26 lipca 2023
Projekt Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej bliski wejścia w życie
Stały rozwój branży związanej z komunikacją elektroniczną nie jest wolny od nadużyć dokonywanych przez przestępców, których celem jest wyrządzenie szkody zarówno przedsiębiorcom telekomunikacyjnym jak i osobom fizycznym. Projekt ustawy z dnia 16 czerwca 2023 o zwalczaniu nadużyć w komunikacji elektronicznej służyć ma (jak wskazują jego twórcy) stworzeniu odpowiednich ram prawnych do podejmowania działań przez przedsiębiorców telekomunikacyjnych, zmierzających w kierunku zapobiegania nadużyciom w komunikacji elektronicznej, co w konsekwencji przyczyni się do ochrony bezpieczeństwa użytkowników.
Wprowadzenie ww. ustawy ma na celu wdrożenie przepisu art. 97 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. Europejski kodeks łączności elektronicznej (Dz. Urz. UE L 321 z 17.12.2018, str. 36, z późn. zm.).
Ustawa definiuje m.in. pojęcie nadużycia w komunikacji elektronicznej i wprowadza zakaz, w szczególności:
– generowania sztucznego ruchu – inicjowania połączeń głosowych, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz jej zarejestrowanie na punkcie połączenia sieci telekomunikacyjnej bądź przez systemy rozliczeniowe (tzw. głuche telefony np. z krajów egzotycznych);
– smishingu – wysyłania fałszywych wiadomości sms, w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy wiadomości m.in. do przekazania danych osobowych, podania danych do karty kredytowej, instalacji złośliwego oprogramowania;
– CLI spoofingu – posłużenia się przez osobę, która inicjuje połączenie głosowe, numerem wskazującym na inną osobę lub instytucję, tylko po to, aby podszywając się pod kogoś innego nakłonić adresata połączenia (np. wywołując w tej osobie strach czy poczucie zagrożenia) do określonego działania – podania danych osobowych, numeru karty kredytowej, przekonania ofiary do zainstalowania złośliwego oprogramowania;
– nieuprawnionej zmiany informacji adresowej – modyfikowania numeru telefonu, z którego wykonywane są połączenia mająca na celu utrudnienie identyfikacji (a tym samym np. trudności po stronie operatora z rozliczeniem za usługę telekomunikacyjną).
Zwalczać powyższe nadużycia mają przedsiębiorcy telekomunikacyjni np. poprzez blokowanie wiadomości sms (zwalczanie smishingu) zawierających treści zawarte we
wzorcu wiadomości przekazanej przez CSIRT NASK (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego), albo poprzez blokowanie połączeń głosowych lub ukrywanie identyfikacji numeru wywołującego dla abonenta (zwalczanie CLI spoofing). W konsekwencji tych działań przedsiębiorca telekomunikacyjny będzie zobligowany do rejestracji informacji o usługach telekomunikacyjnych, które nie zostały przez niego wykonane w związku z realizacją wskazanych obowiązków i przechowywania ich przez okres 12 miesięcy liczonych od dnia, w którym usługa miała być wykonana, a w przypadku wniesienia reklamacji – przez okres niezbędny do rozstrzygnięcia sporu.
Co więcej przedsiębiorca telekomunikacyjny będzie musiał śledzić wpisy w jawnym wykazie
numerów służących wyłącznie do odbierania połączeń głosowych prowadzonym przez Prezesa UKE by nie później niż w terminie 3 dni od dnia wpisu numeru w wykazie, zablokować połączenia przychodzące do jego sieci z wykorzystaniem numeru wpisanego w tym wykazie, a także do 3 dni od wykreślenia z wykazu, odblokować dany numer.
W celu ograniczenia między innymi ataków phishingowych (wysyłanie fałszywych wiadomości e-mail pochodzących rzekomo np. od banków, mających na celu wyłudzenie danych i doprowadzenie do niekorzystnego rozporządzenia mieniem) dostawca poczty elektronicznej dla co najmniej 500 000 użytkowników poczty zobowiązany będzie zastosować mechanizmy uwierzytelniania poczty.
Niewykonanie obowiązków, o których mowa powyżej, wiązać się może dla przedsiębiorcy komunikacyjnego z karą pieniężną.
Na koniec zwrócić należy uwagę, że w ustawie wprowadzono również nową prerogatywę dla Prezesa UKE w sytuacji, gdy jest to uzasadnione ochroną użytkowników końcowych przed nadużyciami w komunikacji elektronicznej, nakazania przedsiębiorcy telekomunikacyjnemu w drodze decyzji zablokowania dostępu do numeru lub usługi w terminie nie krótszym niż 6 godzin od momentu jej ogłoszenia oraz nałożenia obowiązku wstrzymania pobierania opłat za połączenia lub usługi zrealizowane po upływie tego terminu.
Na marginesie, podobny w swojej konstrukcji i prerogatywie mechanizm blokowania znajduje się w rządowym projekcie ustawy Prawo komunikacji elektronicznej gdzie Prezes UKE na uzasadnione żądanie uprawnionego podmiotu niezwłocznie w drodze decyzji nałoży na przedsiębiorcę komunikacyjnego obowiązek blokowania, nie później niż w terminie 6 godzin liczonych od otrzymania decyzji, połączeń lub komunikatów elektronicznych przesyłanych w związku ze świadczoną publicznie dostępną usługą telekomunikacyjną, jeżeli mogą one zagrażać obronności, bezpieczeństwu państwa oraz bezpieczeństwu i porządkowi publicznemu, albo umożliwienia dokonania takiej blokady przez uprawnione podmioty.
Czy oba przepisy wejdą w życie niezależnie od siebie, czas pokaże.
Na dzień dzisiejszy proces legislacyjny w obu przypadkach pozostaje w toku.