Ustawa wprowadziła do polskiego systemu prawnego kilka całkiem nowych przestępstw oraz uregulowała obszary zachowań niezgodnych z prawem, które dotąd na gruncie prawa karnego kwalifikowane były jako oszustwa bądź oszustwa komputerowe w różnych formach sprawstwa takich jak choćby pomocnictwo czy usiłowanie.
Smishing.
Definicja „smishingu” została wprowadzona do polskiego systemu prawnego obowiązującą od września 2023 roku ustawą o zwalczaniu nadużyć w komunikacji elektronicznej. Celem ustawy było zwiększenie poziomu ochrony użytkowników przed szkodliwymi działaniami podejmowanymi w obszarze komunikacji elektronicznej z wykorzystaniem różnego rodzaju technologii komunikacji. Ustawa ta określa smishing jako wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania.
Zgodnie z brzmieniem przywołanej ustawy kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła krótką wiadomość tekstową (SMS), wiadomość multimedialną (MMS) lub wiadomość za pośrednictwem innych usług komunikacji interpersonalnej, w której podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej – podlega karze pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku, zaś jeśli czyn popełniono na szkodę osoby najbliższej, to jego ściganie następuje na wniosek pokrzywdzonego.
CLI Spoofing.
Jeśli zastanawiałeś się kiedyś jak to się dzieje, że na ekranie Twojego telefonu podczas połączenia przychodzącego możesz zobaczyć numer telefonu infolinii banku, podczas gdy faktycznie połączenie wykonywane jest przez osobę, która chcę doprowadzić Cię do niekorzystnego rozporządzenia Twoim mieniem, to musisz wiedzieć, że to nić nic innego jak spoofing, czyli rodzaj ataku lub oszustwa, w których oszust wykorzystuje luki w systemach teleinformatycznych do podszywania się pod inny podmiot, wprowadzając adresata połączenia w błąd co do swojej tożsamości.
Zgodnie z treścią ustawy jest to nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania.
Chociaż definicja ustawowa brzmi skomplikowanie, to w uproszeniu należy przyjąć, że jest to coraz popularniejsza technika ataku polegająca na podszywaniu się najczęściej pod różne instytucje finansowe, państwowe (np. policję, Straż Graniczną), duże firmy (np. telekomunikacyjne) lub inne osoby w celu wprowadzenia w błąd potencjalnej ofiar i wyłudzenia od niej danych umożliwiających dokonanie kradzieży m.in. pieniędzy z konta bankowego lub utraty danych osobowych. Spoofing może przybierać różne formy, takie jak podszywanie się pod prawdziwy numer telefonu, pod adres e-mail lub adres IP komputera.
W aktualnym stanie prawnym zagrożenie karne za taki czyn zostało wskazane w treści art. 31 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Zgodnie z jego treścią kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody, przy wywoływaniu połączenia głosowego posługuje się, nie będąc do tego uprawnionym, informacją adresową wskazującą na inną osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, aby podszyć się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej podlega karze pozbawienia wolności od 3 miesięcy do lat 5. W wypadkach mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Z kolei, jeżeli czyn popełniono na szkodę osoby najbliższej, ściganie przestępstwa następuje na wniosek pokrzywdzonego.
Modyfikacja informacji adresowej.
Obok smishing i spoofingu ustawodawca uregulował również w treści wspomnianej ustawy odpowiedzialność karną za modyfikację informacji adresowej. Chociaż brzmi to skomplikowanie, to zjawisko takie polega na niezgodnym z prawem modyfikowaniu informacji o nadawcy treści telekomunikacyjnych w sposób który uniemożliwia albo istotnie utrudnia ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego treść.
Podobnie jak w przypadku opisywanych już przestępstw ustawodawca przewidział za takie działanie karę pozbawienia wolności od 3 miesięcy do lat 5, a w wypadkach mniejszej wagi, karę grzywny, ograniczenia wolności albo pozbawienia wolności do roku.
Co ważne, warunkiem poniesienia odpowiedzialności karnej jest przesyłanie działanie sprawcy, którego celem jest osiągnięcie korzyści majątkowej, osobistej lub wyrządzenia innej osobie szkody. Samo rozsyłanie np. spamu reklamowego nie będzie wyczerpywało znamion przestępstwa smishingu. Przestępstwo takie nie ma również charakteru sutkowego, co oznacza, że warunkiem odpowiedzialności karnej nie jest osiągnięcie korzyści majątkowej przez sprawcę, a jedynie działanie, które ku osiągnięciu takiej korzyści zmierza.
Warunkiem zakwalifikowania danych czynu jako przestępstwa będzie również cel, który przyświeca sprawcy. Dla poniesienia odpowiedzialności karnej niezbędne będzie również, aby działanie następowało w celu nakłonienia odbiorcy wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, zainicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej.
Warto dostrzec, że zagrożenie karne za wskazane przestępstwa zostało przez ustawodawcę określone w podobny sposób jak w przypadku uregulowanego w art. 287 kodeksu karnego przestępstwa „oszustwa komputerowego”.