Wraz z rozwojem technologii komunikacyjnych, oszustwa wykorzystujące te narzędzia stały się coraz powszechniejszym zjawiskiem. Od prób wyłudzenia danych osobowych po próby nakłonienia ofiar do niekorzystnych operacji finansowych, przestępcy na wiele sposobów wykorzystują technologię do swoich celów. Jednakże, by skutecznie przeciwdziałać tym zagrożeniom, wprowadzono w Polsce nowe przepisy prawne – Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej.
Definicja nadużyć w komunikacji elektronicznej
Zgodnie z ustawą, nadużycie w komunikacji elektronicznej to świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, którego celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej lub innej osoby/podmiotu.
Ustawa wyróżnia w szczególności cztery typy takich nadużyć:
1. Smishing – przesyłanie wiadomości SMS zawierających treści mające na celu wyłudzenie danych osobowych lub uzyskanie nienależnych korzyści.
2. Spoofing numeru telefonicznego – podszywanie się pod inną osobę lub instytucję poprzez modyfikację identyfikatora połączenia (CLI).
3. Nadużycia w komunikacji elektronicznej podmiotów publicznych – nieuprawnione wykorzystywanie danych identyfikacyjnych tych podmiotów.
4. Inne nadużycia – działania, które nie zostały wymienione wprost, ale spełniają definicję nadużycia.
Jest to katalog otwarty, co oznacza, że inne działania poza wskazanymi mogą również zostać uznane za nadużycie, jeśli spełniają przedstawioną definicję.
Rola CSIRT NASK w zwalczaniu nadużyć
Kluczową rolę w realizacji zadań wynikających z ustawy odgrywa CSIRT NASK (Zespół Reagowania na Incydenty Komputerowe działający w strukturach Państwowego Instytutu Badawczego NASK). Do jego obowiązków należy:
monitorowanie występowania smishingu i tworzenie wzorców wiadomości SMS, które posiadają cechy pozwalające na uznanie ich za smishing. Wzorce te są następnie udostępniane przedsiębiorcom telekomunikacyjnym, którzy mają obowiązek blokowania wiadomości zgodnych z tymi wzorcami.
CSIRT NASK publikuje także na swojej stronie internetowej informacje na temat wykrytych przypadków smishingu oraz udostępnia wykaz nadpisów wiadomości SMS zastrzeżonych przez podmioty publiczne. Przedsiębiorcy telekomunikacyjni mają obowiązek blokowania wiadomości, które wykorzystują takie nadpisy bez uprawnienia.
Dodatkowo, CSIRT NASK współpracuje z Prezesem Urzędu Komunikacji Elektronicznej (UKE) w zakresie tworzenia listy ostrzeżeń przed stronami internetowymi służącymi do popełniania oszustw. Przedsiębiorcy telekomunikacyjni mogą następnie uniemożliwić użytkownikom dostęp do witryn wpisanych na tę listę.
Obowiązki przedsiębiorców telekomunikacyjnych
Ustawa nakłada szereg obowiązków również na przedsiębiorców telekomunikacyjnych. Są oni zobligowani do:
- Blokowania wiadomości SMS zgodnych ze wzorcem smishingu opracowanym przez CSIRT NASK.
- Ukrywania identyfikacji numeru lub blokowania połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję.
- Wprowadzenia środków organizacyjnych i technicznych w celu monitorowania, wykrywania i zwalczania CLI spoofingu (podmiany numeru telefonicznego).
Przedsiębiorcy telekomunikacyjni obsługujący co najmniej 50 000 abonentów mogą zawrzeć porozumienie z Prezesem UKE, w którym zostaną określone szczegółowe środki, jakie powinni wdrożyć. Dla pozostałych firm Prezes UKE może wydać rekomendacje w tym zakresie.
Ochrona podmiotów publicznych
Ustawa przewiduje również szczególną ochronę danych identyfikacyjnych podmiotów publicznych w komunikacji elektronicznej. Mogą one zastrzegać nadpisy wiadomości SMS, które będą wyświetlać się odbiorcom zamiast numeru telefonu. CSIRT NASK udostępnia wykaz tych zastrzeżonych nadpisów, a przedsiębiorcy telekomunikacyjni są zobowiązani do blokowania wiadomości wykorzystujących je bez uprawnienia.
Ponadto, podmioty publiczne mogą zlecić wysyłanie wiadomości SMS wyłącznie określonemu integratorowi, wpisanemu do specjalnego wykazu prowadzonego przez Prezesa UKE. Zapobiega to nieuprawnionym próbom podszywania się pod te instytucje.
Kary za naruszenia
Ustawa przewiduje surowe kary zarówno administracyjne, jak i karne za naruszenie jej przepisów. Przedsiębiorcy telekomunikacyjni mogą zostać ukarani karą pieniężną do 3% przychodów z poprzedniego roku. Dodatkowo, osoby zarządzające tymi firmami mogą ponieść karę do 300-krotności średniego wynagrodzenia.
W przypadku popełnienia szczególnie zabronionych nadużyć, sprawcy mogą zostać ukarani grzywną, ograniczeniem wolności lub pozbawieniem wolności do 1 roku. Za poważniejsze czyny kara pozbawienia wolności może wynieść nawet do 5 lat.
Podsumowanie i dalsze kroki
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej stanowi istotny krok w kierunku zwiększenia ochrony użytkowników przed oszustwami wykorzystującymi nowoczesne technologie. Nakładając konkretne obowiązki na przedsiębiorców telekomunikacyjnych i podmioty publiczne, a także wprowadzając surowe kary, ustawodawca dąży do ograniczenia skali tych negatywnych zjawisk.
Jednocześnie, biorąc pod uwagę stały rozwój technologii i kreatywność przestępców, wciąż będzie konieczne monitorowanie zmian i dostosowywanie przepisów do nowych wyzwań. Dlatego też zachęcamy czytelników do śledzenia aktualizacji i informacji na temat cyberbezpieczeństwa na stronie https://stop-oszustom.pl/. Tylko poprzez ciągłe dostosowywanie środków ochrony możemy skutecznie przeciwdziałać dynamicznie zmieniającym się zagrożeniom.
