Legea anti-smishing a Poloniei: un model pentru combaterea fraudelor SMS în România?

Smishing-ul, o îmbinare a termenilor "SMS" și "phishing", reprezintă o formă de atac cibernetic în care persoane rău-intenționate utilizează mesaje scurte text (SMS) pentru a păcăli victimele să divulge informații sensibile, să acceseze linkuri malițioase sau să instaleze software dăunător. Ceea ce face smishing-ul deosebit de periculos este exploatarea încrederii pe care oamenii o au în comunicarea prin SMS, un canal considerat personal și imediat.[1][2]

La nivel mondial, fenomenul a atins cote alarmante. Analiștii estimează că volumul global al mesajelor de tip smishing se va dubla anual. În 2023, utilizatorii de telefonie mobilă primeau zilnic aproximativ 147 de milioane de texte smishing, iar tendința este de creștere. Atacatorii se folosesc de tactici din ce în ce mai sofisticate, cum ar fi:

• Impersonarea autorităților și a companiilor de renume: Cele mai frecvente ținte pentru impersonare includ giganți precum Amazon (38% din cazuri) și Apple (17%), dar și autorități fiscale sau servicii poștale.[1]
• Utilizarea numerelor locale: Pentru a spori autenticitatea, atacatorii folosesc adesea numere de telefon locale, ceea ce face mesajele mai credibile.[1]
• Escrocherii adaptate contextului: Recent, în 2025, s-a înregistrat o creștere a fraudelor care vizează utilizatorii de drumuri cu taxă din SUA, prin mesaje false despre taxe neplătite. De asemenea, notificările false de livrare de la companii de curierat au cunoscut o creștere de 174% în 2024.[1]

Impactul financiar este devastator. În 2022, costul mediu al unui atac de smishing reușit asupra unei organizații a depășit 9,5 milioane de dolari. La nivel individual, pierderile sunt, de asemenea, semnificative; de exemplu, în 2019, consumatorii din SUA au pierdut peste 86 de milioane de dolari din cauza acestor fraude.[1]

Cadrul legislativ actual din România

Abordarea României în privința abuzurilor în telecomunicații este mai degrabă generală și reactivă. Ordonanța de Urgență nr. 111/2011 privind comunicațiile electronice oferă, autorității naționale, ANCOM, instrumentele necesare pentru a interveni.

Articolele cheie sunt:

• Art. 4 alin. (1): Definește „abuzul” în sens larg ca fiind „orice practică implicând utilizarea unei rețele publice de comunicații electronice sau unui serviciu de comunicații electronice destinat publicului, care reprezintă o încălcare a legislației din domeniul comunicațiilor electronice sau a altor prevederi legale ori care determină un disconfort semnificativ utilizatorilor finali”. Această definiție este suficient de largă pentru a include smishing-ul.
• Art. 73 alin. (3): Acordă ANCOM puterea de a solicita furnizorilor de rețele publice de comunicații electronice și furnizorilor de servicii de comunicații electronice destinate publicului să blocheze, de la caz la caz, accesul la anumite resurse de numerotație sau la anumite servicii, în caz de fraudă sau abuz. Aceasta se poate face din proprie inițiativă a ANCOM sau la cererea altor autorități competente.

Măsuri legislative din Polonia adaptabile pentru România

În fața acestei amenințări, Polonia a implementat, începând cu 25 septembrie 2023, "Legea privind combaterea abuzului în comunicațiile electronice". Această lege nu se limitează la a interzice smishing-ul, ci creează un mecanism proactiv și colaborativ. Iată măsurile cheie care pot servi drept model pentru România:[3]

1. Atribuții noi pentru Centru de Comandă Centralizat (CSIRT NASK)

   Polonia a desemnat Echipa de Răspuns la Incidente de Securitate Cibernetică (CSIRT) a Institutului Național de Cercetare NASK ca autoritate centrală. Aceasta are rolul de a monitoriza, analiza și centraliza raportările de smishing venite de la cetățeni și de la companiile de telecomunicații. O astfel de entitate centralizată ar oferi și în România o imagine de ansamblu clară și în timp real a campaniilor de smishing, permițând un răspuns coordonat la nivel național.[4][3]

2. Sistemul obligatoriu de blocare pe bază de tipare (patterns)

   Miezul legislației poloneze este obligația impusă furnizorilor de servicii de comunicații electronice de a bloca imediat orice mesaj SMS care corespunde unui "tipar" de smishing emis de CSIRT NASK. Aceste tipare sunt create pe baza analizei mesajelor frauduloase.[4]

   Adaptare pentru România: ANCOM, în colaborare cu Directoratul Național de Securitate Cibernetică (DNSC), ar putea prelua rolul de a defini și distribui aceste tipare, obligând operatorii să le implementeze în rețelele lor.

3. Cadru legal clar pentru procesarea conținutului SMS

   Articolul 26 al legii poloneze permite în mod explicit furnizorilor de telecomunicații să proceseze conținutul mesajelor SMS în scopul îndeplinirii obligațiilor de blocare a smishing-ului. Aceasta este o derogare esențială de la normele de confidențialitate, strict justificată de scopul combaterii fraudei.[4]

   Adaptare pentru România: Legislația românească ar trebui amendată pentru a oferi un temei juridic clar care să permită operatorilor să utilizeze tehnologii automate de scanare a conținutului SMS, exclusiv pentru a identifica și bloca mesajele ce corespund tiparelor de fraudă definite de autoritate.

4. Sancțiuni eficace și disuasive

   Legea poloneză prevede penalități financiare pentru furnizorii care nu respectă obligațiile de blocare.[5]

   Adaptare pentru România: Pentru ca un astfel de sistem să fie eficient, este crucial ca ANCOM să aibă puterea de a impune sancțiuni semnificative operatorilor care nu implementează măsurile de blocare obligatorii.

5. Colaborare și Partajare de Informații

   Legislația poloneză încurajează partajarea de informații între furnizorii de servicii de comunicații, autorități, pentru a combate abuzurile în telecomunicații, inclusiv smishing-ul.[4]

   Adaptare pentru România: Crearea unei platforme naționale de partajare a informațiilor despre amenințări (Threat Intelligence Sharing Platform) între operatorii telecom, bănci și autorități (ANCOM, DNSC, Poliția Română) și crearea unor numere verzi sau mijloace online unde publicul larg să raporteze tentativele de smishing ar accelera identificarea și blocarea campaniilor de fraudă.

Concluzie: de la reacție la proactivitate strategică

În timp ce cadrul legal din România, prin OUG 111/2011, permite ANCOM să intervină "de la caz la caz", această abordare este fundamental reactivă și insuficientă pentru a contracara volumul și viteza atacurilor moderne. Modelul polonez oferă o foaie de parcurs pentru o tranziție necesară către un sistem proactiv, automatizat și colaborativ.

Adaptarea acestor măsuri pentru România nu doar că ar reduce semnificativ numărul de victime și pierderile financiare, dar ar consolida și încrederea publicului în comunicațiile digitale. Este timpul ca legislatorul român să treacă de la puteri generale la mecanisme specifice și sistematice, construind o defensivă cibernetică națională robustă împotriva smishing-ului.

Cuvinte cheie: smishing, fraudă SMS, securitate cibernetică, legislație Polonia, protecția datelor, GDPR, ANCOM, DNSC, atacuri cibernetice, telecomunicații, România.

Referințe:

• [1] https://keepnetlabs.com/blog/smishing-statistics-the-latest-trends-and-numbers-in-sms-phishing
• [2] https://levelblue.com/blogs/security-essentials/sms-phishing-explained-what-is-smishing
• [3] https://cik.uke.gov.pl/en/newsroom1/the-act-on-combating-abuse-in-electronic-communications,192.html
• [4] https://commsrisk.com/will-privacy-laws-change-to-let-machines-read-sms-texts-for-fraud-content/
• [5] https://emaillabs.io/en/new-obligations-imposed-by-polish-government-on-email-senders/
• [6] https://reports.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2025.pdf
• [7] https://proton.me/blog/smishing
• [8] https://global.ptsecurity.com/en/research/analytics/what-will-phishing-attacks-look-like-in-the-near-future/
• [9] https://www.hicomply.com/blog/the-rise-of-the-smishing-scam
• [10] https://lawyersweek.net/24954/romania-proposes-stricter-rules-against-harmful-content-on-social-media.html
• [11] https://ellisphere.com/en/cybercriminalite-perspectives-pour-2025/
• [12] https://cis01.central.ucv.ro/revistadestiintepolitice/files/numarul45_2015/17.%20ModernizationofRomanianLegislationonPreventingandCombatingCybercrimeandImplementationGapatEuropeanlevel...%20pp.%20186-199.pdf
• [13] https://datami.ee/blog/how-phishing-is-changing-in-2025-analysis-by-datami/
• [14] https://www.dj.univ-danubius.ro/index.php/AUDJ/article/download/3262/3030
• [15] https://www.cbc.ca/news/business/smishing-scams-rise-1.7582672
• [16] https://revera.legal/en/info-centr/news-and-analytical-materials/1807-novye-polozheniya-zakona-o-elektronnoj-svyazi-chto-dolzhen-znat-predprinimatel/
• [17] https://theromanianlawyers.com/tag/protecting-against-phishing-romania/
• [18] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14300-International-calls-and-text-messages-SMS-within-the-EU-fair-use-and-anti-fraud-policy_en
• [19] https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A52008SC0511
• [20] https://www.traple.pl/en/obszary-prawa/cybersecurity/

```