Przestępcom trudniej będzie podszywać się pod renomowane podmioty, by np. wyłudzić dane, a następnie wyczyścić komuś konto. Operatorzy zyskają nowe obowiązki, ale i uprawnienia. Pojawią się też nowe kary.

To główne założenia projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, który trafił do konsultacji.
Mieszkanka powiatu słupskiego oszukana na prawie 100 tys. zł przez naciągaczy dzwoniących z numerów należących do banku i policji. Mężczyzna traci cały majątek, bo kliknął w zawirusowany link zawarty w wiadomości tekstowej od swojego operatora. Rodziny osób publicznych odbierają telefony od znanych im numerów i słyszą, że ich bliski nie żyje - w ostatnich miesiącach czytaliśmy niejeden podobny nagłówek w mediach.
Przez dłuższy czas operatorzy telekomunikacyjni twierdzili, że z takimi rodzajami oszustw nie da się nic zrobić, bo przestępcy wykorzystują rozwiązania techniczne z krajów o niskich standardach regulacyjnych. Rząd nie przyjmuje jednak takich tłumaczeń i proponuje ustawę mającą w kompleksowy sposób ograniczyć nadużycia w komunikacji elektronicznej poprzez wdrożenie obowiązku stosowania przez operatorów nowoczesnych rozwiązań w zakresie bezpieczeństwa oraz zacieśnienie współpracy firm z państwowymi instytucjami.

Otwarty katalog

Opublikowany w ubiegłym tygodniu projekt ustawy wskazuje, że zakazane zostaną nadużycia w komunikacji elektronicznej - chociażby generowanie tzw. sztucznego ruchu, polegającego na tym, że oszuści przekonują abonenta do wysłania SMS-ów lub wykonania rozmowy telefonicznej na numery zarejestrowane np. w egzotycznych krajach. Inne wskazane nadużycia to smishing oraz CLI spoofing. Ten pierwszy polega na wysyłaniu wiadomości SMS, a drugi na inicjowaniu połączenia głosowego, w których to oszust powołuje się na osobę lub instytucję w celu nakłonienia odbiorcy do określonego działania, np. przekazania danych osobowych czy nieświadomego rozporządzenia majątkiem lub instalacji złośliwego oprogramowania.
Jak poważnym problemem jest smishing oraz spoofing? To nie jest do końca zbadane. Obecnie sprawy o takie nadużycia prowadzi się na podstawie art. 190a par. 2 kodeksu karnego. Przepis ten stanowi, że „kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, w celu wyrządzenia jej szkody majątkowej lub osobistej”, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Ze statystyk, które udało nam się uzyskać, wynika, że w 2021 r. policja prowadziła 2857 postępowań przygotowawczych o czyn z powyższego przepisu. W okresie od 1 stycznia do 31 maja 2022 r. wszczęto zaś 1022 postępowania przygotowawcze, a zakończono 882 (w tym postępowania wszczęte przed 1 stycznia br.).

Wykaz niechcianych numerów

Zgodnie z projektem ustawy przedsiębiorcy telekomunikacyjni mają być zobowiązani do podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie. Mają jednocześnie mieć możliwość przetwarzania i wzajemnego udostępniania sobie informacji, w tym tych objętych tajemnicą telekomunikacyjną (oprócz komunikatów elektronicznych) w celu osiągnięcia powyższego celu. Przepisy wprowadzają też konkretne obowiązki - chociażby konieczność wdrożenia zestawu protokołów, dzięki którym możliwa będzie walka z fałszowaniem identyfikatorów dzwoniących w publicznych sieciach telefonicznych.
Ponadto prezes Urzędu Komunikacji Elektronicznej ma prowadzić jawny wykaz numerów telefonicznych służących wyłącznie do odbierania połączeń głosowych (np. biura obsługi klienta lub infolinii różnych instytucji, banków czy operatorów) i udostępniać go w swoim Biuletynie Informacji Publicznej. Przedsiębiorcy telekomunikacyjni będą mieli obowiązek blokowania połączeń inicjowanych z wykorzystaniem numerów wpisanych do tego wykazu.
Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński, pozytywnie ocenia te propozycje. Choć nieco powątpiewa, czy okażą się one skuteczne w praktyce. - Każda próba walki z takimi zjawiskami cieszy. Obawiam się tylko, że stosowanie narzędzi reaktywnych, na czele z blokowaniem, zawsze będzie stawiało walczących o krok za przestępcami - mówi prawnik.

Wzorce do blokowania

Projektodawca ma też pomysły na przeciwdziałanie smishingowi. Proponuje, aby Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową (CSIRT NASK), monitorował występowanie smishingu m.in. na podstawie SMS-ów otrzymywanych od odbiorców. Na ich podstawie oraz własnej analizy CSIRT ma tworzyć wzorce wiadomości wyczerpujących znamiona smishingu. Będzie je następnie przekazywał za pomocą systemu teleinformatycznego do komendanta głównego policji, prezesa UKE i przedsiębiorców telekomunikacyjnych. Ci ostatni będą zobowiązani do niezwłocznego blokowania SMS-ów zawierających treści zawarte we wspominanych wzorcach. Choć będą mogli też blokować inne SMS-y, które uznają za smishingowe. Przepisy przewidują jednocześnie drogę odwoławczą dla nadawców SMS-ów, które zostały zakwalifikowane jako smishing. Będą oni mogli złożyć sprzeciw do prezesa UKE, a organ rozpatrzy go w ciągu 14 dni.
Mecenas Litwiński jest sceptyczny wobec pomysłu filtrowania komunikacji za pomocą wzorców wiadomości. - Niepokoi mnie to, bo trzeba byłoby filtrować całość komunikacji i to pod kątem treści, a nie numeru, z którego pochodzi komunikacja. To rodzi duże ryzyko naruszenia tajemnicy komunikowania się - zauważa adwokat.

Trefne domeny

To nie koniec pomysłów na blokowanie dostępu przestępców do użytkowników. Przepisy przewidują, że może zostać zawarte porozumienie o prowadzeniu jawnej listy ostrzeżeń dotyczących domen służących do wyłudzania danych oraz dostępu do kont bankowych. Na takiej liście mogłyby znaleźć się też numery telefonu lub identyfikatory użytkowników parających się CLI spoofingiem. Przedsiębiorcy telekomunikacyjni mieliby zaś prawo uniemożliwić internautom dostęp do stron internetowych wykorzystujących nazwy domen wpisanych na tę listę. Stronami porozumienia mieliby być: prezes UKE, minister ds. informatyzacji, NASK oraz przedsiębiorca lub przedsiębiorcy telekomunikacyjni.
Dla zwiększenia bezpieczeństwa internautów dostawcy poczty elektronicznej dla co najmniej 500 tys. użytkowników (albo obsługujący co najmniej pół miliona aktywnych kont pocztowych) lub dla podmiotu publicznego mają mieć obowiązek stosowania nowoczesnych mechanizmów uwierzytelniania poczty, wskazanych w projekcie ustawy.

Nowe sankcje

Przewidziane są również nowe kary. Prezes UKE może nałożyć grzywnę na firmy telekomunikacyjne i dostawców poczty elektronicznej za niewypełnianie wskazanych w regulacji obowiązków. Przychody z tych kar - maksymalnie do 3 proc. przychodu firm - miałyby zasilać Fundusz Bezpieczeństwa, o którym mowa w art. 1 pkt 1 ustawy o szczególnych zasadach wynagradzania osób realizujących zadania z zakresu cyberbezpieczeństwa (Dz.U. z 2021 r. poz. 2333 ze zm.).
Z kolei za dopuszczanie się generowania sztucznego ruchu, smishingu czy CLI spoofingu w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody ma grozić kara pozbawienia wolności od 3 miesięcy do 5 lat. W przypadku mniejszej wagi sprawca ma podlegać grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jeżeli takie działanie popełniono na szkodę osoby najbliższej, ściganie ma następować na wniosek pokrzywdzonego.
- Fałszywe SMS-y i telefony podszywające się pod cudze numery oraz strony internetowe wyłudzające dane logowania są coraz większym problemem. Każdy może paść ofiarą takiego ataku. Konsultując się z branżą telekomunikacyjną, proponujemy rozwiązania, które mają w sposób kompleksowy pomóc w walce z cyberprzestępcami - mówi Janusz Cieszyński, pełnomocnik rządu do spraw cyberbezpieczeństwa, odpowiedzialny za projekt.
Przewidziany jest okres przejściowy dla części obowiązków. Firmy telekomunikacyjne miałyby wdrożyć rozwiązania do walki z nadużywaniem sieci w ciągu sześciu miesięcy (w odniesieniu do generowania sztucznego ruchu oraz smishingu) oraz 12 miesięcy (w zakresie CLI spoofingu) od wejścia w życie ustawy. Regulacja zacznie obowiązywać po upływie 30 dni od dnia jej ogłoszenia w Dzienniku Ustaw, co planowane jest jeszcze w tym roku.
Polski rynek telekomunikacyjny / Dziennik Gazeta Prawna - wydanie cyfrowe
Etap legislacyjny
Projekt skierowany do konsultacji i opiniowania