2 sierpnia 2023 r. Prezydent podpisał Ustawę z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej. Nowe przepisy mają na celu ochronę użytkowników usług telekomunikacyjnych przed nadużyciami w komunikacji elektronicznej, w szczególności poprzez ograniczenie podszywania się pod numery telefonów i osoby publiczne, często prowadzącego do nakłonienia odbiorców do niekorzystnego działania.

Podkreślenia wymaga fakt, że ww. akt prawny ma na celu dostosowanie się do przepisów prawa unijnego, a to wdrożenie przepisu art. 97 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej.

Katalog nadużyć

Ustawa z 2 marca 2023 r. wprowadza otwarty katalog nadużyć (art. 3). Kilka z nich zostało ustawowo dookreślonych, mowa tutaj o tzw. CLI spoofingu, smishingu, generowaniu sztucznego ruchu czy nieuprawnionej zmianie informacji adresowej:

• smishing to zjawisko polegające na wysłaniu fałszywych, krótkich wiadomości tekstowych przez oszustów podszywających się pod zaufane instytucje, próbujących nakłonić nieświadome ofiary do ujawnienia danych osobowych, innych informacji poufnych czy do kliknięcia
  w uprzednio wysłany link w celu zainfekowania urządzenia;
• CLI spoofing polega na podszywaniu się pod numery zaufanych instytucji oraz osób publicznych i dzwonieniu z ich rzeUstawakomo prawdziwego numeru oraz jednoczesnej próbie wywołania strachu lub poczucia zagrożenia, lub nakłonienia odbiorcy tego połączenia do określonego działania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
• generowanie sztucznego ruchu zakłada wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe. Może spowodować zwiększenie płatności w rozliczeniach międzyoperatorskich;
• w przypadku nieuprawnionej zmiany informacji adresowej mamy do czynienia z nieuprawnionym modyfikowaniem tejże informacji, uniemożliwiających lub utrudniającym ustalenie przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu numeru telefonu lub identyfikatora, przy użyciu którego nastąpiło wysłanie komunikatu elektronicznego. Utrudnia to uprawnionym podmiotom w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne ustalenie sprawcy np. fałszywych alarmów bombowych. Nieuprawniona zmiana informacji adresowej utrudnia także rozliczanie się między operatorami za realizację połączeń.

Blokowanie numerów i wiadomości tekstowych

Ustawodawca, w celu ochrony użytkowników przed smishingiem, zaproponował wprowadzenie blokowania numerów i SMS-ów. Blokowaniem będą zajmować się przedsiębiorcy telekomunikacyjni, bazując na uprzednio przekazanych wzorcach krótkich wiadomości wyczerpujących znamiona smishingu, sporządzonych w oparciu o analizę dotychczasowych praktyk oszustów przez CSIRT NASK – czyli zespół specjalistów zajmujących się bezpieczeństwem systemów teleinformatycznych (art. 4 i art. 5 Ustawy). Zespół ten już w kwietniu 2021 r. uruchomił usługę polegającą na możliwości zgłoszenia podejrzanych wiadomości tekstowych.

Ustawa mianuje CSIRT NASK administratorem danych przetwarzanych w systemie teleinformatycznym.

Powyższe będzie miało zastosowanie również do zapobiegania i zwalczenia  CLI spoofing (art. 16), dając możliwość przedsiębiorcy telekomunikacyjnemu zablokowania połączenia głosowego lub ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego zaraz po otrzymaniu decyzji Prezesa UKE w tym przedmiocie, której to nadaje się rygor natychmiastowej wykonalności.

Podkreślić należy, iż wnioski dowodowe zgłoszone tylko w uzasadnieniu nie wywołają żadnych skutków – zostaną całkowicie pominięte bez wydania rozstrzygnięcia w tym przedmiocie.

Lista ostrzeżeń dotyczących fałszywych domen internetowych (art. 20 Ustawy)

W celu zapewnienia ochrony przed stronami internetowymi służącymi do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników, ustawodawca zdecydował się na wprowadzenie możliwości zawarcia porozumienia między Prezesem Urzędu Komunikacji Elektronicznej, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą lub przedsiębiorców telekomunikacyjnych dotyczącego prowadzenia listy ostrzeżeń takich stron. Porozumienie będzie określało co najmniej zasady współpracy stron. Strona porozumienia będzie miała uprawnienie m.in. do zablokowania dostępu do ujętych na liście stron internetowych.

W okresie pandemii COVID-19 funkcjonowało podobne porozumienie, które skutecznie chroniło użytkowników przed utratą danych i środków finansowych.

Ustawodawca, odnosząc się do fałszywych domen internetowych, ma w zamyśle strony podobne do tych należących do podmiotów darzonych zaufaniem przez konsumentów, np. PGNiG czy DHL, które są niezwykle często „naśladowane” przez oszustów. Mogą one zachęcać do logowania, dokonania przelewu bankowego z uwagi na rzekomy brak opłaty za dostawę zamówienia, co następnie powoduje szkodę u konsumentów.

Ustawa zezwala każdemu na dokonanie zgłoszenia podejrzanej domeny internetowej do CSIRT NASK, nawet bez konieczności jego uzasadnienia.   

Co z informacjami objętymi tajemnicą telekomunikacyjną?

Problem przetwarzania i udostępniania informacji objętych tajemnicą telekomunikacyjną został rozwiązany w art. 26 Ustawy. Wskazano w nim, jakie uprawnienia przysługują przedsiębiorcom komunikacyjnym w odniesieniu do w/w informacji.

Mając na uwadze przepisy prawa unijnego dotyczące przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz. Urz. WE L 201 z 31.7.2002, s. 37, z późn. zm.), ustawodawca zdecydował się na ograniczenie możliwości przetwarzania komunikatu wyłącznie do oszustwa typu smishing oraz do wiadomości multimedialnych (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, bowiem jest to konieczne do zidentyfikowania nadużycia. Nie będzie podlegać ingerencji treść wiadomości.

Sankcje ustawowe

Osoba, która dopuściła się w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody innej osobie nadużycia w postaci sztucznego ruchu, smishingu lub CLI spoofingu lub nieuprawnionej zmiany informacji adresowej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5, a w przypadku mniejszej wagi – grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

W przypadku przedsiębiorcy telekomunikacyjnego lub dostawcy poczty elektronicznej, który nie wypełnia obowiązków przewidzianych Ustawą lub dokonuje nadużyć w komunikacji elektronicznej, grozi kara finansowa w wysokości do 3% rocznego przychodu osiągniętego w poprzednim roku kalendarzowym przez ukarany podmiot.

Kiedy przepisy Ustawy wchodzą w życie?

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej wejdzie w życie po upływie 30 dni od dnia ogłoszenia, za wyjątkiem przepisów dotyczących:

• zawarcia porozumienia o współpracy w zakresie ochrony użytkowników i prowadzenia listy ostrzeżeń (art. 20-22), które wejdą w życie następnego po dniu ogłoszenia;
• wydawania przez Prezesa UKE decyzji nakazu przedsiębiorcy telekomunikacyjnemu zablokowania dostępu do numeru lub usługi (art. 23), które wejdą w życie z dniem 1 listopada 2023 r.;
• obowiązku prowadzenia przez Prezesa UKE wykazu numerów służących wyłącznie do odbierania połączeń głosowych (art. 17 i 18) oraz podstawy prawnej kary pieniężnej za niewykonanie obowiązku blokowania wiadomości SMS lub niewykonania obowiązku zablokowania połączenia przychodzącego do sieci z numeru wpisanego w wykazie numerów wyłącznie do odbierania połączeń głosowych (art. 27 ust. 3 pkt 1 i 5), które wejdą w życie po upływie 6 miesięcy od dnia wejścia w życie ustawy;
• kary pieniężnej za niewykonywanie obowiązku blokowania połączeń głosowych (art. 27 ust. 3 pkt 4), który wejdzie w życie po upływie 12 miesięcy od dnia wejścia w życie ustawy.

Autorka: Wiktoria Piszczek, Asystentka prawna

Źródła:

• Ustawa z dnia 2 marca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej,
• uzasadnienie rządowego projektu Ustawy z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej