Zastanawiałeś się kiedyś, jak to się dzieje, że na ekranie Twojego telefonu podczas połączenia przychodzącego możesz zobaczyć numer telefonu infolinii banku, podczas gdy w rzeczywistości połączenie wykonywane jest przez osobę, która chcę doprowadzić Cię do niekorzystnego rozporządzenia Twoim mieniem oraz do utraty oszczędności?

To nic innego jak SPOOFING, czyli rodzaj ataku lub oszustwa, gdzie oszust wykorzystuje luki w systemach teleinformatycznych do podszywania się pod inny podmiot, wprowadzając adresata połączenia w błąd co do swojej tożsamości.

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej niedawno wprowadziła do naszego systemu prawnego definicję CLI Spoofingu.

Zgodnie z treścią ustawy jest to „nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania”.

Chociaż definicja ustawowa brzmi skomplikowanie, to w uproszeniu należy przyjąć, że jest to coraz popularniejsza technika ataku polegająca na podszywaniu się najczęściej pod różne instytucje finansowe, państwowe (np. policję, Straż Graniczną), duże firmy (np. telekomunikacyjne) lub inne osoby w celu wprowadzenia w błąd potencjalnej ofiar i wyłudzenia od niej danych umożliwiających dokonanie kradzieży m.in. pieniędzy z konta bankowego lub utraty danych osobowych.

Coraz większa intensywność ataków scammerskich przybierająca tą metodę działania skłoniła ustawodawcę do uregulowania odpowiedzialności karnej za takie działanie, o ile jest ono podejmowane np. w celu osiągnięcia korzyści majątkowej.

Przestępstwo CLI Spoofingu a zagrożenie karne:

W aktualnym stanie prawnym zagrożenie karne za taki czyn zostało wskazane w treści art. 31 ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Zgodnie z jego treścią, kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody, przy wywoływaniu połączenia głosowego posługuje się, nie będąc do tego uprawnionym, informacją adresową wskazującą na inną osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, aby podszyć się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

W wypadkach mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Z kolei, jeżeli czyn popełniono na szkodę osoby najbliższej, ściganie przestępstwa następuje na wniosek pokrzywdzonego.

Chociaż samo wprowadzenie ustawowej regulacji określających odpowiedzialność karną należy oceniać pozytywnie, to niestety w kontekście przestępstw internetowych oraz tych związanych z wykorzystaniem narzędzi do zdalnej komunikacji, nadal brakuje kompleksowej regulacji, która dawałby organom ścigania większe możliwości sprawnej reakcji.