, Paris
20
conform unui evaluări realizate la finalul anilor 2000 de Pino Arlacchi26, asistam la
o creştere zilnică de aproximativ un miliard de dolari a profiturilor crimei injectate
pe pieţele financiare. De atunci, în contextul evoluţiei tehnologice şi ale
globalizării, cifrele este posibil să fi suferit serioase modificări. Chiar dacă
estimarea spălării banilor, în cazul fondurilor provenite din criminalitate
informatică, e mai delicată datorită costurilor variabile adiacente27 ce includ printre
altele şi corupţia, putem presupune că în ansamblu aceste costuri nu absorb mai
mult de 50% din fondurile iniţiale. Analizarea unor situaţii privite din perspectiva
instituţiilor legale impune propunerea unor soluţii integrate care să protejeze
societatea în general şi sistemul financiar în special în faţa agresiunilor externe.
Misiunea nu este deloc una facilă atât timp cât factorul uman se poate constitui
într-o veritabilă cheie de boltă – în sens pozitiv sau negativ. Contabili care oferă
consultaţii de specialitate grupărilor infracţionale, avocaţi care utilizează companii
offshore pentru a spăla bani, fonduri de administrare utilizate pentru cumpărarea de
valori imobiliare din bani murdari, oficiali guvernamentali care spală fonduri
publice, transferuri ilegale prin intermediul organizaţiilor non-profit, angajaţi ai
companiilor deţinute de stat implicaţi în corupţie la nivel înalt în scopul spălării de
fonduri, pot fi doar câteva exemple edificatoare. Se parcurg totuşi paşi importanţi
în sensul integrării mai multor state în grupul celor care s-au angajat să respecte
standardele şi Elveţia semnând mai multe angajamente în anul 2016.
Una dintre întrebările ce au fost adresate spre analiză publicului de
specialitate, făcea referire tocmai la rolul unor entităţi care pot stabiliza pieţele în
situaţiile de criză şi pot oferi suport pentru dezvoltarea ulterioară28. Fondul
Monetar Internațional şi Banca Central Europeană sunt exemplele cele mai
elocvente în acest sens. Reglementarea şi gestionarea sistemului bancar diferă de la
ţară la ţară. Băncile centrale naţionale care supervizează funcţionarea lor aplică
26 Giuseppe (Pino) Arlacchi - profesor de sociologie la Universitatea din Sassari numit în anul 1997 director general
al Oficiului Națiunilor Unite de la Viena și Director Executiv al Oficiului pentru control al drogurilor și de
prevenire a infracțiunilor (ODCCP) cu rang de subsecretar general, https://en.wikipedia.org/wiki/Pino_Arlacchi 27 Facem referire la intermediarii legali care oferă în cunoştinţă de cauză (sau nu) ajutor indirect: jurişti, consilieri
financiari, bancheri, companii care furnizează produse şi mijloace logistice, politicieni şi funcţionari publici, etc. 28 Cüneyt Dirican - Will the Central Banking be the Center of Banking?, International Journal of Economics,
Commerce and Management, Vol. IV, Issue 5, 2016, United Kingdom
21
regulamente ce pot să fie sau pot să nu fie în acord cu actuala legislaţie europeană.
Particularităţile sunt cele care fac diferenţa. Chiar dacă până acum nu există studii
solide elaborate în sensul analizării posibilităţii de prăbuşire a unei bănci sau a mai
multor bănci centrale, este destul de clar pentru factorii de decizie că o mare parte
a sistemului va trebui regândit. Mai multe bănci care au falimentat aproximativ în
aceeaşi perioadă29, au creat un dezechilibru major în interiorul şi în exteriorul
sistemului bancar şi au pus discuţie sistemul care a funcţionat până atunci, de
emitere fără acoperire în active. Împrumuturile masive interbancare şi sprijinul ce
s-a dorit a fi acordat de mai multe state pentru soluţionarea pozitivă a crizei, nu a
salvat situaţia. Limitarea de împrumuturi către instituţii non bancare ce desfăşoară
activitate financiar bancară30, coroborată cu controlul monedelor virtuale, este un
deziderat destul de greu de atins deoarece este greu de crezut că se va realiza într-
un termen rezonabil o armonizare financiară globală31. Aşa cum s-a menţionat
deja, apariţia banilor electronici32 şi capacitatea de a opera în mare parte de pe un
simplu telefon33 au deschis porţile unor noi oportunităţi, sistemele de plăţi şi de
transferuri financiare intrând într-o nouă fază de evoluţie. Crearea spaţiului virtual
nu a condus numai la o globalizare formală în sensul în care datele pot să fie
salvate şi sincronizate „în cloud”, dar a oferit posibilitatea luată în discuţie de
organismele financiare de a sincroniza toate numerele de cont bancare cu cardurile
de plată, cu conturile de mail, cu computerele proprietate personală, cu telefoanele
mobile şi numerele de telefoane aferente. Nu ar fi de mirare să asistăm la fuziuni
pe linii funcţionale între bănci sau grupuri de bănci şi furnizori de telefonie sau
grupuri de provideri. Sigur că în aceste proiecte vor trebui luaţi în considerare şi
furnizorii de servicii de internet şi spaţiu virtual. Riscurile sunt proporţionale cu
beneficiile. În acel moment, în situaţia unei breşe nedorite, organizaţiile criminale
pot avea acces la absolut toate resursele persoanelor fizice/juridice. Tocmai de
29 Cazul Lehman Brothers a fost unul dintre cele mai mediatizate în anul 2008 30 Cererea de împrumuturi rapide existentă pe piaţă poate conduce la crearea unui sistem speculativ şi a
plasamentelor financiare în afara controlului unei bănci centrale/naţionale. 31 Mişcarile anti Uniune Europeană îngreunează eforturile şi pot să aducă prejudicii grave sistemelor 32 Banii electronici pot fi utilizaţi de pe cardurile de plată şi nu fac referire la banii digitali a căror valoare se poate
modifica în funcţie de alţi parametrii decât cei bancari şi dintre care, cea mai cunoscută monedă este Bitcoin 33 Achitarea facturilor, rambursarea ratelor de credit, transeruri financiare, licitaţii valutare, etc
22
aceea analiştii încearcă să scoată în evidenţă cele două mari probleme cu care se
confruntă sistemul bancar mondial – stabilitatea financiară şi securitatea. În sensul
stabilităţii a fost solicitată proiectarea unui sistem de compensare interbancară în
noul spaţiu SEPA34 şi a unor politici de aplicare, precum şi ofertarea în vederea
fuziunii prin absorbţie de către băncile centrale a companiilor emitente de monedă
electronică. La acestea se adaugă şi necesitatea refacerii sistemului de calcul al
inflaţiei în raport cu viteza de utilizare a monedei electronice. Pentru a pune în
evidenţă o latură legată de securitate, chiar dacă poate părea o propunere puţin
deplasată, se solicită o monitorizare a noilor imprimante 3D capabile să reproducă
şi să producă variante de cupiuri mult apropiate de cele originale decât
imprimantele clasice. Limita în acest caz dintre control şi libertate economică
devine destul de fragilă.
Spălarea banilor ca activitate esenţială a grupărilor criminalităţii organizate,
reprezintă semnul cel mai relevator al puterii acestora şi o etapă obligatorie prin
care devine posibilă trecerea în economia legală a fondurilor rezultate din
activitatea infracţională. Este un element primordial al strategiei financiare globale
a grupurilor criminale care vizează asigurarea celor mai bune plasamente şi
justificări a produsului financiar rezultat din afaceri murdare. Acest lucru confirmă
interconectarea şi interpenetrarea puternică între economia criminală şi economia
legală.
Nu se poate vorbi de crimă organizată fără a se face referire la spălarea
banilor, mijlocul prin care se conferă o aparenţă legală profiturilor obţinute din
activităţi ilegale, cu scopul de a se reinvesti apoi sumele în dezvoltarea activităţii
care le-au produs sau în alte afaceri aparent legale. Este o activitate deosebit de
complexă şi care se realizează de către experţi financiari destul de bine pregătiţi
profesional şi care sunt de cele mai multe ori angajaţi în serviciul organizaţiei.
34 Single Euro Payments Aria
23
CAPITOLUL 4. PROPUNERI ŞI MĂSURI PRIVIND
MANAGEMENTUL RISCULUI TRANSFERURILOR
FINANCIARE
Chiar dacă par destul de simple la prima vedere, printre elementele cele
mai des întâlnite care determină apariţia anumitor clase de riscuri putem să
enumerăm erorile, neglijenţa, fraudele interne, lipsa de informare, instruire şi
cooperare, sistemele inadecvate de tehnologie şi securitate informatică, erorile
hardware şi software, erorile de programare, furtul de informaţii sau alte tipuri de
furturi, erorile de execuţie, contabile şi fiscale, erorile de modele şi metodologii,
lipsa segregării de drepturi şi atribuţii, evenimentele politice şi/sau militare majore,
dezastrele naturale, etc.
În activităţile financiar bancare, în vederea atingerii obiectivelor, se aplică
politici de control al riscului şi al fraudei, misiunea fiind aceea de atingere a
obiectivelor asumate. Beneficiile organizării proceselor orientate către risc se vor
regăsi la toate nivelele, atât individual cât şi de portofoliu. Profesionalismul,
eficienţa, responsabilitatea, confidenţialitatea, integritatea, respectarea standardelor
de etică, imparţialitatea, transparenţa, loialitatea şi calitatea sunt doar câteva
elemente suport pentru strategiile de analiză, identificare, evaluare, raportare
monitorizare şi administrare a riscului. Putem discuta despre managementul global
al riscurilor, despre guvernanţa riscului IT, despre riscul de afacere, riscul de
fraudă, riscul de reglementare, riscul de legalitate, riscul de conformitate, riscul
reputaţional, riscul de lichiditate, riscul transferurilor, riscul de piaţă, riscul de
concentrare, riscul operaţional, riscul de marfă, riscul valutar, riscul de rată a
dobânzii, riscul de credit, riscul de preţ, riscul de volatilitate, riscul de contaminare,
riscul rezidual şi alte componente ce pot să influenţeze rezultatul activităţii.
Evaluarea trebuie să ţină cont de expunere, de clasa de risc inerent, probabilitate şi
impact. Conform definiţiei de la Basel, o posibilă interpretare prezintă riscul de
legalitate sau de reglementare, de pierderi financiare sau reputaţionale ale unei
24
instituţii financiar bancare, ca o consecinţă a nerespectării „în totalitate” a
legislaţiei în vigoare, a regulamentelor, a codurilor de conduită şi a standardelor de
bune practici35. Pentru a putea să identifice corect riscurile, o bancă trebuie să
recunoască și să se înțeleagă riscurile existente și riscurile care pot decurge din
noile inițiative de afaceri, inclusiv riscurile care își au originea în subsidiare non-
bancare, în schimbări de reglementare sau statutare, măsurarea corectă și la timp a
riscurilor fiind esențială pentru gestionarea eficientă a acestora36. Pe anumite
domenii, clasele de risc se suprapun sau se includ/exclud, unul dintre exemple fiind
riscul operaţional37 care include riscul legal, riscul de model şi riscul aferent
tehnologiei informaţiei, dar exclude riscul strategic şi riscul reputaţional.
Categoriile de risc trebuie să respecte reglementările naţionale şi internaţionale38 şi
gruparea39 acestora sunt proprii fiecărei instituţii40, asumarea riscurilor fiind una
din principalele funcţii ale unei bănci, având relevanţă deosebită în particular
pentru modelul de afaceri, deoarece activitatea de management trebuie proiectată
astfel încât să poată administra portofoliul de riscuri precum şi potențialul de
acoperire cu capital. Metodele de calcul privind materializarea riscului,
identificarea si măsurarea în funcţie de clasele de active, regiuni geografice,
35 Legile, normele şi standardele împreună 36 Mark Goulden, Pat Fraser - Measuring Compliance Risk … Art or Science?, 2003 37 „Riscul operațional reprezintă o parte esențială a reglementării și supravegherii prudențiale în sectoarele
infrastructurilor bancare și ale pieței financiare. Acesta acoperă toate operațiunile, inclusiv securitatea, integritatea
și reziliența rețelelor și a sistemelor informatice. Cerințele cu privire la aceste sisteme, care depășesc adesea
cerințele prevăzute în temeiul prezentei directive, figurează în mai multe acte juridice ale Uniunii, inclusiv în
normele privind accesul la activitatea instituțiilor de credit și supravegherea prudențială a instituțiilor de credit și a
firmelor de investiții și în normele privind cerințele prudențiale pentru instituțiile de credit și firmele de investiții, care includ cerințe privind riscul operațional; norme privind piețele instrumentelor financiare, care includ cerințe
privind evaluarea riscului pentru firmele de investiții și pentru piețele reglementate, dar și în normele privind
instrumentele financiare derivate extrabursiere, contrapartidele centrale și registrele centrale de tranzacții, care
includ cerințe privind riscul operațional pentru contrapartidele centrale și registrele centrale de tranzacții și în
normele privind îmbunătățirea decontării titlurilor de valoare în Uniune și privind depozitarele centrale pentru
instrumente financiare, care includ cerințe privind riscul operațional. În plus, cerințele de notificare a incidentelor
fac parte din practica normală de supraveghere în sectorul financiar și sunt incluse adesea în manualele de
supraveghere. Statele membre ar trebui să ia în considerare dispozițiile și cerințele respective atunci când aplică lex
specialis.”, art. (13) al Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind
măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, http://eur-
lex.europa.eu/legal-content/RO/TXT/?uri=CELEX:32016L1148 38 În cazul instituţiilor financiar bancare şi de investiţii din România trebuie să se respecte printre altele şi
prevederile Regulamentului nr. 5/20.12.2013 al BNR şi ale Regulamentului nr. 575/26.06.2013 al Parlamentului
European 39 Clasificarea 40 În anul 2003 J.P. Morgan Bank raporta 50 de categorii de risc în timp ce Citi Bank raporta doar 8 categorii de risc
25
tipurile de industrii din portofoliu, tipurile de valută, etc., pot să ofere o proiecţie
destul de apropiată de realitate41, în completarea acestora venind testele complexe
de stres şi modelare. Datorită unor evenimente majore care au afectat sistemul
financiar bancar şi de investiţii42, prin Acordurile de la Basel gradul de
semnificaţie al anumitor tipuri de riscuri a fost incrementat.
În sistemul bancar frauda este privită ca „tentativa sau actul intenţionat de a
dobândi bunurile sau proprietăţile altora prin înşelăciune, rea-credinţă, falsificarea
informaţiilor, informarea parţială sau prin încălcarea/eludarea legilor sau a
reglementărilor băncii de către un client potenţial/existent, angajat sau orice terţă
parte”. Evaluarea riscului de fraudă are în vedere probabilitatea de fraudă43 şi
gradul de risc44 ce poate avea la rândul lui valoare scăzută, medie sau mare. Pentru
determinarea gradului de risc sunt luate în considerare riscurile identificate45 şi
valoarea estimată a prejudiciului. Urmare a investigaţiilor efectuate, se determină
pierderea în baza informațiilor existente în sistemele informatice şi a documentelor
doveditoare la momentul investigaţiei şi se aplică măsurile de recuperare pe cale
amiabilă, asiguratorie şi legală. Operaţiunile suspecte de fraudă şi incidentele de
fraudă care din cauza nivelului lor de semnificaţie pot afecta siguranţa, soliditatea
şi reputația unei instituţii financiar bancare sau de investiţii46 se raportează în cel
mai scurt timp posibil direct Băncii Naţionale a României - Direcţia Supraveghere.
Sigur că cele menţionate anterior sunt valabile şi pentru companii al căror obiect
principal activitate nu este financiar-bancar sau de asigurări, dar care pot prin
contaminare să afecteze un grup de agenţi economici şi pot să antreneze în cascadă
fenomene nedorite şi să inducă instabilităţi locale ce se pot reflecta la un nivel
41 Se pot menţiona indicele Herfindahl – Hirschman şi Matricea Moody 42 Se pot aminti cazul de fraudă privind fondul de investiţii Madof din anul 2008 prin schema Ponzi, declanşarea
crizei financiare din anul 2008 şi rolul Lehman Brothers, frauda traderului Jerome Kerviel din anul 2009 (Societe
Generale) şi tranzacţiile ipotecare din anii 2012 şi 2013 desfăşurate J.P. Morgan, declarate ca fiind
necorespunzătoare 43 Probabilitatea de fraudă este exprimată în procente şi reprezintă probabilitatea ca suspiciunea de fraudă sa fie
veridică 44 Gradul de risc reprezintă probabilitatea ca instituţia financiar bancară sau de investiţii să înregistreze anumite
pierderi din punct de vedere financiar, legal sau reputaţional 45 Risc reputaţional, de credit, de lichiditate, operațional, etc. 46 Nivelul de semnificaţie de la care instituţia financiar bancară consideră că incidentele de frauda pot afecta
siguranţa, soliditatea şi reputația, se raportează la 1% din fondurile proprii totale ale instituţiei, conform raportărilor
IFRS.
26
superior. De aceea apare necesitatea respectării reglementărilor ce trebuie aplicate
cu stricteţe şi se impune o conduită preventivă care să vină în sprijinul rezilienţei.
Majoritatea utilizatorilor domestici nu ştiu că, atunci când transmit un
mesaj pe e-mail sau postează pe un mediu de socializare, folosesc de fapt
servicii care au la baza tehnologia cloud, ce permite stocarea, prelucrarea și
utilizarea prin internet a datelor care se află pe servere situate la distanţe diferite. În
cloud, puterea de calcul este furnizată de mari centre de date cu sute de servere și
sisteme de prelucrare a datelor, care au capacitatea de a gestiona practic orice
software. În cazul în care locația fizică reprezintă un factor important într-un
context particular, utilizatorii trebuie să se asigure că acest lucru este stipulat în
contract47. Când vorbim despre cloud computing trebuie să avem în vedere
implicațiile juridice atât din punct de vedere comercial cât și implicațiile de natură
penală. Din perspectiva comercială contractele nu au încă personalitate bine
definită. Până în prezent, nu a fost identificată o soluție optimă pentru protecția
juridică a datelor cu caracter personal și de răspundere legală referitoare la
securitatea acestora. Contractele de cloud computing creează în esență un cadru
funcţional în care utilizatorul are acces la capacități informatice cu o scalabilitate
foarte mare, în funcție de necesitățile sale. Gradul ridicat de flexibilitate însă a
cloud computing-ului, în comparație cu externalizarea tradițională, este adesea
contrabalansată de siguranța redusă a clientului, cauzată de contractele insuficient
de specifice și de echilibrate. Având în vedere complexitatea deosebită şi
incertitudinea cadrului juridic, furnizorii de servicii propun un cadru contractual
prestabilit care nu permite de cele mai multe ori clientului să negocieze
răspunderea juridică privind confidenţialitatea şi securitatea datelor stocate în
cloud48. Utilizarea contractelor standard îi oferă posibilitatea furnizorului să facă
47 http://cursdeguvernare.ro/cat-de-folosit-este-cloud-computing-ul-in-europa-si-romania-ce-servicii-in-cloud-vor-
putea-accesa-institutiile-publice-din-tara-pana-la-sfarsitul-acestui-an.html 48 „Serviciile de cloud computing includ o gamă largă de activități care pot fi oferite în funcție de diferite modele. În
sensul prezentei directive, „servicii de cloud computing” înseamnă servicii care permit accesul la un bazin
redimensionabil și elastic de resurse informatice care pot fi puse în comun. Noțiunea „resurse informatice” include
resurse precum rețelele, serverele sau alte infrastructuri, stocarea, aplicațiile și serviciile. Noțiunea de
„redimensionabil” se referă la resursele informatice care se alocă flexibil de către furnizorul de servicii cloud,
indiferent de poziția geografică a resurselor, pentru a administra fluctuațiile de cerere. Noțiunea „bazin elastic”
27
economii însă adesea utilizatorul final, poate să găsească respectivele condiții ca
fiind inacceptabile. Astfel de contracte pot impune de asemenea alegerea legislației
aplicabile şi/sau pot pune sub semnul întrebării recuperarea datelor.
Pentru chestiunile care nu țin de legislația europeană comună în materie de
vânzări, sunt necesare acțiuni complementare specifice pentru a garanta că
celelalte aspecte contractuale relevante pentru serviciile de cloud computing pot fi
acoperite printr-un instrument opțional similar. Aceste acțiuni complementare
trebuie să acopere aspecte precum conservarea datelor după încetarea contractului,
divulgarea și integritatea datelor, amplasarea și transferul datelor, răspunderea
directă și indirectă, dreptul de proprietate asupra datelor, modificarea serviciului de
către furnizorii de cloud și subcontractarea. Deşi legislaţia Uniunii Europene
protejează consumatorii de cloud, de cele mai multe ori aceştia nu îşi cunosc
drepturile, deoarece nu sunt detaliate în mod explicit în contract şi nu cunosc nici
care este legea şi jurisdicţia aplicabilă în materie de drept civil/comercial. În ceea
ce privește datele cu caracter personal ale altor persoane, directiva privind
protecția datelor prevede că acestea trebuie stocate fie în SEE49, fie într-un teritoriu
care dispune de legislație echivalentă în materie de protecție a vieții private. În
scopul standardizării şi reglementării serviciilor de cloud, se impune elaborarea
unor manuale de bune practici, în baza cărora să fie reglementat un cadru legal
care să consolideze încrederea în utilizarea serviciilor de cloud. Pentru dezvoltarea
economică şi reducerea impactului negativ asupra mediului înconjurător şi asupra
activităţilor economice, Comisia Europeană a propus explicit prin intermediul
comunicării „Unleashing the Potential of Cloud Computing in Europe” în care se
articulează primele definiţii şi strategii europene în domeniu, măsuri de creştere a
gradului de utilizare a tehnologiilor de tip cloud, putând fi setate 3 acţiuni majore :
descrie acele resurse informatice care sunt atribuite și transferate în funcție de cerere, pentru a înmulți și a reduce
rapid resursele disponibile în conformitate cu necesarul de lucru. Sintagma „care pot fi puse în comun” descrie acele
resurse informatice care sunt furnizate mai multor utilizatori care au acces comun la serviciu, dar tratamentul se
efectuează separat pentru fiecare utilizator, deși serviciul este furnizat de același echipament electronic.”, art. (17) al
Directivei (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel
comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune, http://eur-lex.europa.eu/legal-
content/RO/TXT/?uri=CELEX:32016L1148 49 Acronim pentru Spațiul Economic European
28
standardizarea seriilor de date şi a aplicaţiilor informatice, regularizarea termenilor
şi condiţiilor pentru contracte şi stabilirea unui Parteneriat pentru Cloud European
care susţine inovarea şi creșterea din zona sectorului public.50
Managementul riscului presupune un proces continuu de identificare,
evaluare şi reacţie sau răspuns, în condiţiile în care analizele bazate pe
probabilitatea ca un eveniment să aibă loc determină nivelul de risc acceptabil
pentru fiecare entitate51. Pentru o înţelegere a toleranţei riscului trebuie să se
prioritizeze activităţile ce pot menţine sub control creşterea gradului de risc, una
dintre direcţii fiind combaterea criminalităţii informatice în actualele condiţii de
utilizare, dezvoltare şi implementare a noilor tehnologiilor. Domeniul financiar
poate să fie o victimă imediată a atacatorilor, recuperarea privită ca un al patrulea
nivel de management devenind destul de dificilă în cazul unei evaluări superficiale
sau al unei încadrări eronate. Identificarea este fundamentală pentru alocarea
resurselor şi protecţia ce susţine capacitatea de a limita impactul unui potenţial
eveniment, răspunsurile împreună cu recuperarea presupunând însă activitățile de
reglare corespunzătoare pentru a menține planurile de rezistență și de a restabili
capabilitățile serviciilor depreciate ca urmare a producerii evenimentului.
Trebuie luate în considerare în acelaşi timp două aspecte importante ale
managementului riscului – reactiv şi proactiv. Conştientizarea riscului de
criminalitate cibernetică şi a impactului financiar în contextul unui sistem global ce
include infrastructura naţională52 va permite schimbul de informații53 din exterior
către interior şi invers54. Conform unei declaraţii pe o pagină oficială55 a unei ţări
50 Ministerul pentru Societatea Informaţională – Strategia Naţională privind Agenda Digitală pentru România,
Guvernul României, Iulie 2013 51 National Institute of Standards and Technology - Framework for Improving Critical Infrastructure Cybersecurity,
Version 1.0, 2014 52 Uniune Europeană, NATO, etc 53 OSINT (Open Source Intelligence) – Informaţii neclasificate dar cu acces public mai limitat şi care pot fi obţinute
fără a încălca legislaţia naţională sau a compromite surse din alte ţări. Eurosint Forum este unul dintre proiectele
finanţate de Uniunea Europeană 54 „Daniel Ioniţă a precizat, că în vederea dezvoltării de către România a unor capacităţi moderne de a răspunde
ameninţărilor cibernetice, Ministerul Afacerilor Externe susţine armonizarea măsurilor pe plan intern cu prevederile
internaţionale în domeniu şi în cadrul formatelor externe de colaborare la care România este parte: la nivelul OSCE
(România gestionează dosarul cyber, prin intermediul MAE), la nivelul UE şi NATO (contribuţie importantă privind
conştientizarea ameninţărilor cibernetice în schimbul de informaţii), precum şi în cadrul unor programe şi acţiuni
bilaterale”, http://www.bursa.ro/38536eful-sie-probabilitatea-unui-atac-cibernetic-catastrofic-la-adresa-romaniei-
ramane-redusa-29...&s=print&sr=articol&id_articol=293188.html
29
cu o puternică dezvoltare economică, sectorul serviciilor financiare este tratat ca o
componentă vitală a infrastructurii naţionale şi este privită de asemenea cu
îngrijorare creșterea numărului și complexitatea atacurilor cibernetice care
demonstrează o gamă din ce în ce mai largă de riscuri potențiale cu care se
confruntă în ultima perioadă domeniul. Într-un peisaj instabil, furnizori de produse
de investiții, societățile de asigurare, instituțiile de credit și de finanțare, precum și
furnizorii de utilități și servicii financiare care susțin aceste funcții diferă ca
mărime şi se fac eforturi în sensul elaborării unui plan specific printr-un efort
coordonat, cu implicarea partenerilor din sectorul public și privat. Apare o zonă
„gri” în care deciziile adoptate sunt poate la limita de a genera riscuri suplimentare,
dar pot să şi preîntâmpine pierderi vitale pentru instituţii şi pentru societate.
Colaborarea între companiile private şi cele ale statului este privită ca o
obligativitate, respectând propria activitate atunci când aceasta nu produce
deservicii interesului general. Efortul este comun şi refuzul de a acorda sprijin
organismelor de combatere a criminalităţii poate să fie interpretat într-un anumit
context ca o plasare voluntară de cealaltă parte a barierei. Este adevărat că în
anumite state56 cadrul legislativ reglementează foarte clar acest tip de colaborare şi
sunt prevăzute atât fluxurile procedurale de acţiune cât şi sancţiunile ce se pot
aplica în cazul nerespectării sau aplicării cu întârziere a solicitărilor. Pornind de la
amenzi ce se pot ridica la nivelul a mai multor miliarde de unităţi monetare, se
poate ajunge la sancţiuni de natură penală şi executarea persoanelor fizice/juridice
ca urmare a pronunţării unei hotărâri în instanţă.
În cazul României, instituţiile cu rol de combatere a criminalităţii
informatice atrag atenţia asupra pericolului iminent în faţa căruia ne expunem în
lipsa unui cadru foarte bine reglementat. Politicile publice naţionale depind în mod
direct de contextul internaţional57 şi organismele de cooperare subliniază acest
55 https://www.dhs.gov/financial-services-sector 56 Două dintre exemple sunt Marea Britanie şi Statele Unite ale Americii 57 http://www.ibr-rbi.ro/news/atacurile-cibernetice-si-robustetea-sistemelor-24-martie-2016/
30
aspect58. Propunerile legislative europene59 vin în sprijinul ideii de integrare a
sistemului financiar – bancar în rândul infrastructurilor naţionale şi internaţionale,
principalele măsuri fiind acelea de: instituire a unui nou cadru de guvernanţă şi un
sistem unic de reglementare, majorarea fondurilor proprii ale băncilor,
îmbunătăţirea transparenţei în aplicarea legislaţiei, introducerea unui indicator de
lichiditate imediată şi aplicarea de sancţiuni atunci când se identifică riscuri
generate de nerespectarea deciziilor.
Indiferent de palierul de dezvoltare, tendinţele din absolut toate ţările sunt
de a tehnologiza/retehnologiza industriile proprii şi de a ridica pe cât posibil gradul
de automatizare. Comunicaţiile şi viteza schimbului de informaţii reprezintă
marele câştig pentru societatea umană, dar în acelaşi timp asistăm la o creştere a
vulnerabilităţii acestora. Deoarece marea majoritate a sistemelor sunt
interconectate, preluarea controlului unei ramuri energetice sau a unei corporaţii
financiare depinde de abilităţile atacatorilor şi de măsurile adoptate de specialiştii
în securitate. Ameninţările cibernetice vizează absolut toate domeniile – fără nicio
deosebire60. Acelaşi virus sau program malware poate să afecteze un computer
dintr-o bancă sau în situaţia în care este prelucrat corespunzător, să preia controlul
unei centrale energetice. Instrumentele de hacking pot să fie achiziţionate de pe
internet şi pot fi angajați destul de uşor hackeri profesionişti pentru a executa
misiuni ce necesită un plan de atac mai elaborat sau tehnici mai sofisticate de
evaziune. Îmbunătăţirea nivelului de conştientizare a populaţiei privind importanţa 58 „NATO rămâne angajat în întărirea sistemelor informaţionale ale Alianţei împotriva atacurilor cibernetice. Noi am
adoptat recent o Politică privind Apărarea Cibernetică cu structuri şi autorităţi care s-o poată îndeplini. Politica
noastră privind apărarea cibernetică evidenţiază cerinţele NATO şi ale naţiunilor de a proteja sistemele
informaţionale în concordanţă cu responsabilităţile acestora; de a partaja cele mai bune practici şi a asigura o
capabilitate de asistare a capabilităţilor Alianţei, la cerere, pentru contracararea unui atac cibernetic. Noi urmărim în
continuare dezvoltarea capabilităţilor de apărare cibernetică ale NATO şi să întărim legăturile dintre NATO şi
autorităţile naţionale.”, paragraful 47 din declaraţia summit-ului de la București din 2008 59 http://arhiva.euractiv.ro/uniunea-europeana/articles%7CdisplayArticle/articleID_23319/
Noi_propuneri_legislative_de_intarire_a_rezilientei_sectorului_bancar_din_UE.html 60 Dacă în anul 2014 criminalitatea informatică prejudicia economia mondială cu aproximativ 445 miliarde de
dolari, conform unui studiu realizat de Center for Strategic and International Studies împreună cu compania
McAfee, costurile crescând de aproape patru ori între anii 2013 şi 2015 şi ritmul menţinându-se relativ constant,
previziunile pentru viitor indică o cifră de 2000 miliarde de dolari până în anul 2019, conform Forbes, 2016,
http://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-projected-to-reach-2-trillion-by-
2019/#60cb07463bb0. Pe de altă parte, Security Affairs website bazându-se pe o analiza Cybersecurity Ventures,
raportează o creştere a costurilor cu criminalitatea informatică aproximativ 3 trilioane de dolari anual în 2015 la
aproximativ 6 trilioane de dolari anual în 2021, http://securityaffairs.co/wordpress/50680/cyber-crime/global-cost-
of-cybercrime.html şi http://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
31
şi sensibilitatea domeniului securităţii în general şi a celei privind infrastructurile
critice în particular, trebuie coroborată cu alinierea la strategia UE a directivelor
referitoare la securitate61, implementarea unei legislaţii adecvate în acest sens, a
unei proceduri de auditare şi aplicarea de sancţiuni în situaţia nerespectării sau
tratării cu superficialitate a legii62. Nu pot fi ignorate la nesfârşit eforturile
autorităţilor care investesc sume de ordinul miliardelor de unităţi monetare în
parteneriate public private63. Piaţa unică digitală afectează toate statele membre ale
Uniunii Europene şi măsurile privind gestionarea atacurilor fără graniţe trebuie să
beneficieze de implicarea tuturor actorilor ce doresc stabilitatea economico-
financiară şi socială a uniunii64. Structurile guvernamentale devin expuse şi
automat sunt la fel de expuse toate departamentele coordonate.
Conceptul de stabilitate financiară a fost definit în raportul Băncii Centrale
Europene din 2007 ca fiind condiţia în care sistemul financiar este capabil să
reziste la presiuni/şocuri fără întreruperi semnificative în procesele intermediate şi
în alocarea eficientă a resurselor65. În cadrul sectorului financiar-bancar trebuie
efectuate evaluări ale vulnerabilităților ce includ examinări ale potențialelor riscuri
ce rezultă din dependențele trans-sectoriale. Luând în considerare faptul că
„noţiunea de infrastructură critică poate fi asimilată cu orice entitate economică
funcţională, care oferă produse, bunuri şi servicii de utilitate publică vitale pentru
întreaga societate şi a cărei distrugere, degradare ori aducere în stare de
nefuncţionare produce un impact major în plan economico-social, la nivel micro şi
macroregional”66, rezultă că o diminuare a rezilienţei poate să impacteze direct sau
61 Directiva NIS - Strategie UE ce asigură cadrul general pentru inițiativele privind securitatea cibernetică și
criminalitatea informatică. Sectoarele vizate de directivă: Energie, Transport, Bancar, Infrastructuri pentru pieţele
financiare, Sănătate, Alimentare cu apă, Infrastructuri digitale, https://ec.europa.eu/digital-single-
market/en/cybersecurity 62https://concordcom.ro/cele-mai-sensibile-sectoare-la-atacurile-cibernetice-pot-fi-guvernul-finantele-si-
infrastructura/ 63 În data 05.07.2016 Comisia Europeană a lansat noul parteneriat public privat în domeniul securităţii cibernetice,
http://ec.europa.eu/romania/news/05072016_parteneriat_public_privat_securitate_cibernetica_ro.htm 64 Programul Orizont 2020 presupune realizarea unor obiective privind printre altele infrastructuri de cercetare ce
includ şi e-infrastructuri, http://ec.europa.eu/programmes/horizon2020/en/h2020-section/european-research-
infrastructures-including-e-infrastructures 65 European Central Bank, Annual Report 2007,
https://www.ecb.europa.eu/pub/pdf/annrep/ar2007en.pdf?f37181b014afd60b406bd25921c6c48a 66 International Journal of Critical Infrastructures, vol. 1, nr.1/2004
32
indirect orice sector. Nicio evaluare nu poate fi cu adevărat finală, deoarece
sectorul financiar – bancar evoluează în mod constant şi determină evoluţii prin
contaminare, mai ales după adopţia noilor tehnologii. Testele de stres pot să scoată
în evidenţă aspecte care scapă evaluărilor interne şi pot să preîntâmpine
situaţiideosebit de grave. O economie poate fi analizată într-un context restrâns sau
poate fi plasată pe o hartă regională, influenţa financiară devenind un element
dintr-o ecuaţie a unui sistem. Cred că devine din ce în ce mai dificil să discutăm
despre independenţă în acest domeniu şi mult mai potrivit este să vorbim despre
interdependenţă. Globalizarea sau protecţionismul, integrarea sau excluderea sunt
concepte ce se supun în final unor mecanisme de interdependenţă.
CAPITOLUL 5. CONCLUZII ŞI DIRECŢII DE DEZVOLTARE
ULTERIOARĂ
Indiferent dacă discutăm despre instituţii financiare, client consumator sau
sisteme automate de procesare, cyber-criminalii vor căuta continuu vulnerabilităţi
şi vor încerca să activeze propriile implanturi din interiorul instituţiilor, ocolind sau
penetrând sistemele de securitate. Conform unui studiu prezentat de persoane cu
autoritate în materie67, criminalitatea informatică avea costuri de peste 136
miliarde dolari, în fiecare secundă douăsprezece persoane erau victime ale cyber-
crime, una din cinci companii mici şi mijlocii erau vizate de infractorii cibernetici
şi peste 50% din adulţii activi on-line au fost victime în anul 2014. Aşa cum am
mai amintit în corpul studiului, în acord cu cele menţionate de reprezentantul unei
firme de specialitate68, dacă în 1994 era identificat câte un nou virus în fiecare oră
şi în anul 2006 câte unul în fiecare minut, în anul 2012 se prelucrau 100.000 de
sample-uri în fiecare zi sau, câte un nou virus în fiecare secundă. Se pune
întrebarea, care va fi situaţia într-un viitor mai mult sau mai puţin îndepărtat? În
acelaşi timp, volumul tranzacţiilor la nivel mondial a crescut. Masa monetară a
67 Petre Movanu, Magda Popescu – Cybercrime & Cybersecurity, relaţia dintre încălcările IP şi cybercrime, 2015 68 Kaspersky, 2015
33
crescut. Toate operaţiunile financiare sunt supuse riscului de fraudă. Toate
operaţiunile financiare sunt supuse riscului de fraudă. Un anumit procent din total
este interceptat şi deturnat de grupările infracţionale. Păstrând aceeași unitate de
măsură a analizei, se desprinde concluzia că pierderile au crescut direct
proporţional. Sumele fraudate scapă controlului obişnuit şi reintră în circuit după
ce sunt „spălate” şi plasate în acţiuni legale. Atacatorii devin mai inteligenţi şi mai
versatili utilizând inclusiv informaţiile obţinute din social-media. Ei ştiu pe cine să
vizeze, care sunt verigile slabe, ce elemente lipsesc, şi cum să întindă o cursă
eficientă, fiind într-o continuă căutare de alternative. Vom asista la o modificare de
paradigmă?
Dincolo de neajunsuri, se constată că noile tehnologii sunt o proiecție a
viitorului ce nu pot fi ignorate, ci doar experimentate și perfecționate. Pe de altă
parte, dinamica legislativă, de cele mai multe ori cu vector diferit în funcţie de
zona geografică aplicabilă, reprezintă un alt punct de reflecţie şi de inflexiune atât
în adoptarea deciziei de a accesa produse/servicii inovative, dar şi asupra
controalelor ce se impun în scopul reducerii riscului rezidual asociat utilizării unor
astfel de servicii/produse. Trebuie să încercăm să stabilim un echilibru între
măsurile de control şi supleţea procedurilor69. Procesele urmează cultura şi nu
invers. Iar cultura este determinată în primul rând de atitudinea şi alegerile
fiecăruia dintre noi. În caz contrar, vom trata simptomele şi nu cauzele. Să nu
uităm că etica este cel mai mare inamic al fraudei, la fel cum minciuna este cel mai
bun prieten al ei.70
Totuşi, nimic nu este la fel de bun sau de rău cum apare în primă instanţă.
Înainte de a ajunge să stabilim costul în creştere al fraudelor, ar trebui să încercăm
să aplicăm măsurile de prevenţie prin toate modalităţile: educative, de securitate,
tehnice şi procedurale. Câteva dintre ele le-am menţionat în Anexa nr. 1. Dacă
prevenţia nu-şi mai poate manifesta vizibil efectele, se trece la pasul doi –
combaterea, care în contextul internaţionalizării nu se poate face decât prin
69 Liviu-Lucian Răducan – Manual antifraudă, 2011 70 Declaraţia lui Vincent Higgins, Preşedintele Institutului de Conducere Eficientă, www.effective-leadership.com
34
uniformizarea legislaţiei şi a diseminării celor mai bune practici în domeniu. De
asemenea, este necesar să se adopte toate măsurile pentru a reduce costurile
tangibile şi intangibile, o abordare realistă şi obiectivă susţinută de o modificare a
strategiei contabile de calcul general al fraudei, oferind o imagine de ansamblu a
fenomenului. O parte din atributele invizibile pot deveni vizibile printr-o mai bună
comunicare între echipele de investigare a infracţionalităţii din diferite sectoare şi
prin crearea unui sistem integrat de tratare a feedback-ului71 oferit de consumatori.
Considerăm că alinierea la normele europene va impune destul de curând o
schimbare de optică pentru a nu exista în spaţiul UE niciun perimetru care să pună
în pericol securitatea financiară. Deciziile la nivel organizaţional privind
investițiile în tehnologie, în activităţile de documentare, prevenţie, detectare
investigare şi recuperare, elaborarea modelelor de prognoză ce permit testarea de
„what-if” scenarii și planificare, pot să consolideze eforturile de implementare a
celor mai bune măsuri şi creşterea valorilor de performanță. Trebuie identificat
optimul balanţei între detecţie, prevenţie, investigare şi recuperare pentru a putea fi
justificate investiţiile în noile tehnologii.
Chiar dacă spaţiile cibernetic şi financiar72 nu vor putea fi niciodată
considerate ca fiind mai sigure decât spaţiul locuibil/social sau mediul înconjurător
poluabil, o idee care prinde din ce în ce mai mult contur este cea legată de
principiile de descurajare a atacurilor. Instituţiile financiar bancare şi de investiţii
apelează la companii specializate care au capacitatea să vină în sprijinul
departamentelor de securitate internă. Acţiunile conjugate pentru a combate
fenomenul infracţional îşi arată de multe ori roadele. Una dintre dificultăţi constă
în a stabili care este efectul cumulat produs pe termen lung de activităţi aparent
disparate. Plăţile on-line, banii electronici şi banii digitali, „internetul obiectelor” şi
piaţa informaţiilor fac parte integrată din sistemele financiare şi de compensare.
Plăţile mobile reprezintă o mare promisiune în ceea ce priveşte incluziunea
financiară dar pune de-asemenea probleme de integritate financiară. Monedele
71 Inclusiv a reclamaţiilor 72 În zona de intersecţie/suprapunere pot fi privite ca un singur spaţiu
35
virtuale au creat o breşă certificată, acceptată de utilizatori şi se prezintă ca o
alternativă la monedele şi hârtiile de valoare susținute de guverne. Este puțin
probabil că legislaţia internaţională sau legislaţiile naţionale vor putea cuprindă în
timp util toate schimbările apărute pe piaţa tehnologiilor emergente şi să se
adapteze în timp real. Punctele de contact între public şi privat pot să se constituie
în punţi de echilibru necesare unor construcţii solide sau pot să contribuie la
adâncirea conflictului între nou şi vechi sau între tradiţional şi futurist. Rezultatul
unei astfel de confruntări este dificil de preconizat.
Toate cele menţionate trebuie să conducă la ideea de protecţie a activităţii
financiare şi credem că se pot constitui într-un demers ce are drept scop lansarea
unor provocări legislative, în sensul modificării atitudinii generale a companiilor
de stat şi private în faţa agresiunilor cibernetice. Metodele si fluxurile de prevenire
trebuie să se raporteze atât la realitățile socio-economice ale fiecărei comunităţi cât
şi la condiţiile pe termen lung impuse de globalizare.
Se pune întrebarea - s-a pierdut războiul contra banilor negri fără ca măcar
acesta să fi început? Multe obstacole sunt doar politice? În universul finanțelor
virtuale organele de cercetare şi urmărire penală precum şi magistraţii se pot lovi în
orice moment de frontierele ireale ale criminalităţii. Pe lângă avantajele
incontestabile, globalizarea financiară a introdus şi calul troian al marii
infracționalități în sânul democrațiilor. Pentru a face față unei puternice crime
organizate, eforturilor reunite necesare construirii unei Europe Unite a industriei,
cercetării sau a agriculturii, trebuie să fie prelungite și în domeniul judiciar. Ideea
unui spațiu judiciar comun poate rezolva prin uniformizare multe probleme. În
acest sens au fost emise un set de propuneri care menţionau printre altele
garantarea eliminării secretului bancar în cazul cererilor de ajutor reciproc
internațional în materie penală emise de autoritățile judiciare ale diferitelor țări
semnatare, acolo unde acest secret poate fi invocat, acordarea permisiunii oricărui
judecător european să se adreseze direct altui judecător european, prevalarea
transmisiunii imediate și directe a rezultatelor investigațiilor solicitate de către
comisiile rogatorii internaționale, fără să se mai facă recurs intern în statul căruia i
36
s-a cerut, revizuirea Convenției Europene de într-ajutorare judiciară în materie
penală, întărirea asistenței mutual administrative în materie fiscală, etc. Prin
punerea în practică a principiului egalităţii în faţa legii, sperăm în construirea unui
edificiu în care democrația și finanțele să nu mai fie antinomice73.
Infrastructurile critice naţionale şi internaţionale pot să fie direct afectate de
procesele în desfăşurare şi pot la rândul lor să afecteze major domenii particulare
şi/sau economii trans-statale. Uniunea Europeană şi graniţele noi create impun
adoptarea de măsuri unitare în faţa ameninţărilor globale şi locale.
Analizele ce surprind aspecte legate de criminalitatea informatică şi/sau
domeniul financiar încearcă să aducă la lumină fenomene care impactează direct
societatea şi pe baza unor evoluţii se construiesc tipare, care să permită prevenirea,
identificarea şi combaterea în timp real a unor noi agresiuni. Nu trebuie să ne
îndoim de faptul că valabilitatea cercetărilor este totuşi destul de limitată în timp
datorită vitezei de schimbare a mediului informaţional şi a apariţiei de noi
vulnerabilităţi. Ceea ce era valabil în anul 2008 sau în anul 2014 este foarte posibil
să nu mai fie valabil, sau să fie depăşit, în anul 2017. Metodele tradiţionale se
adaptează noilor realităţi. S-a transformat ideea războiului global devenind foarte
apropiată celei de război total. Factorii economici şi cei politici se suprapun ca arie
peste cei decizionali şi cei din domeniul legislativ. Zonele comune ajung să fie de
interes comun sau se transformă în lupte care macină societăţi din interior.
Conflictele internaţionale sunt susţinute de echipe de hackeri angajaţi special în
acest sens. Spionajul industrial şi cel economic nu mai face diferenţa între prieteni
şi aliaţi. Mai multe state pot să conlucreze într-un anumit domeniu şi să se spioneze
reciproc în alte domenii, ceea ce reprezintă o stare de fapt unanim acceptată.
Fiecare naţiune trebuie să facă eforturi pentru a rezista în faţa agresiunilor interne
şi externe. Exerciţiile comune internaţionale ajută la adoptarea de către participanţi
unor practici comune, care şi-au dovedit valabilitatea în timp, dar particularităţile
fiecărei societăţi impune adaptarea acestora în funcţie de realităţile care pot să fie
la rândul lor modificate. În cazul României putem considera că au fost parcurşi
73 Jean de Maillard - Un monde sans loi, Éditions Stock, 1998, Paris
37
paşi importanţi în crearea unui sistem defensiv cibernetic performant, dar rămânem
destul de expuşi convulsiilor pieţelor economice şi a principalelor valute. În cazul
unei lipse de coordonare intersectoriale, efectele pot să fie resimţite pe termen
lung. Nu încercăm să susţinem ideea de adopţie fără discernământ a oricăror
reglementări, dar acolo unde se impune, poate că este bine să se creeze un cadru de
promovare mult mai rapid al măsurilor ce vin în susţinerea efortului de combatere
al infracţiunilor cibernetice coroborate cu cele financiare. Întreaga analiză se
doreşte o pledoarie adresată tuturor organismelor implicate în vederea creşterii
gradului de interconectare.
În prima parte am văzut care sunt noile ameninţări în condiţiile evoluţiilor
tehnologice şi câteva dintre măsurile de prevenire şi protecţie şi am utilizat în
cadrul prezentului studiu metode de cercetare prin comparaţie între stilurile de
abordare ale problematicilor adoptate de organisme naţionale, regionale sau
internaţionale, urmate de măsurile implementate şi cele utilizate în prezent în
România. Chiar dacă în ultima perioadă evoluţia pozitivă a născut speranţe care ne
fac să credem că direcţia este în consens cu aşteptările partenerilor noştri, analiza
pe care am prezentat-o şi care se bazată pe istoricul deciziilor şi al efectelor
datorate vulnerabilizării sistemelor, cred că ne face să privim cu prudenţă
rezultatele neconsolidate încă. Culegând datele disponibile pe mai mulţi ani şi
aşezându-le după prelucrare sub forma unor grafice destul de explicite, sperăm că
am reuşit să atragem atenţia asupra unor elemente ce pot să scape la prima vedere
unui public neautorizat. Noile medii de stocare şi prelucrare a informaţiei oferă noi
posibilităţi de dezvoltare dar nasc în acelaşi timp şi noi provocări privind
securitatea în general şi transferurile financiare în particular. În acest sens, este
posibil ca în viitor să fie necesară elaborarea unui ghid orientativ sau chiar a unuia
particular pentru reglementarea procedurilor de furnizare şi accesare a serviciilor.
Similar, pe lângă cele menţionate în Anexa nr. 1 a prezentului studiu referitor la
criminalitatea informatică, ne aşteptăm ca cei interesaţi să încerce să completeze
setul de propuneri în aşa fel încât să poată fi adoptate fără reţinere de toate
instituţiile financiar bancare şi de asigurări. O piaţă comună trebuie să respecte
38
reguli de conduită comune şi să apeleze la un set comun de instrumente care să le
permită o reacţie comună în faţa agresiunilor. Cele menţionate în capitolele privind
tranzacţiile cu cardul sunt un exemplu clar de necesitate a unei construcţii, care să
se constituie într-o fundaţie ce trebuie să suţină un front comun format din furnizor
şi consumator. Metoda deductivă de utilizată în cazul elementelor de risc s-a bazat
pe experienţele obţinute de predecesori şi permite o dezvolatare ulterioară a
subiectului pe paliere dependente de specificul fiecărei activităţi. Analizele de risc
au la bază elemente comune şi respectă principii comune dar efectele diferă în
funcţie de aşteptările celui care este în măsură să expună exigenţele legate de
continuitatea afacerii despre care am discutat în Anexa nr. 1.
Devenim tot mai dependenţi de tehnologie. Mediul de prodicţie mediul
financiar, mediul social şi cel cultural devin tot mai dependente de tehnologie. Este
incorect a se considera că nu există respnsabilităţi decât în anumnite contexte.
Fiecare entitate sau persoană fizică este responsabilă şi are datoria de a proteja, de
a preîntâmpina sau de a semnala evenimentele capabile să afecteze securitatea
informatică şi cea financiară. Ideea de permisivitate poate să constituie subiectul
unei dezbateri sau poate să fie eliminată din toate analizele în sensul neacceptării
ei. O singură breşă aparent neimportantă oferă mai târziu cale de acces facilă
infractorilor. Ceea ce pare neimportant într-un context devine deosebit de
important în alt context. Mecanismele de reglare ale societăţii pot să producă efecte
imediate sau după absorbţia unor şocuri dureroare nedorite.
ANEXA 1
GHID PENTRU INSTITUŢIILE FINANCIARE
Ghidul se adresează atât instituţiilor financiare private cât şi celor de stat,
fără a exista diferenţe semnificative de substanţă. Regulile sunt aceleaşi şi
disciplina financiară trebuie respectată în egală măsură. Pornind de la acest
deziderat nu putem să ignorăm recomandările organismelor de supraveghere
39
financiară din România, Uniunea Europeană şi din afara spaţiului uniunii. Mai
mult decât atât, cred că este bine să fie luate în calcul ghidurile deja publicate şi
care au o adresabilitate mai largă. Setul de măsuri promovate de Centrul Naţional
de Răspuns la Incidente de Securitate Cibernetică din România constituie un
exemplu elocvent născut ca urmare a efectelor unor atacuri concentrate şi
concertate la care specialiştii au trebuit să facă faţă. Monitorizarea traficului a
inclus binenţeles şi elemente legate de activitatea curentă dar avertizările timpurii
au demonstrat că încrederea acordată nu a fost în nici un caz înşelată. Dacă ar fi
adoptat un set comun de reguli, poate că breşele ce au permis totuşi penetrarea
anumitor sisteme, ar fi mult opturate.
Având convingerea că există mult mai multe aspecte ce pot fi surprinse
referitor la subiectul în discuţie, putem să prezentăm o parte din problemele ce pot
să provoace pierderi reputaţionale şi financiare deosebit de importante atât la nivel
general cât şi la nivel particular, de instituţie.
Deoarece noile tehnologii înglobează date cu caracter personal pe acelaşi
suport de înregistrare cu datele financiare, pericolul expunerii în faţa agresorilor
este deloc de neglijat. Procedurile şi procesele de business trebuie să ajusteze
politicile de securitate şi fluxurile de lucru. Trebuie definite limitele şi
responsabilităţile în aşa fel încât să nu fie afectată structura internă a instituţiei
financiare. Orice serviciu externalizat către un terţ trebuie să se supună aceloraşi
reguli de securitate. Instituțiile financiare publice sau private au obligația să
respecte normele referitoare la segregarea infrastructurii reţelei în funcţie de
accesul la date, implementarea unei zone DMZ74, precum şi a unor sisteme DLP75.
Deşi aparent în teorie planificarea strategică realistă a unui program de
management al securităţii pare un lucru simplu, în esenţă activitatea reprezintă un
demers plin de provocări
Ca şi domenii distincte, aceste concepte generale se pot împărţi în trei mari
categorii:
74 Demilitarized Network, https://en.wikipedia.org/wiki/DMZ_(computing); 75 Data Loss Prevention, https://en.wikipedia.org/wiki/Data_loss_prevention_software
40
a) Securitate IT
b) Securitate Fizică
c) Continuitatea Afacerii
Conform ultimelor recomandări, un segment pare a se desprinde distinct
din cele trei şi a se afirma ca fiind de sine stătător:
d) Managementul Riscului
Deoarece securitatea este un proces continuu, trebuie pus în aplicare un set
de măsuri şi controale care să ajute la minimizarea atât a ameninţărilor, cât şi a
efectelor datorate erorilor umane. Standardele în vigoare recomandă cinci tipuri
diferite de măsuri: preventive, reductive, detective, reactive şi corective.
Echipele de securitate trebuie să asigure pe de o parte procesele interne şi
externe de conformitate, să permită noi servicii, să optimizeze performanţa, să
asigure disponibilitatea şi să sprijine procesele de business ale companiilor.
Într-un articol apărut în luna aprilie 2016, Christopher Murphy76 lansa
câteva idei deosebit de interesante77 referitoare la faptul că fiecare calculator
trebuie considerat ca fiind compromis78, termenul „securitate publică” pentru un
server este un oximoron care nu mai poate fi ignorat79 şi că datele informatice
trebuie încadrate în trei mari categorii: deschise sau publice, protejate şi securizate.
Măsurile de bune practici generale în domeniul securităţii ar trebui
implementate de absolut toate societăţile financiare !
Bunele practici in domeniu recomandă o gamă largă de metrici şi indicatori
de performanţă ce pot fi utilizati pentru a urmări cât de eficient procesul de
management al securităţii. În funcţie de departament sau de clasificarea anumitor
documente, măsurile pot să fie îmbunătăţite şi/sau suplimentate pentru a răspunde
tuturor necesităţilor. Specificul activităţii este acela care dictează în ultimă instanţă
implementarea, consolidarea sau eliminarea anumitor categorii.
76 Fondator Cyber Safety Harbor 77 https://www.linkedin.com/pulse/best-practices-change-christopher-murphy-1 78 O ipoteză de securitate de bază 79 În cazul în care un server este „sigur/securizat”, atunci el este accesibil doar „utilizatorilor cunoscuți”, care au un
drept de acces - în cazul în care un server este „public”, toată lumea are acces.
41
BIBLIOGRAFIE
Legislație:
1. Directiva 2008/114/EC a Consiliului;
2. Directiva (UE) 2015/849 a Parlamentului European și a Consiliului;
3. Directiva (UE) 2015/2366 a Parlamentului European și a Consiliului;
4. Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului;
5. HG nr. 1110/2010;
6. HG nr. 718/2011;
7. HG nr. 1198/2012;
8. Legea nr. 253/2004;
9. Legea 656/2002;
10. Norme Metodologice din 19 martie 2013 pentru
realizarea/echivalarea/revizuirea planurilor de securitate ale
proprietarilor/operatorilor/administratorilor de infrastructură critică
natională/europeană;
11. Noul Cod Penal al României;
12. Noul Cod de Procedură Penală al României;
13. OUG 98/2010 actualizată;
14. Recomandarea Comitetului European pentru Risc Sistemic din 4 aprilie
2013 privind obiectivele intermediare și instrumentele politicii macroprudențiale
(CERS/2013/1), (2013/C 170/01);
15. Regulamentul nr. 4/13.06.2002 al BNR privind tranzacţiile efectuate prin
intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la
aceste tranzacţii;
16. Regulamentul nr. 5/20.12.2013 al BNR;
17. Regulamentul nr. 575/26.06.2013 al Parlamentului European;
42
18. Regulamentul nr. 260/2012 al Uniunii Europene;
Cărți, articole:
1. ACFE – Fraud Examiners Manual, International Edition 2015;
2. Ajibola Adetilewa Ogunbadewa - The Bitcoin Virtual Currency: A Safe
Haven for Money Launderers?, University of Wales System - Carddiff Law
School, september 2013;
3. Alexander Gostev, Roman Unuchek, Maria Garnaeva, Denis Makrushin,
Anton Ivanov - IT THREAT EVOLUTION IN Q1 2016;
4. Alexandrescu Grigore, Văduva Gheorghe - Infrastructuri critice. Pericole,
ameninţări la adresa acestora. Sisteme de protecţie, Editura Universităţii Naţionale
de Apărare „Carol I”, Bucureşti, 2006 ;
5. Anil K. Jain, Arun Ross, Salil Prabhakar – An Introduction to Biometric
Recognition, IEEE Transactions on Circuits and Systems for Video Technologies,
vol. 14, no. 1, 2004;
6. Anil K. Jain, Sharath Pankanti, Salil Prabhakar, Lin Hong, Arun Ross,
James L. Wayman - Biometrics: A Grand Challenge, Proceedings of International
Conference on Pattern Recognition, Cambridge, UK, 2004;
7. Aru, Okereke Eze, Ihekweaba Gozie - Facial Verification Technology for
Use In Atm Transactions, American Journal of Engineering Research (AJER),
Volume-02, Issue-05, pp-188-193, 2013;
8. Asociaţia Naţională pentru Securitatea Sistemelor Informatice - Ghid
Securitatea în Cloud;
9. Asociaţia Română a Băncilor, Comisia Antifraudă – Departamentul
Antifraudă, de la strategie la implementare, seminar Combaterea Crimei
Organizate, 2013;
10. Asociation of Certified Fraud Examiners - Report to the Nation, USA, 2007;
11. Banca Naţională a României - Raport asupra stabilității financiare, 2015 ;
43
12. Basel Committee on Banking Supervision - Shell banks and booking
offices, 2003;
13. Bogdan Ştefan Ionescu, Cristina Prichici, Laura Tudoran - Cloud
Accounting - A Technology that may Change the Accounting Profession in
Romania, audit Financiar, Anul XII, nr. 110 – 2/2014;
14. Camelia Bogdan - Consideraţii privind unele conexiuni între spălarea
banilor şi finanţarea actelor de terorism, FATF „Terrorist Financing”, Tipologii
prezentate în cadrul Adunării Plenare a FATF de la Paris, în data de 29.02.2008,
publicate pe website-ul http://fatf-gafi.org., la 14.03.2008, pag.25 ;
15. Center for Cyber & Homeland Security, The George Washinton University -
Project Report, Into the Gray Zone, The Private Sector and Active Defenseagainst
Cyber Treats,;
16. Changsoo Lee , Daewon Jung and Keunwang Lee - A Survey on Security
Threats and Security Technology Analysis for Secured Cloud Services,
International Journal of Security and Its Applications Vol.7, No.6 (2013), pp.21-
30;
17. Cloud Security Alliance – How cloud is being used in the financial sector:
Survey Report, March 2015;
18. Committee on Payments and Market Infrastructures, Board of the
International Organization of Securities Commissions - Consultative report,
Guidance on cyber resilience for financial market infrastructures, November,
2015;
19. Committee on Payment and Settlement Systems, Technical Committee of
the International Organization of Securities Commissions - Disclosure framework
for financial market infrastructures, Consultative report, April 2012;
20. Committee on Payment and Settlement Systems, Technical Committee of
the International Organization of Securities Commissions - Principles for financial
market infrastructures, April 2012;
44
21. Cristian Păun – Cursul I, Finanţare Internaţională, Introducere în
problematica Sistemului Financiar Internaţional, Academia de Studii Economice
Bucureşti, Facultatea de Relaţii Economice Internaţionale;
22. Cüneyt Dirican - Will the Central Banking be the Center of Banking?,
International Journal of Economics, Commerce and Management, Vol. IV, Issue 5,
2016, United Kingdom;
23. Danton Bryans - Bitcoin and Money Laundering: Mining for an Effective
Solution, Indiana University School of Law, 89 Ind.L.J. 441, 2014;
24. Dan Victor Cavaropol - Managementul crizelor, Sesiunea de comunicări
internaţionala a Academiei de Poliţie, 2011;
25. Dan Victor Cavaropol - Management strategic şi analiză de risc, Editura
Sitech Craiova, 2012, ISBN 978-606-11-2857-0;
26. Dan Victor Cavaropol şi alţii – Cercetări fundamentale în domeniul Ordinii
Publice şi Siguranţei Naţionale, Vol 1, Editura Prouniversitaria, 2015, ISBN 978-
606-26-0237-6, ISBN Vol. 1 978-606-26-0238-3;
27. Dan Victor Cavaropol - Securitatea Umană – Concepte şi Abordări Moderne
Revista Academiei de Științe ale Securității Naționale, Nr. 1 (01), Anul I, 2016;
28. Deepa Malviya - Face Recognition Technique: Enhanced Safety Approach
for ATM, International Journal of Scientific and Research Publications, Volume 4,
Issue 12, 2014;
29. EAST – European Fraud Update, 2015;
30. Emil Dinga – Consideraţii teoretice privind Evaziunea Fiscală vs Frauda
Fiscală, Studii Financiare 4/2008, Abordări teoretice şi modelare;
31. European Central Bank, Annual Report 2007;
32. FATF - Abuzul prin intermediul corporaţiilor, inclusiv trusturi şi furnizorii
de servicii, 2006;
33. FATF - Terrorist Financing FATF Report to G20 Leaders, November 2015;
34. FATF Report - Money Laundering Through the Physical Transportation of
Cash, October 2015;
45
35. FORTINET 2013 CYBERCRIME REPORT - Cybercriminals Today Mirror
Legitimate Business Processes;
36. Garin Pace, Anthony Shapella and Greg Vernaci – AIG, Achieving Cyber
Resilience;
37. George Marius Ţical - Crima organizată şi terorismul, Editura Fundației
Universitare "Dunărea de Jos", 2006;
38. George Marius Ţical - Metodologia de investigare a infracțiunilor legate de
criminalitatea organizată, Editura CTEA, 2008;
39. Group-IB - BUHTRP, The evolution of targetet attacks against financial
institutions, 2016;
40. Homeland Security - Strategy for Critical Infrastructure Protection in the
Financial Services Sector, 2004;
41. Homeland Security - Banking and Finance Sector-Specific Plan - An Annex
to the National Infrastructure Protection Plan, USA 2010;
42. Houda Ferradi, Rémi Géraud, David Naccache, Assia Tria - When
Organized Crime Applies Academic Results - A Forensic Analysis of an In-Card
Listening Device, International Association for Cryptologic Research, 2015;
43. International Journal of Critical Infrastructures, vol. 1, nr.1/2004;
44. Ioana Vasiu şi Lucian Vasiu - Criminalitatea în Cyberspaţiu, editura
Universul Juridic, Bucureşti 2011;
45. Ioana Vasiu şi Lucian Vasiu-A framework for secure electronic paymants-
The Rule of Law in the Digital Era-The International Conference-Cluj-Napoca 8-9
May 2015;
46. Jean de Maillard - Un monde sans loi, Éditions Stock, 1998, Paris ;
47. Joe S. Gomez, CFE – Fraud:Reality, Perception, Detection and Reputation,
The Bank Card Business School, 2008;
48. Judith A. Markowitz – Voice Biometrics, Communications of the ACM,
Vol. 43, No. 9, 2000;
49. Kenneth N. Waltz - Omul, statul si razboiul;
50. LexisNexis - True Cost of Fraud Study, Annual Report, 2015;
46
51. Liviu-Lucian Răducan – Manual antifraudă, 2011;
52. Louis de Koker - The 2012 Revised FATF Recommendations: Assessing
and Mitigating Mobile Money Integrity RisksWithin the New Standards
Framework, Washington Journal of Law, Technology & Arts Volume 8, ISSUE
3Mobile Money Symposium 2013;
53. Manual de Instruire privind Combaterea Spălării Banilor şi a Finanţării
Terorismului, Proiect finanţat de UE;
54. Mark Goulden, Pat Fraser - Measuring Compliance Risk … Art or Science?,
2003;
55. Marios Savvides - Introduction to Biometric Technologies and Applications,
ECE & CyLab, Carnegie Mellon University;
56. MasterCard - XB Fraud Report – Romania, Europe, 2015;
57. MasterCard Worldwide – Security Rules and Procedures, Merchant Edition,
2011;
58. Matei Kubinschi – Sectorul Financiar Nebancar şi Stabilitatea Financiară;
59. Mayes, K., Markantonakis, K., Chen, C - Smart card platform fingerprinting,
The Global Journal of Advanced Card Technology, 2006;
60. Mihai Preda - Reţele de calculatoare şi internet – cloud computing, IISC,
Universitatea Politehnică Bucureşti;
61. Ministerul pentru Societatea Informaţională – Strategia Naţională privind
Agenda Digitală pentru România, Guvernul României, Iulie 2013;
62. Mircea Constantin Şcheau – Spălarea banilor şi finanţarea terorismului versus
managementul strategic al infrastructurilor critice, Revista de Ştiinte Militare editată
de Secţia de Ştiinţe Militare a Academiei Oamenilor de Ştiinţă din România – Nr.3
(24) Anul XI, Bucureşti, 2011;
63. Mircea Constantin Şcheau - O privire critică asupra noilor medii de stocare,
prelucrare şi transmitere a informaţiei – impactul asupra domeniului financiar,
Conferinţa „Noi Provocări ale Securităţii Interne în UE”, Academia de Poliţie
Bucureşti, 2015, Editura Universul Juridic, Revista de investigare a criminalităţii,
Anul VIII 2015 Număr special Vol. I, ISSN 1844-7945, www.cij.ro;
47
64. Mircea Constantin Şcheau, Constantin Ilea - A critical insight on the new
information storage, processing and transmission environment, Annals of the
„Constantin Brâncuşi” University of Târgu Jiu, ISSUE 4/2015, ISSN 1842-4856, Tg
Jiu, 2015;
65. Mircea Constantin Şcheau, Constantin Ilea – A cloud technology analysis
from the new legislative perspective, Proceedings of The 9th International Conference
on Knowledge Management-Projects, Systems and Technologies „KM 09”,
National Defense University „Carol I”, Security and Defense Faculty, ISSN 2069-
1920, Bucharest, Romania 2015;
66. Mircea Constantin Şcheau, Gerald Dincă - Cyberattack – Risk Factor for
Financial Transaction, Proceedings of The 11th International Conference „Strategies
XXI” on TEHNOLOGIES – MILITARY APLICATIONS, SIMULATION AND
RESOURCES, National Defense University „Carol I”, Command and Staff Faculty,
Doctoral School, Volume 1, ISSN 2285-8318, ISSN L2286-8318, Bucharest,
Romania, 2015;
67. Mircea Constantin Şcheau, Adrian - Liviu Arsene, Gerald Dincă – Infection
Vectors – Risk Factor for Financial Transactions, International Journal of
Information Security and Cybercrime, Volume 4, ISSUE 2/2015, ISSN 2285-9225,
e-ISSN 2286-0096, Digital Object Identifier 10.19107/IJISC.2015.02.07,
www.ijisc.com, Bucharest, 2015, published by Sitech Publishing House;
68. Mircea Constantin Şcheau, Mihail-Petrică Marcoci - Globalization – Impact
on the financial domain, Annals of the „Constantin Brâncuşi” University of Târgu Jiu,
ISSUE 4/2015, ISSN 1842-4856, Tg Jiu, 2015;
69. Mircea Constantin Şcheau, Bogdan Adrian Turliu – Skimming -
Evolution of Card Cyber Crime, Proceedings of The 12th International Conference
„Strategies XXI” on STRATEGIC CHANGES IN SECURITY AND
INTERNATIONAL RELATIONS, National Defense University „Carol I”, Security
and Defense Faculty, Doctoral School, Volume 2, ISSN 2285-8415, ISSN L2285-
8318, Bucharest, Romania,2016;
48
70. Mircea Constantin Şcheau, Bogdan Adrian Turliu – Bank Fraud Combating
Metods, Proceedings of The 12th International Conference „Strategies XXI” on
STRATEGIC CHANGES IN SECURITY AND INTERNATIONAL RELATIONS,
National Defense University „Carol I”, Security and Defense Faculty, Doctoral
School, Volume 2, ISSN 2285-8415, ISSN L2285-8318, Bucharest, Romania,2016;
71. Mircea Constantin Şcheau, Constantin Ilea – Implicaţii financiare şi juridice
în fraudele cu carduri bancare, Conferinţa cu participare internaţională „Valenţe
juridice şi sociale ale procesului de europenizare a ordinii juridice româneşti”, Tg
Jiu, 2016, Universitatea „Constantin Brâncuşi” din Tg - Jiu, Uniunea Juriştilor din
România, Societatea Română de Drept European, Editura Universul Juridic,
descrierea CIP nr. 05213/09.03.2016 a Bibliotecii Naţionale a României – Valenţe
juridice şi sociale ale procesului de europenizare a ordinii juridice româneşti”,
ISBN 978-606-673-813-2;
72. Mircea Constantin Şcheau, Adrian - Liviu Arsene, Gerald Dincă -
Phishing and E-commerce: an Information Security Management Problem, Journal
of Defense Resources Management, Vol. 7, Issue 1 (12)/2016, ISSN: 2068-9403,
eISSN: 2247-6466, ISSN-L: 2247-6466, Braşov - România, 2016;
73. Mircea Constantin Şcheau – Conexiuni între activitatea bancară şi
operaţiunile de spălarea banilor, ediţia a 5-a a Conferinţei „Noi provocări la adresa
securităţii interne în UE”, Academia de Poliţie „Alexandru Ioan Cuza”, Bucureşti
2016, Editura Universul Juridic, Revista de investigare a criminalităţii, Anul
IX/Numărul 1/2016, ISSN 1844-7945, www.cij.ro;
74. Mircea Constantin Şcheau, Ştefan Gabriel Dascălu – Managementul
Riscului de Fraudă în cazul tranzacţiilor financiare cu cardul, Fraud Risk
Management in case with financial transaction with card, Proceedings of The 6th
International Scientific Conference on „Challanges and Strategies in Public Safety
and Order”, „Alexandru Ioan Cuza” Police Academy, Bucharest, 2017, Conference
Proceedings published by Sitech Publishing House, ISSN 2559-3277, Craiova,
Romania 2017;
49
75. Mircea Constantin Şcheau – Strategic Management of Critical
Infrastructures and Financial Domain, International Journal of Information
Security and Cybercrime, Volume 6, ISSUE 1 (11), June 2017, ISSN 2285-9225, e-
ISSN 2286-0096, Digital Object Identifier 10.19107/IJISC, www.ijisc.com,
Bucharest, 2017, published by Sitech Publishing House;
76. Mircea Constantin Şcheau, Ştefan Pop Zaharie – Methods of Laundering
Money Resulted from Cyber-crime, Economic Computation and Economic
Cybernetics Studies and Research, Volume 51, Issue 3/2017, Format: online ISSN
1842–3264, Format: print ISSN 0424–267 X, Bucharest, 2017;
77. Mohammed Aamir Ali, Budi Arief, Martin Emms, and Aad van Moorsel -
Does The Online Card Payment Landscape Unwittingly Facilitate Fraud?,
Newcastle University ePrints - eprint.ncl.ac.uk, 2016;
78. Murdoch, S.J., Drimer, S., Anderson, R., Bond, M.- Chip and pin is broken,
IEEE Symposium on Security and Privacy, 2010;
79. National Institute of Standards and Technology - Framework for Improving
Critical Infrastructure Cybersecurity, Version 1.0, 2014 ;
80. Oficiul Naţional de Prevenire şi Combatere a Spălării Banilor – Ghidul de
Tranzacţii Suspecte, 2004;
81. Oficiului Naţional de Prevenire şi Combatere a Spălării Banilor – Sinteza
activităţii semestrul I 2016, 08.12.2016;
82. Paul Cornish, David Livingstone, Dave Clemente and Claire Yorke - A
Chatham House Report, Cyber Security and the UK’s Critical National
Infrastructure, 2011;
83. Petre Movanu, Magda Popescu – Cybercrime & Cybersecurity, relaţia dintre
încălcările IP şi cybercrime, 2015;
84. P. H. Luehr , Real Evidence, Virtual Crimes – The Role of Computer
Forensic Experts,Criminal Justice, vol. 20, 2005-2006;
85. P. Jonathom Phillips, Alvin Martin, C.L. Wilson, Mark Przybocki – An
Introduction to Evaluating Biometric Systems, National Institute of Standards and
Technology, 2000;
50
86. Prezentare Bogdan Adrian Turliu, Echipa Investigaţii carduri,
Departamentul Investigaţii, 2014;
87. Prezentare Bogdan Adrian Turliu, Echipa Investigaţii carduri,
Departamentul Investigaţii, 2015;
88. Prezentare Cristian Iordan, Serviciul Român de Informaţii, Centrul Naţional
Cyberint, Confereg, 2016;
89. Prezentare Diana Pruteanu, Pablo Lopez-Cuervo – MoneyGram, Business
Operations, Southern Europe, 2015;
90. Prezentare Dragoş Ichim, Serviciul Român de Informaţii, Confereg, 2016;
91. Prezentare IGPR – Aspecte teoretice şi practice în materia spălării banilor,
2015;
92. Prezentare MasterCard – Card Fraud Experts Meeting, Kalman Fejes, 2015;
93. Prezentare MasterCard Worldwide – Card Business Overview, 2008;
94. Prezentare MasterCard Worldwide - The PCI Security Standards, Council,
Jeremy King, 2010;
95. Prezentare MasterCard Worldwide – Types of Card Fraud, 2007;
96. Prezentare Mircea Constantin Şcheau – Scurtă incursiune în domeniul
infracţionalităţii cu carduri, Conferinţa Justice and Cyber-Crime, 2011;
97. Prezentare Mircea Constantin Şcheau, Bogdan Adrian Turliu – Noi tendinţe
în domeniul infracţionalităţii cu carduri, Justice and Cyber-Crime, 2012;
98. Prezentare Mircea Constantin Şcheau, Bogdan Adrian Turliu –
Infracţionalitatea cu carduri – trecut şi viitor?, Justice and Cyber-Crime, 2013;
99. Prezentare Pay Pal – Luke Olbrich, 2015;
100. Prezentare Risk Roadmap Accommodating Complexity, A perspective from
Stanley Skoglund, 2012;
101. Prezentare Underwriters Laboratories Inc. - Mobile Payments:The Payment
Industry vs. Silicon Valley, Henrique Di Lorenzo, 2015;
102. Prezentare Visa Europe – Visa Romania Fraud Forum, Fraud Services
Update, 2010;
103. Prezentare Visa Europe Fraud Management, 2015;
51
104. Prezentare VISA, Fraud Reporting System (FRS), 2012
105. Prezentare Visa Europe Risk Management. Technology Risk, Managing
Risk for Cloud-based Payments, 2015;
106. Prezentare What To Do If Compromised, Visa Inc. Fraud Control and
Investigations Procedures,Version 3.0 (Global), 2011;
107. Raport cu privire la alertele de securitate cibernetică procesate de CERT-RO
în anul 2014, www.cert-ro.eu;
108. Raport detaliat al celei de a treia runde de evaluare a României -
Combaterea spălării banilor şi finanţării terorismului , Pentru adoptarea de către
Comitetul MONEYVAL în cadrul celei de a 27-a Sesiuni PlenareStrasbourg, 7-11
Iulie 2008, Memorandum Pregătit de Secretariat, Direcţia Generală Drepturile
Omului şi Afaceri Juridice;
109. Robin Cosma - Considerații privind conceptul de reziliență și protecția
infrastructurii critice, Revista de investigare a criminalităţii, Anul VIII, nr. 1/2015,
ISSN 1844 – 7945, pag. 253-261;
110. Robin Cosma, Dan Cavaropol - Floods and national security of Romania,
International Journal of Environmental Science, ISSN: 2367-894, vol. 1, 2016;
111. Rutger Leukfeldt & Jurjen Jansen - Cyber Criminal Networks and Money
Mules: An Analysis of Low-Tech and High-Tech Fraud Attacks in the
Netherlands, International Journal of Cyber Criminology, Vol 9 Issue 2 July –
December 2015;
112. Serviciul Român de Informaţii – Prezentare Protecţia Infrastructurilor
Critice;
113. Stoican Constantin, Grecea Anca-Cristina - Consolidarea Rezilienței
Societății Civile în fața unor posibile situații de criză și perfecționarea controlului
parlamentar asupra serviciilor de informații, premise actule ale dezvoltării
strategiilor de securitate ale României;
114. Symantec - The increased use of PowerShell in attacks, v1.0, 2016;
115. Ştefan Gabriel Dascălu, Mircea Constantin Şcheau – Consideraţii generale
privind operaţiunile de spălarea banilor, Editura Universul Juridic, Revista de
52
Investigare a Criminalităţii, Anul VIII/Numărul 2/2015, ISSN 1844-7945,
www.cij.ro;
116. Ştefan Gabriel Dascălu - Combaterea Criminalităţii Organizate, Edit. Sitech,
Craiova, 2016;
117. The FATF Recommendations, International Standards on Combating Money
Laundering and the Financing of Terrorism & Proliferation, February 2012;
118. The Travel Guide to Email Fraud, returnpath.com;
119. The Wolfsberg Group - Wolfsberg Correspondent Banking Principles,
Wolfsberg Anti Money Laundering Principles for Correspondent Banking, 2014;
120. Toma Pinchiş, Lajos Antal - Fraud Trends and Solutions, TECC Barcelona,
2014;
121. UK Cabinet Office, Strategic Defence and Security Review, 2010;
122. Valentina Pavel Burloiu, Dana Ududec - The EU data protection reform -
analysis of the newly proposed provisions and the impact on the Romanian Data
Protection Authority;
123. VISA – Introduction to Cryptography and PIN Security, 2002;
124. VISA – VisaCard verification value 2 (CVV2) merchant guide, A Tool for
Understanding CVV2 for Greater Fraud Protection, 2002;
125. Wojciech Bil - The True Cost Of Fraud, Citi UK Consumer Bank;
126. Zura Kakushadzexy, Willie Yu - Statistical Risk Models, february 14, 2016.
Resurse Internet:
1. Adi Shamir – Side Channel Attaks-Past, Present, And Future,
https://www.blackhat.com/eu-14/briefings.html#side-channel-attacks-past-present-
and-future;
2. http://www.anis.ro/55-dintre-companiile-mari-din-romania-folosesc-cloud
/#.WA8Vx_THhic;
53
3. http://arhiva.euractiv.ro/uniunea-europeana/articles%7CdisplayArticle/
articleID_23319/Noi_propuneri_legislative_de_intarire_a_rezilientei_ sectorului_
bancar_din_UE.html ;
4. http://www.bankinfosecurity.com/black-box-atm-attacks-emerging-threat-a-
9056;
5. http://www.bbc.com/news/business-28099694;
6. Bitdefender, „Un nou val de mesaje ce conțin un virus bancar vizează
clienții băncilor din România”, 9 Iulie 2015, http://www.bitdefender.ro/news/un-
nou-val-de-mesaje-ce-contin-un-virus-bancar-vizeaza-clientii-bancilor-din-
romania-3058.html;
7. http://blog.fortinet.com/2016/12/06/deep-analysis-of-the-online-banking-
botnet-trickbot;
8. https://blog.knowbe4.com/scam-of-the-week-the-1-billion-yahoo-
hack?utm_content=43483965&utm_medium=social&utm_source=linkedin;
9. www.bnr.ro;
10. http://www.bnr.ro/Indicatori-plati-5291.aspx;
11. http://www.bnr.ro/Indicatori-plati---perioada-2013---2015T1-5252.aspx#;
12. http://www.b365.ro/inventatorul-mircea-tudor-locul-12-din-15-in-romania-
de-doua-ori-primul-din-1000-la-geneva_199317.html;
13. https://www.bloomberg.com/news/articles/2016-12-15/banks-turn-to-mind-
reading-to-source-top-tech-graduates;
14. https://www.bloomberg.com/news/articles/2016-12-11/blockchain-lures-
central-banks-as-danes-consider-minting-e-krone;
15. https://www.bloomberg.com/news/articles/2016-12-16/fintech-firm-could-
help-unravel-mysteries-behind-flash-crashes
16. http://www.bursa.ro/38536eful-sie-probabilitatea-unui-atac-cibernetic-
catastrofic-la-adresa-romaniei-ramane-redusa-29...&s=print&sr=
articol&id_articol=293188.html;
17. http://www.bursa.ro/sumele-refuzate-de-banci-la-plata-au-crescut-in-
octombrie-fata-de-septembrie-cu-30-procente-312186&s=banci_asigurari&articol=
54
312186.html;
18. http://businessinsights.bitdefender.com/the-81-million-heist-from-a-
hypervisor-introspection-perspective;
19. Calvin Shueh - Biometrics: Fingerprint Technology,
www.cs.sjsu.edu/~stamp/CS265/projects/Spr04/section1/;
20. https://cchs.gwu.edu/sites/cchs.gwu.edu/files/downloads/CCHS-Active
DefenseReportFINAL.pdf;
21. http://ccpic.mai.gov.ro/pic.html;
22. https://www.centralia.edu/academics;
23. www.cert.ro;
24. https://cert.ro/citeste/mirai-botnet-ddos;
25. https://www.cert-ro.eu/files/doc/775_20131030091057011764400_X.pdf;
26. Public Key Encryption and Digital Signature: How do they work?,
https://www.cgi.com/files/white-papers/cgi_whpr_35_pki_e.pdf;
27. http://www.cityam.com/1406190300/ecb-website-hacked;
28. http://www.computerworld.com/securitytopics/security/story/0,10801,10155
7,00.html;
29. https://concordcom.ro/cele-mai-sensibile-sectoare-la-atacurile-cibernetice-
pot-fi-guvernul-finantele-si-infrastructura/;
30. http://cursdeguvernare.ro/cat-de-folosit-este-cloud-computing-ul-in-europa-
si-romania-ce-servicii-in-cloud-vor-putea-accesa-institutiile-publice-din-tara-pana-
la-sfarsitul-acestui-an.html;
31. http://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/;
32. https://www.dhs.gov/financial-services-sector;
33. https://ec.europa.eu/digital-single-market/en/cybersecurity;
34. http://ec.europa.eu/eurostat/documents/;
35. http://ec.europa.eu/programmes/horizon2020/en/h2020-section/european-
research-infrastructures-including-e-infrastructures;
36. http://ec.europa.eu/romania/news/05072016_parteneriat_public_privat_secur
itate_cibernetica_ro.htm;
55
37. https://www.ecb.europa.eu/pub/pdf/annrep/ar2007en.pdf?f37181b014afd60b
406bd25921c6c48a;
38. http://www.ecb.europa.eu/pub/pdf/other/virtualcurrencyschemes201210en.pdf
39. www.effective-leadership.com;
40. http://www.egmontgroup.org/;
41. https://www.emvco.com/;
42. https://en.wikipedia.org/wiki/Advanced_persistent_threat;
43. https://en.wikipedia.org/wiki/Antivirus_software#Signature-
based_detection;
44. https://en.wikipedia.org/wiki/Bitcoin;
45. https://en.wikipedia.org/wiki/Blacklist_(computing);
46. https://en.wikipedia.org/wiki/Botnet;
47. https://en.wikipedia.org/wiki/Bretton_Woods_system;
48. https://en.wikipedia.org/wiki/Brute-force_search;
49. https://en.wikipedia.org/wiki/Click_fraud;
50. https://en.wikipedia.org/wiki/Cloud_computing;
51. https://en.wikipedia.org/wiki/Command_and_control_(malware);
52. https://en.wikipedia.org/wiki/Computer_worm;
53. https://en.wikipedia.org/wiki/Critical_infrastructure;
54. http://en.wikipedia.org/wiki/Cryptolocker;
55. https://en.wikipedia.org/wiki/Data_loss_prevention_software;
56. https://en.wikipedia.org/wiki/Denial-of-service_attack;
57. https://en.wikipedia.org/wiki/DMZ_(computing);
58. https://en.wikipedia.org/wiki/Domain_generation_algorithm;
59. https://en.wikipedia.org/wiki/Economy_of_Second_Life;
60. https://en.wikipedia.org/wiki/Exploit_(computer_security);
61. https://en.wikipedia.org/wiki/Finger_vein_recognition;
62. https://en.wikipedia.org/wiki/Firewall_(computing);
63. https://en.wikipedia.org/wiki/Fred_Cohen;
64. https://en.wikipedia.org/wiki/Gold_standard;
56
65. https://en.wikipedia.org/wiki/ILOVEYOU;
66. https://en.wikipedia.org/wiki/Internet_safety#Malware;
67. https://en.wikipedia.org/wiki/Intrusion_prevention_system;
68. https://en.wikipedia.org/wiki/Kenneth_Waltz;
69. https://en.wikipedia.org/wiki/Luhn_algorithm;
70. https://en.wikipedia.org/wiki/Kevin_Mitnick;
71. https://en.wikipedia.org/wiki/Macro_(computer_science);
72. https://en.wikipedia.org/wiki/Malware;
73. https://en.wikipedia.org/wiki/Name_server;
74. https://en.wikipedia.org/wiki/PDCA;
75. https://en.wikipedia.org/wiki/Peer-to-peer;
76. https://en.wikipedia.org/wiki/Penetration_test;
77. https://en.wikipedia.org/wiki/Phishing;
78. https://en.wikipedia.org/wiki/Pino_Arlacchi;
79. https://en.wikipedia.org/wiki/Polymorphism_(computer_science);
80. https://ro.wikipedia.org/wiki/Pop-up;
81. https://en.wikipedia.org/wiki/Protection_ring;
82. https://en.wikipedia.org/wiki/RSA_Security;
83. https://en.wikipedia.org/wiki/SANS_Institute;
84. https://en.wikipedia.org/wiki/Security_information_and_event_management
85. https://en.wikipedia.org/wiki/Shell_bank;
86. https://en.wikipedia.org/wiki/State-sponsored_terrorism;
87. https://en.wikipedia.org/wiki/Stuxnet;
88. https://en.wikipedia.org/wiki/Superuser;
89. https://en.wikipedia.org/wiki/Trojan_horse_(computing);
90. https://en.wikipedia.org/wiki/Vector_(malware);
91. https://www.esrb.europa.eu/pub/pdf/recommendations/2013/ESRB_2013_1.
ro.pdf?37d8d6c5192a938b5dd30f9bbfd68784;
92. http://eur-lex.europa.eu/legal-content/RO/TXT/?uri= CELEX:32016 L1148;
93. www.european-atm-security.eu;
57
94. https://www.europol.europa.eu/content/criminal-skimming-gang-using-
%E2%80%98ghost%E2%80%99-payment-terminals-dismantled-france;
95. https://www.europol.europa.eu/newsroom/news/178-arrests-in-successful-
hit-against-money-muling;
96. http://evercompliant.com/transaction-laundering-on-mobile-new-channel-
new-fraud/;
97. faculty.unlv.edu/pushkin/cpe407;
98. www.fatf-gafi.org/;
99. http://www.fatf-gafi.org/media/fatf/content/images/mer-switzerland-
2016.pdf;
100. FBI, „Botnet Bust. SpyEye Malware Mastermind Pleads Guilty”, 28
January, 2014, https://www.fbi.gov/news/stories/2014/january/spyeye-malware-
mastermind-pleads-guilty/spyeye-malware-mastermind-pleads-guilty;
101. Federal Bureau of Investigation, Financial Services Information Sharing and
Analysis Center (FS-ISAC), Internet Crime Complaint Center (IC3), „Fraud Alert
– Cyber Criminals Targeting Financial Institution Employee Credentials to
Conduct Wire Transfer Fraud”, 17 Septembrie 2012,
http://www.ic3.gov/media/2012/FraudAlertFinancialInstitutionEmployeeCredentia
lsTargeted.pdf;
102. https://www.finextra.com/news/fullstory.aspx?newsitemid=27833&topic=se
curity;
103. https://www.finextra.com/news/fullstory.aspx?newsitemid=27846&topic=se
curity;
104. http://www.finextra.com/news/fullstory.aspx?newsitemid=27862&topic=sec
urity ;
105. https://www.finextra.com/news/fullstory.aspx?newsitemid=27865&topic=se
curity;
106. https://www.finextra.com/news/fullstory.aspx?newsitemid=27892&topic=se
curity;
58
107. https://www.finextra.com/news/fullstory.aspx?newsitemid=27912&topic=se
curity;
108. http://www.finextra.com/news/fullstory.aspx?newsitemid=27917;
109. https://www.finextra.com/news/fullstory.aspx?newsitemid=27920&topic=se
curity;
110. https://www.finextra.com/news/fullstory.aspx?newsitemid=27945&topic=se
curity;
111. http://www.finextra.com/newsarticle/28417/eu-tightens-money-laundering-
controls;
112. Fingerprint Recognition, http://www.powershow.com/view/15c56a-
ZWQ1N/Fingerprint_Recognition_powerpoint_ppt_presentation;
113. FISMA, „Annual Report to Congress: Federal Information Security
Management Act”, 2013, https://www.whitehouse.gov/sites/default/files/ omb/
assets/egov_docs/fy_2013_fisma_report_05.01.2014.pdf;
114. Forbes, „Shopping For Zero-Days: A Price List For Hackers' Secret
Software Exploits”, 23 Martie, 2012, http://www.forbes.com/sites/
andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret
-software-exploits/;
115. http://www.forbes.com/sites/laurashin/2016/11/23/why-online-shopping-
fraud-is-expected-to-jump-43-this-holiday-season-and-how-to-protect-
yourself/#332c44a527c1;
116. http://www.forbes.com/sites/stevemorgan/2016/01/17/cyber-crime-costs-
projected-to-reach-2-trillion-by-2019/#60cb07463bb0;
117. Fred Cohen, „Computer Viruses Theory and Experiments," Computers and
Security, vol. 6, pp. 22—35, 1987, http://web.eecs.umich.edu/~aprakash/eecs588/
handouts/cohen-viruses.html;
118. http://www.fsb.org/wp-content/uploads/2016-list-of-global-systemically-
important-banks-G-SIBs.pdf;
119. https://www.fsscc.org/;
59
120. https://gcn.com/blogs/cybereye/2016/07/critical-infrastructure.aspx?s=
gcntech_190716;
121. George Garza, Catalogs.com, „Top 10 worst computer viruses”, 17
Februarie, 2008, http://www.catalogs.com/info/travel-vacations/top-10-worst-
computer-viruses.html;
122. http://ghflavian.comuv.com/index.php?t=articol&d=3;
123. Ghid Amenințări generice la adresa securității cibernetice, www.cert-
ro.eu/ecsm.php;
124. https://www.gov.uk/government/news/taskforce-launches-criminal-and-
civil-investigations-into-panama-papers;
125. http://www.group-ib.com/brochures/gib-buhtrap-report.pdf;
126. http://www.group-ib.com/cobalt.html;
127. https://www.hotforsecurity.com/blog/phishing-surges-file-sharing-takes-
lead-as-most-targeted-industry-of-q1-13472.html;
128. http://www.ibr-rbi.ro/news/atacurile-cibernetice-si-robustetea-sistemelor-24-
martie-2016/;
129. http://www.imf.org/external/pubs/ft/fandd/basics/finserv.htm;
130. http://www.independent.co.uk/life-style/gadgets-and-tech/news/russia-
launch-facial-recognition-twitter-programme-anyone-face-putin-a7477416.html;
131. http://www.informationsecuritybuzz.com/articles/modern-day-espionage/;
132. https://www.irs.gov/businesses/corporations/foreign-account-tax-
compliance-act-fatca;
133. Kaspersky, Carbanak APT The Great Robbery, Februarie 2015,
http://krebsonsecurity.com/wp-content/uploads/2015/02/Carbanak_APT_eng.pdf;
134. Kaspersky, „Carbanak APT The Great Bank Robbery”, February 2015,
http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/
Carbanak_APT_eng.pdf;
135. https://www.katescomment.com/what-is-cloud-computing/;
136. http://krebsonsecurity.com/2013/12/simple-but-effective-point-of-sale-
skimmer/;
60
137. http://krebsonsecurity.com/2015/03/door-skimmer-hidden-camera-profit/;
138. IBM, „IBM X-Force Threat Intelligence Quarterly”, Martie 2015,
http://www.essextec.com/sites/default/files/IBM%20X-Force%20Threat%20
Intelligence%20Quarterly%20Q1_2015.pdf;
139. https://ibsintelligence.com/ibs-journal/ibs-news/online-fraud-detection-
spending-to-soar-juniper-research/;
140. www.identityone.net/BiometricTechnology_FingerVeinPrint.aspx;
141. www.infosepa.ro;
142. Intel Security - http://newsroom.mcafee.com/press-release/97-people-
globally-unable-correctly-identify-phishing-emails;
143. http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx;
144. ISO 27000, „An Introduction to ISO 27001, ISO 27002....ISO 27008“,
http://www.27000.org;
145. http://www.ladn.eu/inspiration/de-la-transparence/les-10-cyberattaques-qui-
ont-marque-2016/;
146. Limburger, „Bedrijfsspionage bij DSM via usb-sticks”, 7 July 2012,
http://www.limburger.nl/article/20120707/REGIONIEUWS01/120709723;
147. https://www.linkedin.com/pulse/best-practices-change-christopher-murphy-1;
148. http://media.hotnews.ro/media_server1/image-2015-10-5-20475408-0-cote-
banci.jpg;
149. https://www.mitnicksecurity.com/shopping/absolute-zero-day-exploit-
exchange;
150. http://www.mobilefish.com/services/credit_card_number_generator/credit_c
ard_number_generator.php;
151. http://mobile.reuters.com/article/idUSKBN1491ZF;
152. http://money.cnn.com/2015/05/26/pf/taxes/irs-website-data-hack/index.html;
153. Mordechai Guri, Gabi Kedma, Assaf Kachlon, Yuval Elovici, „AirHopper:
Bridging the Air-Gap between Isolated Networks and Mobile Phones using Radio
Frequencies”, 2014, http://www.wired.com/wp-content/uploads/2014/11/air-
hopper-malware-final-e-141029143252-conversion-gate01.pdf;
61
154. Mordechai Guri, Matan Monitz, Yisroel Mirski, Yuval Elovici, „Covert
Signaling Channel between Air-Gapped Computers using Thermal
Manipulations”, 26 Martie 2015, http://arxiv.org/ftp/arxiv/papers/1503/
1503.07919.pdf;
155. http://news.nationalgeographic.com/news/2002/03/0311_020312_sharbat.html
156. NIST, „Framework for Improving Critical Infrastructure Cybersecurity“, 12
Februarie, 2014, http://www.nist.gov/cyberframework/;
157. http://www.nocash.info.ro/danish-shops-to-be-given-right-to-refuse-cash/;
158. Norman Poh – Introduction to Biometric Authentication,
www.ee.pdx.edu/~mperkows/;
159. https://www.oecd.org/tax/automatic-exchange/;
160. http://www.onpcsb.ro/pdf/Raport%20activitate%20%202016%20-
%20semestrul%20I.pdf;
161. http://www.orange.com/en/Innovation/Orange-Mobile-Financial-Services/
Folder/Orange-Bank;
162. https://www.owasp.org/index.php/Top_10_2010-A2-Cross-Site_Scripting_
(XSS);
163. http://www.quotemaster.org/cyber+security;
164. http://pannetrat.com/Cardpeek/;
165. PaloAlto Networks, „Watering Hole Attack on Aerospace Firm Exploits
CVE-2015-5122 to Install IsSpace Backdoor”, 20 Iulie, 2015,
http://researchcenter.paloaltonetworks.com/2015/07/watering-hole-attack-on-
aerospace-firm-exploits-cve-2015-5122-to-install-isspace-backdoor/;
166. PCI Security Standards Councîl , „Payment Card Industry (PCI) Data
Security Standard”, Mai 2015, https://www.pcisecuritystandards.org/documents/
PCI_DSS_v3.pdf;
167. https://www.pcisecuritystandards.org/approved_companies_providers/pci_fo
rensic_investigator.php;
168. https://pdpecho.com/2016/12/15/eu-commissions-leaked-plan-for-the-data-
economy-new-rules-for-iot-liability-and-sharing-non-personal-data/;
62
169. http://phishme.com/the-danger-of-sensationalizing-phishing-statistics/;
170. Ponemon Institute, „The Challenge of Preventing Browser-Borne Malware”,
Februarie 2015, http://learn.spikes.com/rs/spikessecurity/images/Ponemon-Spikes-
Report.pdf ;
171. Pymnts, 2014 Fraud Spike Cost US Retailers $32 Billion, 2015,
http://www.pymnts.com/news/2015/2014-fraud-spike-cost-u-s-retailers-32-billion/;
172. Pymnts, „Global Fraud Attack Index”,2016, http://www.pymnts.com/fraud-
prevention/2016/benchmarking-hackers-and-their-attack-methods/;
173. Radicati Group, Inc, „Email Statistics Report, 2015-2019”, 2015,
http://www.radicati.com/wp/wp-content/uploads/2015/02/Email-Statistics-Report-
2015-2019-Executive-Summary.pdf;
174. https://regulation.revues.org/7473?lang=en;
175. https://returnpath.com/webinars/how-cybercriminals-cheat-email-
authentication/;
176. http://www.reuters.com/article/us-russia-cenbank-cyberattack-
idUSKBN13R1TO;
177. http://www.reuters.com/article/us-usa-cyber-swift-exclusive-
idUSKBN1412NT;
178. http://www.riksbank.se/en/The-Riksbank/Research/Historical-Monetary-
Statistics-of-Sweden/;
179. RSA, „DNS Poisoning Used în Boleto Fraud”, 9 Febriarie, 2015,
https://blogs.rsa.com/dns-poisoning-used-boleto-fraud/;
180. RSA, „Lions at the Watering Hole – The “VOHO” Affair”, 20 Iulie 2012,
https://blogs.rsa.com/lions-at-the-watering-hole-the-voho-affair/;
181. www.salesforce.com;
182. SANS, „Critical Security Controls for Effective Cyber Defense“,
https://www.sans.org/critical-security-controls/;
183. SANS, „Security Spending and Preparedness in the Financial Sector: A
SANS Survey”, Iunie, 2015 https://www.sans.org/reading-
63
room/whitepapers/analyst/security-spending-preparedness-financial-sector-survey-
36032;
184. https://www.scientificamerican.com/article/cybersecuritys-next-phase-
cyber-deterrence/;
185. http://searchsecurity.techtarget.com/definition/tokenization;
186. www.seculert.com;
187. https://securelist.com/files/2016/05/Q1_2016_MW_report_FINAL_eng.pdf
188. https://www.secureworks.com/blog/effective-security-is-adaptive-security;
189. http://securityaffairs.co/wordpress/20776/cyber-crime/dexter-hits-point-of-
sales.html;
190. http://securityaffairs.co/wordpress/50680/cyber-crime/global-cost-of-
cybercrime.html;
191. https://securityaffairs.co/wordpress/54036/hacking/distributed-guessing-
attack.html;
192. https://securityintelligence.com/news/uninvited-guest-carbanak-malware-
hacks-hospitality-market/?linkId=31505066;
193. https://securityintelligence.com/protecting-pos-systems-from-dexter-and-
other-advanced-malware/;
194. https://securityintelligence.com/tinba-trojan-sets-its-sights-on-romania/;
195. http://www.securityweek.com/target-confirms-point-sale-malware-was-
used-attack;
196. http://www.securityweek.com/us-cert-warns-businesses-about-pos-attacks;
197. Steve Jilingj – Crounch network, The Business of Fraud, 2015,
http://techcrunch.com/2015/09/07/the-business-of-fraud/;
198. http://stiintasitehnica.com/inspector-gadget/cloud-computing-procesarea-
intangibila, Claudiu Antone, Cloud Computing – procesarea intangibilă;
199. https://support.hostvision.ro/index.php?/Knowledgebase/Article/View/199/3
0/activarea-spf-pentru-protejare-impotriva-email-spoofing;
200. https://www.symantec.com/content/dam/symantec/docs/security-center/
white-papers/increased-use-of-powershell-in-attacks-16-en.pdf;
64
201. Symantec, „Ransomware: A Growing Menace”, 8 Noiembrie 2012,
http://www.symantec.com/content/en/us/enterprise/media/security_response/white
papers/ransomware-a-growing-menace.pdf;
202. https://www.thegfce.com/;
203. https://www.thegfce.com/initiatives/r/responsible-disclosure-initiative-
ethical-hacking;
204. http://thehackernews.com/2016/12/hacking-skype.html?m=1;
205. The Intercept, „Secret Malware in European Union Attack Linked to U.S.
and British Intelligence” 24 Noiembrie 2014, https://firstlook.org/
theintercept/2014/11/24/secret-regin-malware-belgacom-nsa-gchq/;
206. http://www.thepaymentsreview.com/the-internet-of-things-is-quickly-
becoming-the-internet-of-payments#%2EWC9iklfqYOg%2Elinkedin;
207. http://www.theukcardsassociation.org.uk/history_of_cards/index.asp;
208. http://www.tradeville.eu/tradepedia/anuitate;
209. Trend Micro, „How Do Threat Actors Move Deeper Into Your Network?”,
19 February 2014, http://about-threats.trendmicro.com/cloud-content/us/ent-
primers/pdf/tlp_lateral_movement.pdf;
210. Trend Micro Incorporated, „Russian Underground 101”, 2012,
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-
papers/wp-russian-underground-101.pdf;
211. Trend Micro Incorporated, „The Evolution of Point-of-Sale (PoS) Malware”,
11 Decembrie, 2014, http://www.trendmicro.com/vinfo/us/security/news/
cybercrime-and-digital-threats/the-evolution-of-point-of-sale-pos-malware;
212. UPI, „Virus strikes 15 million PCs”, 26 Ianuarie, 2009,
http://www.upi.com/Top_News/2009/01/25/Virus_strikes_15_million_PCs/UPI-
19421232924206;
213. Verizon, „2015 Data Breach Investigations Report”, 2015
http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-
report-2015_en_xg.pdf;
65
214. Verizon, „2016 Data Breach Investigations Report”, 2016 http://www.
verizonenterprise.com/resources/reports/rp_DBIR_2016_Report_en_xg.pdf;
215. Viktor Minkin, www.elsys.ru;
216. web2.utc.edu/~Li-Yang/cpsc4600/;
217. http://www.wired.co.uk/article/barclays-finger-scanner;
218. Wired, „5 Key Players Nabbed în Ukraine în $70-Million Bank Fraud
Ring”, 10 January 2010, http://www.wired.com/2010/10/zeus-ukraine-arrests/;
219. Wired, „Suite of Sophisticated Nation-State Attack Tools Found With
Connection to Stuxnet”, 16 February, 2015,
http://www.wired.com/2015/02/kapersky-discovers-equation-group/;
220. http://www.worldit.info/articole/de-ce-ar-trebui-renuntat-la-shared-hosting-
ce-solutii-de-hosting-ieftine-al-unui-site-exista/;
221. http://www.youtube.com/watch?v=7vYH1JH73pw;
222. ZDNet, „'ILOVEYOU' e-mail worm invades PCs”, 4 Mai 2000,
http://web.archive.org/web/20081227123742/http://news.zdnet.com/2100-
9595_22-107318.html?legacy=zdnn.
top related