Ustawa określa smishing jako wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania.
Najogólniej rzecz ujmując, smishing jest rodzajem phishingu, który wykorzystuje mechanizm komunikacji z użyciem krótkich wiadomości tekstowych wysyłanych na często losowo wybierane numery telefonów.
Skala zjawiska w ostatnich miesiącach jest coraz większa, co prawdopodobnie wynika z możliwości losowego generowania numerów telefonów poprzez wskazanie przypadkowo dobranych 9 cyfr. Wzrost liczby oszustw dokonywanych z użyciem takiej metody związane jest również z powszechnością korzystania z komunikacji w formie wiadomości SMS. Dane statystyczne pokazują bowiem, że ponad 90% wiadomości tekstowych zostaje odczytanych przez adresata, w tym aż 45% doczekuje się odpowiedzi lub innej reakcji na zawartą w nich treść.
Obok samej definicji legalnej smishingu ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wprowadziła również do systemu prawa karnego kilka nowych rodzajów przestępstw, w tym między innymi uregulowała zasady odpowiedzialności karnej za przestępstwo smishingu.
Zgodnie z brzmieniem art. 30 przywołanej ustawy, kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła krótką wiadomość tekstową (SMS), wiadomość multimedialną (MMS) lub wiadomość za pośrednictwem innych usług komunikacji interpersonalnej, w której podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej – podlega karze pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej wagi sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku, zaś jeśli czyn popełniono na szkodę osoby najbliższej, to jego ściganie następuje na wniosek pokrzywdzonego.
Co ważne, warunkiem poniesienia odpowiedzialności karnej jest przesyłanie wiadomości, której celem jest osiągnięcie korzyści majątkowej, osobistej lub wyrządzenia innej osobie szkody. Samo rozsyłanie np. spamu reklamowego nie będzie wyczerpywało znamion przestępstwa smishingu. Przestępstwo takie nie ma również charakteru skutkowego, co oznacza, że warunkiem odpowiedzialności karnej nie jest osiągnięcie korzyści majątkowej przez sprawcę, a jedynie działanie, które ku osiągnięciu takiej korzyści zmierza.
Warunkiem uznania czynu za przestępstwo będzie również cel, który przyświeca sprawcy – jego działania muszą być skierowane na nakłonienie odbiorcy wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, zainicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej.
Zagrożenie karne zostało przez ustawodawcę określone w sposób analogiczny do przestępstwa „oszustwa komputerowego” uregulowanego w art. 287 kodeksu karnego i przewiduje ono karę od 3 miesięcy do 5 lat pozbawienia wolności, zaś w przypadkach mniejszej wagi sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
O tym jak unikać zagrożenia związanego z atakami smishingowmi przeczytać możesz w naszym artkule na temat zasad bezpiecznej komunikacji elektronicznej, który znajdziesz TUTAJ.
