W dniu 2 marca 2023 r. do Sejmu wpłynął projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (druk nr 3069) dotyczący wdrożenia przepisu art. 97 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej, zgodnie z którym organy mogą wymagać od podmiotów udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej zablokowania w indywidualnych przypadkach dostępu do numerów lub usług, w przypadku gdy jest to uzasadnione ze względu na oszustwo lub nadużycie. Ustawa została uchwalona w dniu 28 lipca 2023 r.
O tym co określa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej przeczytasz w niniejszym artykule.
Przyczyny i potrzeby wprowadzenia rozwiązań planowanych w projekcie ustawy
Na oficjalnej stronie rządowej wskazano, że:
- Komunikacja elektroniczna stanowi narzędzie powszechnie wykorzystywane w życiu codziennym przez współczesne społeczeństwo informacyjne. Z usług dostarczanych przez przedsiębiorców telekomunikacyjnych codziennie korzysta wiele milionów osób. Usługi te są również coraz szerzej i w sposób bardziej wyszukany wykorzystywane przez przestępców w celu wyrządzenia szkód po stronie przedsiębiorców telekomunikacyjnych i użytkowników końcowych lub osiągnięcia nienależnych korzyści.
- W ostatnich miesiącach nasiliły się również ataki na osoby fizyczne z wykorzystaniem usług telekomunikacyjnych . Przestępcy, stosując specjalne bramki internetowe VoIP podszywali się pod numer zaufanych instytucji czy osoby publiczne i dzwonili z rzekomo prawdziwego numeru. W ten sposób próbowali nakłonić odbiorców do niekorzystnego działania czy w niektórych przypadkach nawet próbowali ich zastraszyć. Oszuści wykorzystywali w ten sposób słabości sieci telekomunikacyjnych, które powodują, że operatorzy sieci mobilnych często nie są w stanie zweryfikować, czy połączenie w ramach którego jest prezentowany numer faktycznie pochodzi z karty SIM, która jest zarejestrowana dla danego numeru. Zjawisko to występuje pod nazwą CLI spoofing.
- Innym zagrożeniem dla użytkowników są fałszywe krótkie wiadomości tekstowe SMS. Oszuści podszywając się pod zaufane instytucje próbują nakłonić nieświadome ofiary do ujawnienia danych osobowych, informacji o karcie kredytowej czy zainfekować urządzenie poprzez kliknięcie w link w wiadomości. Zjawisko to występuje pod nazwą smishingu.
- W tej sytuacji konieczne jest wprowadzenie odpowiednich przepisów dotyczących zwalczania nadużyć w komunikacji elektronicznej. Proponowane rozwiązania mają służyć stworzeniu odpowiednich ram prawnych do podejmowania działań w zakresie zapobiegania nadużyciom w komunikacji elektronicznej przez przedsiębiorców telekomunikacyjnych, a w dalszej perspektywie pozwolą w większym stopniu, niż obecnie, ograniczyć skalę nadużyć i chronić bezpieczeństwo użytkowników. Kwestia zwalczania nadużyć nie jest regulowana w Europejskim Kodeksie Łączności Elektronicznej oraz nie była dotychczas regulowana w ustawie – Prawo telekomunikacyjne.
Co więcej projektowane rozwiązania nakładały na przedsiębiorców telekomunikacyjnych następujące obowiązki:
- podejmowanie proporcjonalnych środków technicznych i organizacyjnych mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej;
- blokowanie krótkich wiadomości tekstowych, które zawierają treści zgodne ze wzorcem wiadomości przekazanym przez CSIRT NASK;\3) blokowanie połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję.\Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów służących wyłącznie do odbierania połączeń głosowych.
Dodatkowo wskazano, ze zespół CSIRT NASK będzie monitorował występowanie smishingu i przekazywał przedsiębiorcom telekomunikacyjnym wzorce wiadomości wskazujące na wystąpienie smishingu, a dostawcy poczty elektronicznej dla co najmniej 500 000 użytkowników, 500 000 aktywnych kont lub podmiotów publicznych będą obowiązani stosować mechanizm uwierzytelnienia poczty elektronicznej.
Główne założenia ustawy o zwalczaniu nadużyć w komunikacji elektronicznej
Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej określa przede wszystkim:
- prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
- kompetencje Prezesa Urzędu Komunikacji Elektronicznej, zwanego dalej „Prezesem UKE”, związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
- zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej;
- zasady świadczenia usług związanych z wysyłaniem krótkich wiadomości tekstowych (SMS) zawierających nadpisy na rzecz podmiotów publicznych;
- zasady wnoszenia sprzeciwu przez podmiot posiadający tytuł prawny do domeny internetowej wobec wpisania tej domeny na listę ostrzeżeń;
- obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej;
- szczególne zasady przetwarzania informacji objętych tajemnicą telekomunikacyjną związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem.
Zakaz nadużyć w komunikacji elektronicznej
Ustawa wprowadza otwarty katalog nadużyć w komunikacji elektronicznej, ponieważ wobec postępu technologicznego nie jest możliwe zidentyfikowanie wszystkich form nadużyć.
Zakazane są nadużycia w komunikacji elektronicznej, w szczególności:
- generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
- smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
- CLI spoofing – nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
- nieuprawniona zmiana informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.
WAŻNE
– nieuprawnionej zmiany informacji adresowej nie stanowi zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat.
Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.
Podsumowanie
Z uwagi na fakt, że komunikacja elektroniczna jest najczęściej wykorzystywanych narzędziem w życiu codziennym przez współczesne społeczeństwo informacyjne, to stała się ona coraz częściej wykorzystywana przez przedsiębiorców w celu wyrządzenia szkód po stronie przedsiębiorców telekomunikacyjnych, użytkowników końcowych lub osiągnięcia nienależnych korzyści. Wśród zagrożeń wyróżniamy m.in. fałszywe krótkie wiadomości tekstowe (SMS) czy wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów. Wobec tego konieczne stało się wprowadzenie odpowiednich przepisów dotyczących zwalczania nadużyć w komunikacji elektronicznej.