Coraz powszechniejszy proceder oszustw w cyberprzestrzeni spowodował, że rząd dostrzegł konieczność wprowadzenia regulacji prawych mających na celu zwalczanie tego zjawiska. Po konsultacjach, 14 lutego 2023 roku Rada Ministrów przyjęła projekt Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Zaproponowane w niej rozwiązania mają być podstawą do zapobiegania nadużyciom w komunikacji elektronicznej przez przedsiębiorców telekomunikacyjnych. Z biegiem czasu ma też prowadzić do ograniczenia skali nadużyć i zwiększenia ochrony użytkowników.
Definicja i typy nadużyć
Zgodnie z projektem ustawy za nadużycie w komunikacji elektronicznej uznawane ma być
„świadczenie usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem, lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej”.
W projekcie uwzględniono takie typy nadużyć jak:
- generowanie sztucznego ruchu – rozumiane jako przesyłanie komunikatów lub generowanie połączeń w celu innym niż rozmowa np. głuche telefony,
- smishing, czyli wysyłanie krótkich wiadomości tekstowych, w których sprawca podszywa się pod kogoś w celu nakłonienia adresata do określonego zachowania. Wiadomości takie pochodzą najczęściej od kogoś podającego się jako bank czy instytucja publiczna i zawierają np. link do strony internetowej gdzie może dojść do ataku phishingowego,
- CLI Spoofing będący podszywaniem się pod inny podmiot podczas wykonywania połączenia głosowego w celu nakłaniania adresata do określonego zachowania oraz
- nieuprawiona zmiana informacji adresowej, której sedno sprowadza się do utrudnienia ustalenia kto wysyłał wiadomość lub dzwonił.
Obowiązki przedsiębiorców
Cytowana wyżej ustawa reguluje również nowe obowiązki, którym podlegać będą przedsiębiorstwa telekomunikacyjne.
Będzie na nich np. ciążyć obowiązek blokowania rozsyłania smishingu. Co istotne, specjalny zespół do zajmowania się takimi sprawami, CSIRT NASK, będzie polegać wyłącznie na dobrowolnie zgłoszonych przez użytkowników wiadomościach. Warto by było rozważyć monitorowanie samego zjawiska i działanie z urzędu. Dynamika rozsyłania wiadomości i skala zjawiska pozwala założyć, że takie rozwiązanie byłoby znacznie efektywniejsze.
Kolejnym elementem mającym uszczelnić komunikację elektroniczną ma być nałożony na Prezesa Urzędu Komunikacji Elektronicznej obowiązek prowadzenia wykazu numerów służących wyłącznie do odbierania połączeń głosowych. Ma on służyć temu, aby każdy zainteresowany mógł zobaczyć, czy numer, na który rzekomy podmiot każe zadzwonić jest prawdziwy. Wniosek o wpis będą mogły złożyć:
- jednostki sektora finansów publicznych,
- banki,
- inne instytucje finansowe lub ubezpieczeniowe,
- operatorzy telekomunikacyjni na swoje potrzeby (infolinia, obsługa klienta itd.).
Takie rozwiązanie nie wyeliminuje całkowicie ryzyka. Podmioty te nadal będą dzwonić, by świadczyć usługi i prowadzić marketing. Sprawia to tylko tyle, że ludzie niebędący na tej liście, w tym potencjalni oszuści, nie będą w stanie się kontaktować za pośrednictwem numerów jedynie do odbierania połączeń.
Poza powyższymi postanowieniami projekt zawiera bardzo ogólne zapisy o zapobieganiu i zwalczania spoofingu. Mowa jedynie o tym, że przedsiębiorca telekomunikacyjny ma obowiązek stosowania w tym celu środków organizacyjnych i technicznych.
Przedsiębiorca telekomunikacyjny będzie mógł nawiązać porozumienie z niektórymi podmiotami publicznymi w celu prowadzenia listy ostrzeżeń wobec potencjalnie niebezpiecznych stron oraz uniemożliwienia dostępu do nich. W przypadku zawarcia takiego porozumienia podmiotem odpowiedzialnym za prowadzenie listy ma być również CSIRT NASK. Blokowanie takich stron ma zależeć wyłącznie od decyzji przedsiębiorcy telekomunikacyjnego. W przypadku skorzystania z takiego uprawnienia ma następować przekierowanie połączenia do strony internetowej prowadzonej przez CSIRT NASK. Będą tam informacje o liście, zarejestrowaniu na niej wyszukiwanej domeny i o możliwej próbie wyłudzenia danych lub środków finansowych.
Projekt ustawy nakłada również nowe obowiązki na dostawców poczty elektronicznej. W takim przypadku dostawca, który posiada co najmniej 500 tys. użytkowników poczty lub obsługuje podmioty publiczne będzie zobowiązany do stosowania mechanizmów uwierzytelniania takich jak:
- SPF – zabezpieczenie przed odbieraniem poczty z niedozwolonych źródeł,
- DMARC – stosowanie protokołu uwierzytelniania poczty e-mail i
- DKIM – metoda łączenia domeny internetowej z wiadomością.
Kary
Ustawa wprowadza sankcje dla podmiotów dopuszczających się nadużyć. Będzie je – w drodze decyzji – nakładać Prezes Urzędu Komunikacji Elektronicznej. Kara pieniężna wymierzana będzie w wysokości 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Proponuje się też możliwość nałożenia na kierowników takich podmiotów (lub ich związków) kary o wysokości 300% ich miesięcznego wynagrodzenia.
Dodatkowo projekt zakłada możliwość nałożenia na kierownika podmiotu publicznego za korzystanie z usług dostawcy innego niż stosujący specjalne zabezpieczanie, kary do wysokości jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej.
Podmioty dokonujące nadużyć w komunikacji elektronicznej w postaci tworzenia sztucznego ruchu, smishingu lub dokonujące CLI spoofingu podlegać będą odpowiedzialności karnej. Przewidziana kara pozbawienia wolności wynosi od 3 miesięcy do 5 lat. W przypadku mniejszej wagi nadużycia sprawca będzie podlegał grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. W przypadku, gdy działania popełniono na szkodę osoby najbliższej, ściganie następować ma na wniosek pokrzywdzonego. Niestety w projekcie brak jakichkolwiek regulacji, które mogłyby usprawnić działanie organów ścigania.
Nasza opinia i podcast
Uważamy, że ta inicjatywa ustawodawcy jest pozytywna, ale ma też swoje wady. Zmiany muszą być holistyczne i powinny obejmować wprowadzenie instrumentów również w zakresie np. ścigania przestępstw i doprowadzenia do powstania wyspecjalizowanych komórek Policji czy też Prokuratury. Uregulowania wymaga także kwestia dotycząca wyłudzania danych np. poprzez wysyłanie linków w portalach społecznościowych. Smuci dalszy brak instrumentów pomocy pokrzywdzonym.
Zaproponowane zmiany mają charakter zapobiegawczy. Warto byłoby wprowadzić rozwiązania, które mogłyby faktycznie wesprzeć ofiary nadużyć, o których mówi ustawa.
Bartosz Grube został ostatnio zaproszony do wzięcia udziału w podcaście należącym do Rzeczpospolitej o nazwie „Rzeczpospolita Rozmowy”. Wyrażał w nim swoje opinie o kwestiach związanych z powyższym projektem ustawy.
Co uważa on o tym akcie prawnym? Czy zmniejszy on ilość kradzieży tożsamości i wyłudzeń? Zapraszamy do odsłuchania materiału poniżej, aby poznać odpowiedzi na te i inne pytania.
Autorzy:
Barbara Urwentowicz – radca prawny w Kancelarii GRUBE
Bartosz Grube – adwokat w Kancelarii GRUBE