• 1000

W dniu 2 marca 2023 r. złożony został w Sejmie rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Przepisy te mają na celu zwiększenie ochrony użytkowników, jak i przedsiębiorców telekomunikacyjnych przed oszustwami z wykorzystaniem połączeń telefonicznych, sms-ów czy e-maili oraz innymi podobnymi nadużyciami. Zgodnie z wniesionym projektem ustawy, przedsiębiorcy telekomunikacyjni będą mieli obowiązek podejmowania konkretnych działań w celu zapobiegania tym zjawiskom pod rygorem wysokich kar finansowych, a sprawców będzie czekać surowa odpowiedzialność karna.

Cel i zakres projektowanych przepisów o zwalczaniu nadużyć w komunikacji elektronicznej

Rządowy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej („Projekt”)1 ma na celu wdrożenie przepisu art. 97 ust. 2 Dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej2 i ma służyć stworzeniu odpowiednich ram prawnych do zapobiegania nadużyciom w komunikacji elektronicznej przez przedsiębiorców telekomunikacyjnych, ograniczyć skalę nadużyć i chronić bezpieczeństwo użytkowników.

Przez nadużycie w komunikacji elektronicznej przepisy Projektu rozumieją świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla siebie lub innego podmiotu.  Działania tego może się dopuścić zarówno przedsiębiorca telekomunikacyjny, jak i użytkownik końcowy.

Wobec ciągłego postępu technologicznego Projekt zawiera otwarty katalog nadużyć w komunikacji elektronicznej, doprecyzowując jedynie cztery szczególne (obecnie występujące) formy nadużyć w komunikacji elektronicznej, odnosząc się do:

  1. generowania sztucznego ruchu – jako wysyłania lub odbierania komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej (np. gdy dzięki dokonanemu włamaniu do urządzeń klienckich, które nie były wystarczająco zabezpieczone lub były zainfekowane złośliwym oprogramowaniem generowany jest z nich masowy ruch głosowy lub sms’owy na kierunki o podwyższonej opłacie, np. międzynarodowe);
  2. smishingu – tj. wysyłania sms-a, w którym nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
  3. CLI spoofingu – czyli nieuprawnionego posłużenia się przez użytkownika wywołującego połączenie głosowe numerem wskazującym na inną osobę lub instytucję (np. bank) po to, aby podszyć się pod tę osobę albo instytucję i dzięki temu móc łatwiej nakłonić ofiarę (tj. odbiorcę takiego połączenia) do określonego działania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji złośliwego oprogramowania;
  4. nieuprawnionej zmiany informacji adresowej – tj. nieuprawnionego modyfikowania informacji adresowej uniemożliwiającego lub istotnie utrudniającego ustalenie numeru telefonu lub identyfikatora, przy użyciu którego nastąpiło wysłanie komunikatu elektronicznego.

Projektowane sposoby przeciwdziałania nadużyciom

Zgodnie z generalną regułą wprowadzoną w Projekcie, nadużycia w komunikacji elektronicznej są zakazane.

Przedsiębiorca telekomunikacyjny będzie miał zatem ogólny obowiązek podejmowania proporcjonalnych działań mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.

Ponadto Projekt zobowiązuje przedsiębiorców telekomunikacyjnych i Prezesa UKE do podjęcia wskazanych działań w celu zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej i nadaje im do tego odpowiednie uprawnienia. Przykładowo, w odniesieniu do przypadków smishingu wymaga się wprowadzenia przez przedsiębiorców telekomunikacyjnych zautomatyzowanego blokowania sms-ów, zawierających treści zgodne ze wzorcem wiadomości wyczerpującej znamiona smishingu. W przypadku CLI spoofingu Projekt nakłada na przedsiębiorcę telekomunikacyjnego obowiązek zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego, kiedy prawdopodobieństwo, że dochodzi do CLI spoofingu, jest bardzo wysokie lub wysokie.

Dodatkowo Projekt przyznaje Prezesowi UKE prawo zablokowania dostępu do numeru lub usługi w terminie nie krótszym niż 6 godzin od ogłoszenia tej decyzji, a także wstrzymania pobierania opłat za połączenia lub usługi zrealizowane po upływie tego terminu. 

Na potrzeby omawianych uprawnień i obowiązków Projekt przewiduje określone uprawnienia przysługujące przedsiębiorcom telekomunikacyjnym w zakresie przetwarzania i wzajemnego udostępniania informacji, w tym informacji objętych tajemnicą telekomunikacyjną, z wyłączeniem komunikatu elektronicznego, w celu identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej.

W omawianym kontekście uregulowana jest również problematyka ochrony danych osobowych. Warto zauważyć zwłaszcza, że Projekt wyłącza stosowanie art. 15 rozporządzenia 2016/679 (RODO)3, w przypadku gdy przetwarzanie danych będzie niezbędne do identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej (jako przestępstw).

Sankcje przewidywane w Projekcie

Projekt przewiduje surowe represje w stosunku do podmiotów dopuszczających się nadużyć w komunikacji elektronicznej w postaci kar administracyjnych oraz odpowiedzialności karnej.

Przedsiębiorcy telekomunikacyjni dopuszczający się nadużyć w postaci sztucznego ruchu, smishingu, CLI spoofingu czy nieuprawnionej zmiany informacji adresowej podlegać będą karze administracyjnej do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym. Jednocześnie wyłącza się nakładanie tej kary na przedsiębiorcę telekomunikacyjnego, który jest osobą fizyczną – podlega ona natomiast odpowiedzialności karnej.

Poza tym Projekt przewiduje możliwość nałożenia kary na kierującego przedsiębiorstwem telekomunikacyjnym za niewykonanie obowiązków związanych ze zwalczaniem smishingu oraz CLI spoofing (blokowania wiadomości, blokowania połączeń głosowych albo ukrywania identyfikacji numeru wywołującego dla użytkownika końcowego).

Jak wspominano, zdefiniowane w Projekcie nadużycia w komunikacji elektronicznej zostaną spenalizowane. Każdy, kto dopuści się sztucznego ruchu, smishingu, CLI spoofingu lub nieuprawnionej modyfikacji informacji adresowej w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody będzie podlegał karze pozbawienia wolności od 3 miesięcy do lat 5 – analogicznie jak w przypadku kary za oszustwo komputerowe (art. 287 kk).

Jak można przygotować się na zmiany?

Przedsiębiorcy telekomunikacyjni będą musieli wykonać ustawowy obowiązek wdrożenia proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie w ściśle określonych terminach. Termin ten w przypadku sztucznego ruchu oraz smishingu wynosi 6 miesięcy, a w przypadku CLI spoofingu oraz nieuprawnionej zmiany informacji adresowej – 12 miesięcy od dnia wejścia w życie ustawy.

W celu ustalenia, jakie środki organizacyjne będą proporcjonalne oraz zaprojektowania odpowiednich działań i procedur wewnętrznych przedsiębiorcy telekomunikacyjni powinni dokonać odpowiedniej oceny ryzyka wykorzystania ich usług do popełniania nadużyć w komunikacji elektronicznej.

Jak możemy pomóc w omawianym obszarze?

Praktyka Compliance oraz Dochodzeń Wewnętrznych Kancelarii KPMG Law udziela wsparcia w prawnych aspektach związanych oceną ryzyka i zarządzani ryzykiem zgodności (compliance). 

Jeśli są Państwo zainteresowani wsparciem w dokonaniu przeglądu obszarów działalności firmy i potencjalnych ryzyk powstania odpowiedzialności oraz w dostosowaniu wewnętrznych polityk, procedur, procesów i dokumentów do nowych regulacji, serdecznie zapraszamy do kontaktu.

1Druk nr 3069 - Sejm Rzeczypospolitej Polskiej

2Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski kodeks łączności elektronicznej (Dz. Urz. UE L 321 z 17.12.2018, str. 36, z późn. zm.), zgodnie z którym organy publiczne mogą wymagać od podmiotów udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej zablokowania w indywidualnych przypadkach dostępu do numerów lub usług, w przypadku gdy jest to uzasadnione ze względu na oszustwo lub nadużycie.

3Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.).