Un atac cibernetic ANCPI a paralizat, începând de marți, 14 iulie 2026, întregul sistem național de cadastru și carte funciară al României. Ce a pornit ca un simplu „incident tehnic” s-a transformat, în câteva zile, în cel mai amplu scandal de securitate cibernetică din istoria instituției — cu un hacker care revendică furtul bazei de date a țării, o firmă cu doar doi angajați responsabilă de o securitate „de importanță națională”, și zeci de mii de români care nu își pot finaliza tranzacțiile imobiliare.
Acest material adună tot ce se știe, până acum, despre atacul cibernetic ANCPI: cronologia completă, cine e atacatorul, ce spune firma de securitate contractată, ce legături de familie și de interese s-au descoperit în jurul contractelor publice ale agenției, și — cel mai important pentru tine — ce riști concret și ce poți face.
Cuprins
1. Cronologia atacului cibernetic ANCPI
2. ANCPI vs. hacker: poziții contradictorii
3. Cine e ByteToBreach, hackerul din spatele atacului cibernetic ANCPI
4. „Dani1234″: ce se știe și ce nu despre parolele ANCPI
5. Firma care păzea „importanța națională”: IT About IT SRL
6. Trencadis: firma care a construit e-Terra e acum stăpâna cloud-ului guvernamental
7. Legătura de familie Berdilă — context, nu dovadă
8. Al doilea dosar: conflictul de interese al directorului ANCPI
9. Ce riști tu, ca cetățean, după acest atac cibernetic ANCPI
10. Acest atac cibernetic ANCPI, parte dintr-un val mai larg
11. Concluzie: anatomia unei instituții nepregătite
12. Surse
1. Cronologia atacului cibernetic ANCPI
Totul a început marți, 14 iulie 2026, când toate sistemele informatice administrate de ANCPI au devenit brusc nefuncționale — inclusiv aplicația de cadastru și carte funciară e-Terra, dar și adresele oficiale de e-mail ale instituției. Inițial, ANCPI a vorbit despre existența unui incident tehnic major, fără să recunoască public natura reală a problemei.
A doua zi, 15 iulie, instituția a confirmat oficial: sistemele fuseseră ținta unui atac cibernetic care a provocat cea mai amplă întrerupere tehnică din istoria ANCPI. În aceeași zi, la scurt timp după confirmarea oficială, datele pretins furate au apărut deja la vânzare pe un site specializat în comercializarea bazelor de date compromise — semn că atacatorul plănuise monetizarea atacului dinainte de a fi descoperit.
Vineri, 17 iulie, subiectul explodează în presa națională. Hackerul acordă un interviu, prin mesagerie criptată, jurnaliștilor Euronews România. În aceeași zi, directorul general al ANCPI oferă prima reacție publică detaliată, pentru G4Media, iar o investigație Public Record dezvăluie identitatea firmei de securitate cibernetică responsabile de protecția instituției.
La momentul redactării acestui articol, sistemele ANCPI rămân indisponibile, fără un termen ferm de repunere în funcțiune. Instituția a estimat inițial că aplicația e-Terra ar putea reveni până la finalul săptămânii trecute — termen deja depășit. Acest atac cibernetic ANCPI a devenit, practic, cea mai lungă întrerupere de servicii publice digitale din ultimii ani.
2. ANCPI vs. hacker: poziții contradictorii
Miezul incertitudinii din jurul atacului cibernetic ANCPI stă într-o contradicție directă, nerezolvată public, între trei voci diferite.
Poziția oficială a instituției: ANCPI a transmis, în comunicatul inițial, că datele administrate prin sistemele informatice gestionate de agenție sunt în siguranță și nu au fost compromise în urma acestui incident.
Poziția directorului general: Laurențiu-Alexandru Blaga a declarat, vineri, pentru G4Media, că nu are niciun indiciu că hackerii ar fi extras date personale ale cetățenilor sau date din contractele de vânzare-cumpărare. Potrivit lui, hackerii au accesat doar aplicațiile care rulează informații de pe site-ul oficial, în timp ce bazele de date ale cetățenilor s-ar afla pe servere separate, la care atacatorii nu ar fi avut acces. Întrebat direct dacă parole slabe ar fi facilitat atacul cibernetic asupra ANCPI, Blaga a răspuns că administratorii sistemului IT au avut parole puternice.
Poziția hackerului: susține exact opusul. Potrivit anunțului publicat de atacator și preluat de Public Record, acesta pretinde că a obținut nu doar date personale ale cetățenilor colectate prin rețelele ANCPI, ci și o copie a serverelor GitLab ale instituției, care ar conține codul-sursă al sistemelor e-Terra și RENNS, plus o variantă a programului de ransomware folosit în atac.
Această contradicție rămâne, la ora actuală, nerezolvată de nicio verificare independentă. Cine are dreptate — instituția care neagă orice compromitere a datelor cetățenilor, sau atacatorul care revendică accesul total — este întrebarea centrală a acestui dosar, iar acest atac cibernetic ANCPI nu poate fi înțeles corect fără să ținem cont de această incertitudine fundamentală.
3. Cine e ByteToBreach, hackerul din spatele atacului cibernetic ANCPI
Acest atac cibernetic ANCPI este revendicat de o entitate cunoscută pe internet sub numele de ByteToBreach. Directorul Directoratului Național de Securitate Cibernetică (DNSC), Dan Cîmpean, a declarat presei că informațiile disponibile indică un atacator motivat financiar, nu un actor coordonat de un stat, suspectat a fi de origine algeriană și specializat în obținerea accesului inițial în sisteme informatice, extragerea datelor și folosirea lor pentru extorcare.
Hackerul însuși susține că acționează singur, nu ca parte a unui grup organizat — o afirmație care nu poate fi verificată independent. Compania israeliană de securitate cibernetică Kela îl descrie drept un infractor cibernetic cu competențe tehnice avansate, care comercializează date sensibile la nivel mondial, provenind anterior de la companii aeriene, bănci și instituții guvernamentale din țări precum Ucraina, Cipru, Polonia, Chile, SUA, Uzbekistan și Kazahstan.
Contactat de Euronews România, ByteToBreach a oferit un răspuns neobișnuit pentru autorul unui atac de o asemenea amploare: și-a cerut scuze pentru problemele cauzate cetățenilor și echipei IT a ANCPI, dar a insistat că motivația e strict financiară. A mai precizat că nu vinde aceste date chiar oricui, și a susținut că a exploatat o vulnerabilitate cunoscută încă din 2021 — afirmație pe care nici ANCPI, nici DNSC nu au confirmat-o public. Atacatorul a refuzat să critice echipa informatică a instituției, spunând că respectă specialiștii care lucrează acum la remediere.
Într-una dintre capturile de ecran publicate de hacker, acesta a anunțat că a început să șteargă copiile de rezervă (backup-urile) disponibile ale sistemelor ANCPI — o mișcare tipică atacurilor de tip ransomware, menită să elimine orice posibilitate de recuperare a datelor fără plata unei răscumpărări.
4. „Dani1234″: ce se știe și ce nu despre parolele ANCPI
Printre cele mai vehiculate detalii despre acest atac cibernetic ANCPI se numără afirmația potrivit căreia sistemele instituției ar fi fost protejate prin parole de o simplitate alarmantă. Sursa acestei afirmații este o declarație a lui Adrian Medințu, membru în Colegiul Național al Geodezilor, oferită „pe surse” jurnalistului Vitalie Cojocari și preluată de presa din Republica Moldova. Potrivit acestuia, la ANCPI s-ar fi folosit platforme WordPress gratuite și învechite, iar unele parole de acces ar fi fost de o simplitate ridicată, de tipul „Dani1234″.
Notă de acuratețe editorială. Această afirmație provine dintr-o sursă unică, de-a doua mână, nepreluată până acum de investigațiile presei române de profil (HotNews, Public Record, G4Media nu o menționează în relatările lor despre atacul cibernetic asupra ANCPI). Mai mult, ea este contrazisă direct de declarația oficială a directorului general Blaga, care a susținut că administratorii sistemului IT au avut parole puternice. Redăm afirmația ca atare, atribuită sursei sale, tocmai pentru că circulă intens în spațiul public legat de acest atac cibernetic ANCPI — dar ea rămâne, la acest moment, neconfirmată oficial de nicio instituție a statului.
5. Firma care păzea „importanța națională”: IT About IT SRL
Aici se află, poate, cel mai relevant unghi al atacului cibernetic ANCPI pentru înțelegerea gradului real de pregătire a instituției. Potrivit unei investigații Public Record, firma responsabilă de securitatea cibernetică a ANCPI este IT About IT SRL, o companie înființată în 2015, cu sediul social într-un apartament din Sectorul 2 al Bucureștiului.
Dimensiunea reală a firmei contrastează puternic cu miza contractului. Potrivit datelor financiare publice, IT About IT SRL a raportat, în 2025, doar 2 angajați, o cifră de afaceri de 1.837.533 lei (aproximativ 365.000 de euro) — în scădere cu 7,94% față de anul precedent — și un profit net de doar 9.028 lei.
Totuși, potrivit caietului de sarcini al ultimei licitații câștigate de firmă, soluția de securitate implementată la nivelul ANCPI era considerată „de importanță națională”. Contractul obliga prestatorul la suport permanent, intervenții tehnice, audit anual și actualizarea sistemului de protecție bazat pe tehnologii Bitdefender, cu termene de intervenție de doar 2 ore pentru incidente critice și 8 ore pentru cele majore.
ANCPI a încheiat cu această firmă două acorduri-cadru pentru servicii de securitate cibernetică: unul în 2019, în valoare de aproape 950.000 de lei, și unul în 2023, de aproximativ 1,5 milioane de lei, cu o durată de 48 de luni — ultimul contract subsecvent fiind semnat pe 30 aprilie 2026, la doar câteva luni înainte de atacul cibernetic asupra ANCPI.
IT About IT SRL nu deservea exclusiv ANCPI. Aceeași firmă a furnizat soluții de securitate cibernetică și Administrației Naționale Apele Române (ANAR), inclusiv un contract de 3,4 milioane de lei pentru servere destinate copiilor de rezervă, plătit din fonduri PNRR. O firmă distinctă, Smart Control SRL, a mai încasat de la ANAR peste 9,3 milioane de lei pentru routere, switch-uri și un sistem de monitorizare a securității, tot din fonduri europene, plus un contract de peste 30 de milioane de lei în 2025.
| Indicator | IT About IT SRL (2025) |
|---|---|
| Angajați raportați | 2 |
| Cifră de afaceri | 1.837.533 lei (~365.000 euro) |
| Profit net | 9.028 lei |
| Valoare cumulată contracte ANCPI (2019 + 2023) | ~2,5 milioane lei |
| Timp de răspuns contractual, incident critic | 2 ore |
6. Trencadis: firma care a construit e-Terra e acum stăpâna cloud-ului guvernamental
Dincolo de firma de securitate cibernetică, atacul cibernetic ANCPI readuce în atenție și compania responsabilă de construcția și administrarea site-ului și a portalului e-Terra: Trencadis Corp, din Baia Mare. O anomalie semnalată de specialiști din zona tech privind acest atac cibernetic ANCPI este chiar arhitectura tehnică aleasă: site-ul oficial al ANCPI rulează pe WordPress, o platformă open-source obișnuită pentru bloguri și site-uri de prezentare, neobișnuită pentru gestionarea unei infrastructuri clasificate drept strategică la nivel național.
Legătura Trencadis–ANCPI nu e nouă. Compania a mai câștigat, de-a lungul timpului, cel puțin trei contracte de la ANCPI pentru proiectul e-Terra, folosind și subcontractori precum Bestware Consulting. Pe lângă ANCPI, Trencadis mai figurează ca partener tehnologic în contracte cu alte instituții-cheie ale statului, printre care Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE).
Aici intervine partea cea mai relevantă a poveștii, confirmată independent de presa economică (Profit.ro, Ziarul Financiar, Curs de Guvernare) — nu doar de postările virale de pe rețelele sociale legate de acest atac cibernetic ANCPI. Trencadis, în consorțiu cu Metaminds, a câștigat licitația organizată de Serviciul de Telecomunicații Speciale (STS) pentru Cloud-ul Guvernamental al României, un contract în valoare de 427 de milioane de lei, finanțat integral din fonduri PNRR. Acordul-cadru, semnat oficial în octombrie 2025, prevede furnizarea infrastructurii IaaS și PaaS care va găzdui, printre altele, bazele de date ale instituțiilor publice românești.
Contractul nu a fost, însă, unul liniștit. În decembrie 2024, justiția a anulat prima atribuire a licitației, după o contestație depusă de firma austriacă Kontron, pe motiv că evaluarea STS fusese, potrivit deciziei CNSC, „secretizată fără temei” — consorțiul Metaminds/Trencadis a trebuit să câștige licitația a doua oară, la o nouă rundă de evaluare, pentru ca acordul să fie în cele din urmă semnat un an mai târziu.
Originile celor două companii din consorțiu adaugă un strat suplimentar de context. Metaminds a fost fondată în 2015 de foști angajați ai lui Sebastian Ghiță, iar după fuga acestuia din țară, în 2016, compania a fost preluată de alți foști angajați ai săi, care neagă păstrarea vreunei legături cu fostul deputat. Trencadis a fost fondată de Radu Negulescu — descris în presa economică drept una dintre persoanele din spatele imaginii online a fostului președinte Klaus Iohannis — iar din 2019 până în mai 2024, 22,48% din acțiunile companiei au fost deținute de First Investment Holding, un fond înregistrat în Insulele Cayman, al cărui asociat unic este omul de afaceri Frank Timiș, cunoscut pentru implicarea sa în proiectul minier Roșia Montană. În mai 2024, Timiș și-a vândut integral pachetul de acțiuni către actualul CEO, Marian Murguleț — fost director IT (CIO) pentru sectorul guvernamental — care deține astăzi 100% din Trencadis.
Opinie editorială, marcată ca atare. Indiferent dacă aceste legături istorice de acționariat au vreo relevanță directă pentru acest atac cibernetic ANCPI din iulie 2026 — pentru care nu există nicio probă de implicare a Trencadis — ele conturează un tipar îngrijorător: aceleași companii, cu istorii de proprietate controversate și cu antecedente de contracte contestate în justiție pentru lipsă de transparență, ajung să administreze, pe rând, atât infrastructura punctuală a unei instituții compromise de un atac cibernetic, cât și viitorul cloud unde vor fi centralizate datele tuturor românilor.
7. Legătura de familie Berdilă — context, nu dovadă
Investigația Public Record despre acest atac cibernetic ANCPI a scos la iveală și o legătură de familie care merită prezentată cu maximă precizie, tocmai pentru a evita orice confuzie.
Singurul asociat al firmei IT About IT SRL este Ovidiu Raoul Berdilă. Acesta a lucrat anterior la Bitdefender — de altfel, firma sa vinde exact soluții de securitate dezvoltate de Bitdefender. Soția lui a lucrat, între 2008 și 2014, la Autoritatea Electorală Permanentă, ca expert parlamentar.
Ovidiu Berdilă este fratele lui Horațiu Bruno Berdilă — fost director general al companiei IT Romsys, condamnat în 2020, printr-un acord de recunoaștere a vinovăției cu procurorii DNA, pentru evaziune fiscală în valoare de peste 18,4 milioane de lei, printr-o schemă cu facturi fiscale fictive. Acea schemă a fost parte a unui dosar mai amplu, în care fostul secretar general al PDL, Vasile Blaga — actualmente europarlamentar PNL — a fost achitat definitiv de Înalta Curte de Casație și Justiție pentru trafic de influență, pe motiv că nu s-a dovedit că acesta știa de originea nelegală a banilor primiți.
Precizare esențială. Vasile Blaga, politicianul din acest dosar de trafic de influență, nu are nicio legătură cu Laurențiu-Alexandru Blaga, directorul general al ANCPI — sunt două persoane complet diferite, care poartă din întâmplare același nume de familie, unul dintre cele mai comune din România. Această distincție este obligatorie pentru orice relatare corectă a atacului cibernetic ANCPI, iar orice confuzie între cei doi ar constitui o eroare gravă de acuratețe.
Ce rămâne, totuși, un fapt de context legitim: fratele omului care conduce singura firmă responsabilă de securitatea „de importanță națională” a ANCPI a fost condamnat pentru evaziune fiscală la scară mare, într-un dosar legat de contracte cu instituții ale statului. Este un element relevant pentru o evaluare a modului în care au fost verificați furnizorii de securitate cibernetică ai ANCPI — dar nu constituie, sub nicio formă, o dovadă de implicare în acest atac cibernetic ANCPI din iulie 2026, pentru care nu există nicio probă publică în acest sens.
8. Al doilea dosar: conflictul de interese al directorului ANCPI
Independent de firma de securitate și de acest atac cibernetic ANCPI în sine, presa a documentat un dosar separat, legat direct de conducerea instituției. Potrivit unei investigații publicate de Libertatea și preluate de presa locală din Alba, firme controlate de familia directorului general Laurențiu-Alexandru Blaga au câștigat zeci de contracte de servicii cadastrale finanțate din fonduri publice, inclusiv de la Primăria Alba Iulia — orașul său natal.
Firmele familiei Blaga au raportat profituri cumulate de aproape 3 milioane de lei în trei ani, sumă la care se adaugă fonduri europene obținute prin programe precum Regio și scheme de digitalizare pentru IMM-uri. Investigația mai semnalează că soția directorului ANCPI este angajată într-o structură aflată în subordinea instituției pe care el o conduce — o situație care ridică suspiciuni de conflict de interese, independent de circumstanțele atacului cibernetic asupra ANCPI.
Blaga este inginer geodez, fost om de afaceri în domeniul cadastrului, susținut politic de PNL, și conduce ANCPI din 2023 (a mai deținut funcția și în perioada 2020-2021). Acest al doilea dosar nu explică, prin el însuși, cum s-a produs acest atac cibernetic ANCPI — dar completează portretul unei instituții ale cărei vulnerabilități structurale par să depășească strict componenta tehnică.
9. Ce riști tu, ca cetățean, după acest atac cibernetic ANCPI
Dincolo de disputele instituționale, acest atac cibernetic ANCPI are consecințe directe, concrete, pentru cetățeni — indiferent dacă datele personale au fost sau nu efectiv sustrase, așa cum susține hackerul și neagă instituția.
Riscul de furt de identitate. Dacă datele personale au fost realmente compromise, informațiile despre proprietăți, numere cadastrale, ipoteci, sechestre și alte operațiuni imobiliare pot fi folosite pentru fraude, furt de identitate sau atacuri de tip phishing. Un Cod Numeric Personal (CNP) furat, combinat cu alte date, poate fi folosit pentru deschiderea de conturi bancare, obținerea de împrumuturi, fraude fiscale sau atacuri de tip SIM swap asupra numărului tău de telefon.
Riscul tehnic pe termen lung. Chiar dacă publicarea codului-sursă al aplicației e-Terra nu permite, prin ea însăși, modificarea automată a proprietarilor sau a datelor din cărțile funciare — pentru asta ar fi nevoie de acces suplimentar la baze de date, drepturi interne și evitarea sistemelor de audit — codul-sursă ar putea permite altor atacatori să identifice vulnerabilități suplimentare ale sistemului.
Riscul de extorcare ulterioară. Chiar și după repunerea în funcțiune a sistemelor afectate de acest atac cibernetic ANCPI, datele copiate pot fi păstrate, revândute sau folosite luni mai târziu pentru șantaj și atacuri țintite — mecanismul specific industriei moderne de extorcare prin ransomware, în care blocarea inițială a sistemelor e doar prima dintre metodele de presiune.
Impact financiar direct și imediat. Blocarea aplicației e-Terra face imposibilă eliberarea extraselor de carte funciară, intabulările și verificările necesare pentru finalizarea tranzacțiilor imobiliare. Cumpărătorii cu antecontracte semnate pentru proprietăți încadrate la TVA redus, care nu reușesc să semneze contractul final la timp, riscă taxarea cu 21% TVA în loc de 9% — o diferență de până la 14.000 de euro per tranzacție.
Val conex de fraude prin phishing. Profitând de confuzia creată de acest atac cibernetic ANCPI, au apărut deja campanii de mesaje SMS frauduloase care imită platforma oficială Ghișeul.ro, solicitând date de card bancar prin linkuri către domenii false.
Ce poți face, concret:
- Nu răspunde și nu accesa linkuri primite prin SMS sau e-mail care pretind că vin de la ANCPI, Ghișeul.ro sau alte instituții și cer date personale ori bancare.
- Nu plăti și nu comunica date niciunei persoane care susține că îți poate „debloca” dosarul sau „proteja” datele în schimbul unei sume de bani.
- Monitorizează-ți extrasele bancare și eventualele cereri de credit neautorizate, prin Biroul de Credit.
- Verifică periodic contul din Spațiul Privat Virtual (SPV) al ANAF pentru declarații fiscale suspecte pe numele tău.
- Dacă suspectezi că datele tale au fost expuse, poți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
10. Acest atac cibernetic ANCPI, parte dintr-un val mai larg
Acest atac cibernetic ANCPI nu este un incident izolat. În aceeași perioadă, Directoratul Național de Securitate Cibernetică a semnalat o campanie de phishing care viza platforma Ghișeul.ro, prin mesaje care direcționau utilizatorii către un site fals ce imita platforma oficială și care cerea date complete de card bancar — număr, dată de expirare, cod CVV.
Separat, Ministerul Investițiilor și Proiectelor Europene (MIPE) a anunțat un incident cibernetic distinct, care a scos din funcțiune aplicația de achiziții pentru beneficiarii privați ai proiectelor finanțate prin Politica de Coeziune. Președintele Nicușor Dan a comentat, referitor la acest din urmă incident, că este nefericit, dar face parte dintr-o luptă în curs — o formulare care sugerează, la nivel oficial, conturarea unei narațiuni de val coordonat de atacuri, nu doar incidente izolate. Contextul acesta mai larg întărește miza atacului cibernetic ANCPI: nu vorbim despre o breșă singulară, ci despre un test de rezistență al infrastructurii digitale a statului român, testat simultan în mai multe puncte.
11. Concluzie: anatomia unei instituții nepregătite | Opinie editorială
Acest atac cibernetic ANCPI nu e doar povestea unui hacker care a găsit o portiță tehnică. E povestea unui sistem care a numit propria sa securitate „de importanță națională” pe hârtie, apoi a încredințat-o unei firme cu doi angajați și o cifră de afaceri sub 400.000 de euro. E povestea unei instituții care, în timp ce neagă public orice compromitere a datelor cetățenilor, e condusă de un director care are, separat, propriul dosar de conflict de interese nerezolvat. Iar în mijlocul acestei povești, milioane de români așteaptă să afle dacă numele, codul numeric personal și proprietățile lor circulă acum, la vânzare, pe un forum obscur de pe internet.
Poate cea mai tulburătoare concluzie a atacului cibernetic ANCPI e că nu vorbim despre un atac sofisticat, imposibil de anticipat. Vorbim despre o vulnerabilitate cunoscută încă din 2021, despre contracte de securitate semnate cu doar câteva luni înainte de breșă, și despre o instituție care a avut ani întregi la dispoziție ca să-și verifice temeinic furnizorii. Atacul cibernetic asupra ANCPI nu a fost, cel mai probabil, o fatalitate — ci prețul plătit pentru o incompetență instituțională tolerată prea multă vreme.
12. Surse
- HotNews — Datele furate după atacul cibernetic asupra Agenției pentru Cadastru
- HotNews — Hackerul ByteToBreach: „Nu le vând chiar oricui”
- HotNews — Val de atacuri cibernetice asupra instituțiilor din România
- G4Media — Șeful ANCPI: nu au fost furate date personale ale cetățenilor
- Public Record — România a rămas fără acces la cadastru
- Antena 3 CNN — Hackerul a scos la vânzare datele furate de la Cadastru
- Digi24 — Tranzacțiile imobiliare, blocate de trei zile
- Spotmedia / Euronews — Hackerul își cere scuze, dar vrea bani
- Europa FM — Atacul de la ANCPI blochează tranzacțiile imobiliare, risc TVA 21%
- Ziarul Unirea — Contractele familiei directorului ANCPI
- Termene.ro — Date financiare IT About IT SRL
- Lock — Furtul de identitate cu CNP: cum te protejezi
- Profit.ro — Frank Timiș iese din acționariatul Trencadis
- Curs de Guvernare — Justiția a anulat licitația pentru Cloud-ul guvernamental
- Bugetul.ro — Acordul de 427 milioane lei pentru Cloud-ul Guvernamental, semnat
Citește și:













