25 września 2023 roku weszły w życie – z pewnymi wyjątkami – przepisy ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Ustawa wdraża przepisy dyrektywy Parlamenty Europejskiego i Rady (UE) 2018/1972 z 11.12.2018 r. ustanawiającej Europejskiej kodeks łączności elektronicznej. Ustawa reguluje m.in. przykładowe naruszenia w komunikacji elektronicznej. Ze względu na ciągły rozwój nowych technologii nie jest bowiem możliwe ujęcie wszystkich naruszeń z tego obszaru w omawianym akcie prawnym.
Rodzaje naruszenia
Jako przykładowe naruszenia w codziennej komunikacji elektronicznej ustawa wymienia m.in. smishing rozumiany jako wysyłanie wiadomości SMS, w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy wiadomości do określonego zachowania, w tym m.in. przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej czy inicjowania połączenia głosowego czy instalacji oprogramowania, czy CLI spoofing rozumiany jako nieuprawnione posłużenie się lub korzystanie przez użytkownika numerem telefonu lub nazwą wskazującą na zupełnie inny podmiot w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy do określonego zachowania, podobnie jak w przypadku smishingu, czy chociażby nieuprawnioną modyfikację numeru telefonu bądź nazwy użytkownika uniemożliwiającą albo istotnie utrudniającą ustalenie użytkownika rzeczywiście wykonującego komunikat.
Gdzie zgłosić naruszenie
Każdy odbiorca wiadomości bądź firma telekomunikacyjna mogą zgłosić podejrzane wiadomości SMS, zawierające złośliwe linki, do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK – incydent.cert.pl). Podmiotem, któremu obecnie powierzono zadania CSIRT NASK i który jest odpowiedzialny za monitorowanie smishingu, jest CERT Polska, który opracowuje wzorzec podejrzanej wiadomości. Taka wiadomość po udostępnieniu jej przedsiębiorcom telekomunikacyjnym powinna zostać zablokowana, jeśli wypełnia znamiona smishingu.
Podobnie rzecz się ma ze złośliwymi domenami internetowymi. Każdy może zgłosić domenę internetową na stronie Biuletynu Informacji Publicznej Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego (bip.nask.pl – zgłoś incydent), w przypadku podejrzenia, że może ona służyć do wyłudzenia określonych danych, czy niekorzystnego rozporządzenia mieniem. W przypadku zablokowania takiej domeny internetowej nastąpi przekierowanie takiego połączenia na stronę internetową CSIRT NASK zawierającą stosowne ostrzeżenie.
Zablokowanie wiadomości i umieszczenie domeny internetowej na liście ostrzeżeń
Niesłuszne w ocenie nadawcy zablokowanie wiadomości SMS i w konsekwencji jej niedostarczenie do odbiorcy z uwagi na jej potencjalnie możliwe wpisanie się we wzorzec wiadomości, niesłuszne w ocenie właściciela domeny internetowej jej umieszczenie na liście ostrzeżeń i uniemożliwienie dostępu do niej, rodzi po stronie nadawcy wiadomości bądź właściciela domeny internetowej uprawnienie do żądania dalszego nieblokowania wiadomości SMS bądź usunięcia domeny internetowej z listy ostrzeżeń.
Sprzeciw
W tym celu ustawa przewiduje instytucję sprzeciwu, który należy wnieść wyłącznie drogą elektroniczną do Prezesa Urzędu Komunikacji Elektronicznej. Prezes UKE rozpatruje sprzeciw w terminie 14 dni. W przypadku jego uwzględnienia, nakazuje się CERT Polska do nieblokowania wiadomości SMS bądź usunięcia domeny internetowej z listy ostrzeżeń, natomiast w przypadku jego nieuwzględnienia nadawcy bądź właścicielowi domeny internetowej przysługuje możliwość wniesienia skargi do sądu administracyjnego.
Numery infolinii instytucji zaufania publicznego
Na uwagę zasługują przepisy ustawy dotyczące prowadzenia przez Prezesa UKE wykazu numerów służących wyłącznie do odbierania połączeń głosowych (numerów infolinii) i udostępniania ich w Biuletynie Informacji Publicznej na swojej stronie internetowej. Rozwiązanie to ma ograniczyć możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Chodzi o to, aby połączenie było inicjowane wyłącznie w jednym kierunku, np. przez konsumenta, który dzwoni ze swojego numeru np. na numer infolinii banku. Połączenia inicjowane przy wykorzystaniu numerów infolinii wpisanych do wykazu będą od razu zablokowane. Takie numery mają bowiem służyć wyłącznie do odbierania, nie zaś inicjowania połączenia. Na obecnym etapie wniosek o umieszczenie w wykazie numerów mogą złożyć banki, instytucje finansowe, ubezpieczeniowe czy jednostki sektora finansów publicznych.
Dostawcy poczty elektronicznej
Dostawcy poczty elektronicznej dla co najmniej 500 000 użytkowników, 500 000 aktywnych kont lub podmiotów publicznych będą obowiązani stosować mechanizm wielokrotnego (przynajmniej dwuetapowego) uwierzytelnienia poczty elektronicznej.
Przepisy karne
Oprócz kar pieniężnych za nieprzestrzeganie określonych procedur wskazanych w omawianym akcie prawnym ustawa przewiduje surowe kary pozbawienia wolności od 3 miesięcy do 5 lat za powodowanie wskazanych naruszeń w komunikacji elektronicznej. W przypadku mniejszej wagi sprawcy mogą podlegać karze grzywny, karze ograniczenia wolności albo pozbawienia wolności.
Opracowała: apl. adw. Agnieszka Borek
Źródło opracowania:
Ustawa z dnia 28 lipca 2023 roku (Dz. U. z 2023 r. poz. 1703)
Uzasadnienie do projektu ustawy: https://www.sejm.gov.pl/sejm9.nsf/druk.xsp?nr=3069; dostęp: 10.09.2023 rok