Współautorem wpisu jest Krzysztof Sobieski.
Definicja nadużyć w komunikacji elektronicznej
W czerwcu opublikowano projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej („Projekt”), który zakłada surowe kary za nadużycia w komunikacji elektronicznej, które ustawodawca definiuje jako:
- Smishing – wysyłanie krótkich wiadomości tekstowych (SMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem, przekierowania na stronę internetową, żądania kontaktu telefonicznego lub instalacji oprogramowania – chodzi tu np. o otwarcie przez odbiorcę wskazanego we wiadomości linku od osoby podającej się za bank, firmę kurierską czy dostawcę energii;
- CLI spoofing, który obejmuje nadużycia dotyczące nieuprawnionego posłużenia się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik, służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania – w tym wypadku chodzi o próby pozyskania różnych informacji np. poprzez telefony od osób podających się za pracowników banków i wskazujących na konieczność autoryzacji transakcji;
- Sztuczny ruch, tj. inicjowanie wysyłania lub odbierania komunikatów elektronicznych lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe – proceder ten polega na wykonywaniu przez oszusta wielogodzinnych połączeń na numery z jednej sieci do drugiej, przy czym jego najpopularniejszą odmianą jest sztuczny ruch w roamingu – stąd popularne ostatnio połączenia z krajów egzotycznych – Kuby, Senegalu, Mali, Wybrzeża Kości Słoniowej czy Wyspy Wniebowstąpienia.
Warto jednak zauważyć, że katalog nadużyć w komunikacji elektronicznej wskazany w art. 3 Projektu nie ma charakteru zamkniętego – projektodawca posługuje się zwrotem w szczególności co oznacza, że powyższe dookreślenie form nadużyć ma charakter przykładowy, zatem zakazane będzie każde inne działanie, które może być definiowane jako nadużycie (art. 1). Wynika to z faktu, że wobec postępu technologicznego nie jest obecnie możliwe zidentyfikowanie i dokładne opisanie na przyszłość wszystkich form nadużyć.
Zgodnie z projektowanym art. 2 pkt 4, nadużyciem jest świadczenie lub korzystanie z usługi telekomunikacyjnej lub urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, którego celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści.
Baza wzorców wiadomości i zachowań noszących znamiona nadużyć
Przechodząc do wskazania konkretnych rozwiązań, Projekt zakłada, że obowiązkiem CSIRT NASK[1] będzie przyjmowanie zgłoszeń od odbiorców, przesyłanych w formie krótkich wiadomości SMS oraz tworzenie na tej podstawie wzorców wiadomości noszących znamiona smishingu (art. 4 ust. 1 i 2).
Przygotowane wzorce wiadomości smishingowych będą na bieżąco przekazywane przedsiębiorstwom telekomunikacyjnym, które będą obowiązane do blokowania wiadomości zawierających treści zawarte we wzorcu (art. 4 ust. 6). Przedsiębiorca telekomunikacyjny może blokować także wiadomości SMS noszące znamiona smishingu inne niż zawarte we wzorcu, samodzielnie zidentyfikowane za pomocą własnego systemu teleinformatycznego (art. 7).
Lista ostrzeżeń
Projekt przewiduje także możliwość wprowadzenia listy ostrzeżeń dotyczącej domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników internetu (art. 11). Lista ostrzeżeń ma być prowadzona w drodze porozumienia pomiędzy Prezesem UKE, ministrem właściwym ds. informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowy Instytut Badawczy, oraz przedsiębiorcami telekomunikacyjnymi, a przedsiębiorca telekomunikacyjny będzie mógł uniemożliwić użytkownikom dostęp do domen wpisanych na tę listę.
Mechanizmy ochrony korespondencji mailowej
Ponadto, dostawca poczty elektronicznej dla co najmniej 500 000 użytkowników lub dla podmiotu publicznego będzie zobligowany do stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail). Wskazane mechanizmy to narzędzia służące ochronie przed wiadomościami mailowymi z nieznanych, podejrzanych źródeł, a także przed nieautoryzowanym użyciem (fałszowanie maili) oraz podszywaniem się pod nadawcę z innych domen.
Kontrolę realizacji ww. obowiązków przez dostawców poczty elektronicznej oraz podmioty publiczne będzie sprawować Prezes Urzędu Komunikacji Elektronicznej.
Uprawnienia informacyjne i przekazywania danych objętych tajemnicą
Projektodawca przewidział także uprawnienie do przetwarzania i wzajemnego udostępniania informacji (wiadomości SMS oraz danych o usługach telekomunikacyjnych w celu identyfikacji, zapobiegania i zwalczania nadużyć), w tym także objętych tajemnicą telekomunikacyjną (art. 14). W Projekcie określono informacje, do przetwarzania których będzie uprawniony przedsiębiorca telekomunikacyjny wraz ze wskazaniem celu przetwarzania oraz okresu, do kiedy przetwarzanie jest dopuszczalne, tj. do momentu, w którym możliwe jest dochodzenie z tego tytułu roszczeń.
Kary
Zgodnie z art. 15 Projektu, osoba, która dokonuje nadużyć w komunikacji elektronicznej, obligatoryjnie podlegać będzie karze pieniężnej.
Z kolei na przedsiębiorców telekomunikacyjnych, którzy nie spełnią wymogów ustawowych (m.in. obowiązku blokowania wiadomości czy numerów telefonu wykorzystanych do nadużyć) oraz dostawców poczty elektronicznej, którzy wbrew przepisom ustawy nie zastosują mechanizmów ochronnych, będzie mogła zostać nałożona fakultatywna kara pieniężna.
Kary, według założeń Projektu, nakładać ma Prezes UKE w drodze decyzji administracyjnej.
Wpływy z tytułu kar pieniężnych mają stanowić przychód Funduszu Cyberbezpieczeństwa. Środki Funduszu są przeznaczane na świadczenie teleinformatyczne, stanowiące dodatek do wynagrodzenia osób realizujących zadania w zakresie zapewnienia cyberbezpieczeństwa.
Projekt przewiduje także przepis statuujący odpowiedzialność karną za dopuszczenie się – w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody innej osobie – smishingu, CLI spoofingu lub sztucznego ruchu (art. 16 ust. 1). Nadużycia te mają stanowić nowe przestępstwo, zagrożone karą pozbawienia wolności od 3 miesięcy do 5 lat.
W przypadku mniejszej wagi, sprawca podlegać ma grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Przebieg procesu legislacyjnego
Projekt wpłynął do Rządowego Centrum Legislacji w dniu 15 czerwca 2022 r. i aktualnie znajduje się na etapie opiniowania. W ramach opiniowania swoje stanowisko zaprezentował już Prezes UODO oraz Prezes UOKIK. Uwagi do Projektu przedstawił także minister sprawiedliwości, wskazując m.in., że w projektowanych przepisach (także w tych przewidujących odpowiedzialność karną) pominięto wiadomości multimedialne MMS czy wiadomości wysyłane za pośrednictwem popularnych komunikatorów i platform sprzedażowych, jak np. Messenger, WhatsApp, Vinted czy OLX.
Projekt z pewnością czeka jeszcze wiele modyfikacji, jednak już na obecnym etapie należy zauważyć, że w obliczu narastającej liczby ataków ze strony internetowych oszustów, projektowane przepisy są niezbędne do zapewnienia bezpieczeństwa użytkownikom internetu. Natomiast o słuszności tych przepisów będzie świadczyć ich skuteczność w realnej walce z cyberprzestępcami. Dokładne uszczelnienie systemu ochrony użytkowników internetu wydaje się zadaniem bardzo trudnym – o ile nadzór nad działalnością operatorów telekomunikacyjnych jest z punktu widzenia państwa prosty, to w przypadku międzynarodowych korporacji i właścicieli portali społecznościowych – mocno ograniczony.
Z tego względu z zainteresowaniem będziemy śledzić dalsze prace nad Projektem i na bieżąco informować na naszym blogu o kolejnych zmianach.
Szczegóły dot. prac nad Projektem są dostępne na stronie Rządowego Centrum Legislacji.
[1] Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy.
***
Autorami wpisu są Dominik Pyka, Junior Associate w Kancelarii RKKW oraz adwokat Krzysztof Sobieski, Senior Associate w Kancelarii RKKW.