15 czerwca br. Ministerstwo Cyfryzacji opublikowało na stronie Rządowego Centrum Legislacji projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Regulacja wprowadza kilka legalnych definicji zjawisk, które są powszechne, takich jak smishing i spoofing.
Ustawa zakazuje określonych zachowań, które mogą być uznane za nadużycia w komunikacji elektronicznej (SMSY, połączenia telefoniczne, e-maile) oraz określa prawa i obowiązki przedsiębiorców komunikacyjnych z tym związane. Ponadto wprowadza pojęcia dla praktyk dotychczas niezdefiniowanych w polskim systemie prawnym.
Smishing – wysyłanie krótkich wiadomości tekstowych (SMSów), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy SMSa do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem, przekierowania na stronę internetową, żądania kontaktu telefonicznego lub instalacji oprogramowania.
CLI spoofing – nieuprawnione posłużenie się przez użytkownika wywołującego połączenie głosowe informacją adresową wskazującą na osobę lub jednostkę organizacyjną inną niż ten użytkownik, służące podszyciu się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do określonego działania, w szczególności przekazania danych osobowych, nieświadomego rozporządzenia majątkiem lub instalacji oprogramowania
W skrócie, w smishingu chodzi o oszustwo wyłudzenia danych czy przelewu środków poprzez wysyłanie SMSów, a w spoofingu – poprzez telefony podszywające się pod np. banki czy inne zaufane instytucje. Ustawa definiuje ponadto pojęcie sztucznego ruchu.
Obowiązki telekomów
Projekt nakłada na przedsiębiorstwa telekomunikacyjne obowiązki związane ze zwalczaniem nadużyć. Generalnie to przedsiębiorca ma blokować wiadomości smishingowe oraz połączenia w ramach spoofingu – w miarę zakresu swojej działalności. Dostawcy poczty elektronicznej zobligowani będą ponadto stosować określone w ustawie mechanizmy uwierzytelniające. Oczywiście w celu realizacji tych obowiązków przewidziano wsparcie dla przedsiębiorców. Jak wskazali projektodawcy, operatorzy często nie są w stanie zweryfikować czy połączenie rzeczywiście pochodzi z karty SIM zarejestrowanej dla danego numeru. Dlatego Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK) ma za zadanie monitorować występowanie smishingu i przekazywać telekomom wzorce wiadomości, które podlegają blokadzie. Dodatkowo Prezes Urzędu Komunikacji Elektronicznej będzie prowadził jawny rejestr numerów, które służą wyłącznie do odbierania połączeń głosowych (infolinii) banków i innych instytucji zaufania publicznego. To właśnie infolinie takich instytucji wykorzystują oszuści do fałszywych połączeń.
Kary
Ustawa przewiduje kary pieniężne nakładane przez prezesa Urzędu Komunikacji Elektronicznej na przedsiębiorców, którzy nie wypełniają obowiązków. Kary pieniężne oraz pozbawienie wolności od 3 miesięcy do lat 5 będą natomiast grozić oszustom dopuszczającym się nadużyć.
Materiał Partnera beinsured.pl: