Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej weszła w życie. Co to oznacza dla użytkowników i operatorów?

Telefony komórkowe to niezwykle cenne i przydatne narzędzia… a jednocześnie kolejny wektor do ataku oszustów. Podejrzane SMS-y i połączenia telefoniczne to poważny problem, w którego rozwiązaniu ma pomóc nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Wyjaśniamy, czego dokładnie dotyczą nowe przepisy!

Ustawa chce walczyć m.in. ze spoofingiem i smishingiem

Nowe regulacje nie będą przeszkodą dla podmiotów, które wykorzystują marketing mobilny uczciwie i rzetelnie. Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która weszła w życie 25 września 2023 roku, wprost wylicza działania niedozwolone w przestrzeni elektronicznej. Można spotkać się z określaniem jej mianem ustawy antyspoofingowej, i to właśnie Caller ID spoofing jest przez nią zakazywany, chociaż nie tylko. 

Jest to nic innego, jak podszywanie się pod inne podmioty za pomocą połączeń telefonicznych, na przykład w celu wyłudzenia danych osobowych lub pieniędzy (np. metoda „na policjanta”). W ramach tej metody zamiast numeru oszusta ofierze wyświetla się numer danej instytucji, który po wyszukaniu w Internecie może dać jej fałszywe poczucie, że rozmawia z prawdziwym przedstawicielem danej instytucji.

Nowe przepisy mają także walczyć ze smishingiem, czyli rozsyłaniem przez przestępców SMS-ów, w których podszywają się pod inne podmioty. Sama w sobie masowa wysyłka SMS nie jest niczym złym, ale bywa wykorzystywana w niewłaściwych celach. Może to oznaczać np. nadpisy sugerujące, że właśnie trzymaliśmy SMS-a od portalu aukcyjnego lub kuriera, podczas gdy w rzeczywistości wysyła je podmiot trzeci. 

Takie komunikaty zwykle zawierają zainfekowane linki, po których kliknięciu narażamy bezpieczeństwo swojego urządzenia i co za tym idzie, cennych danych. Oszuści mogą dążyć do zainstalowania na urządzeniu złośliwego oprogramowania, bądź na przykład do wpisania przez użytkownika swoich danych logowania na stronie udającej stronę banku, bramki płatniczej lub innego podmiotu.

Ponadto wprowadzone regulacje wprost zakazują modyfikowania informacji adresowych tak, aby nie dało się zidentyfikować nadawcy wiadomości. Niedozwolone jest też generowanie sztucznego ruchu. Być może zdarzyło Wam się, że po odebraniu jakiegoś połączenia (lub oddzwonieniu na nieodebrane połączenie) zostaliście przywitani ciszą, która, jeśli sami się nie rozłączyliście, trwałaby w nieskończoność. Właśnie tego typu głuchych telefonów dotyczy ta regulacja.

Rejestr nadpisów i tworzenie wzorców: nowe obowiązki NASK

Wiemy już, z czym walczy ustawa, ale w jaki sposób to robi? Niebezpieczne SMS-y wysyłane na masową skalę przez oszustów często są do siebie bliźniaczo podobne. W związku z tym Państwowy Instytut Badawczy NASK został zobowiązany do tworzenia wzorców takich fałszywych wiadomości. 

Następnie ma przekazywać je przedsiębiorcom telekomunikacyjnym, którzy powinni blokować wysyłkę komunikatów pokrywających się ze wzorcem. Oczywiście nie tylko takich: jeśli wykryją próbę smishingu nieobjętą przekazanym wzorcem, system SMS również ma za zadanie taką wiadomość zablokować.

Ponadto już 26 sierpnia 2023 roku, a więc przy skróconym vacatio legis względem ogółu ustawy, zaczęły obowiązywać jej art. 20-22. Dotyczą one możliwości stworzenia listy ostrzeżeń przed niebezpiecznymi domenami internetowymi, prowadzonej właśnie przez CSIRT NASK. Taka lista funkcjonowała już wcześniej, ale teraz podniesiono ją do rangi ustawowej.

Kolejnym ważnym krokiem jest utworzenie przez Instytut rejestru nadpisów instytucji publicznych. Każda instytucja może zgłosić się do niego, aby „zarezerwować” swój nadpis (czyli identyfikator wiadomości, zastępujący numer w polu nadawcy — SMS marketing często go wykorzystuje). Jednocześnie wprowadzono nowy obowiązek dla przedsiębiorców telekomunikacyjnych. Mają oni blokować wszelkie SMS-y z nadpisami zidentyfikowanymi przez NASK jako możliwe warianty prawdziwych nadpisów instytucji publicznych, które mogłyby wprowadzić odbiorców w błąd.

Jeśli więc np. prawdziwy nadpis to IKP (Internetowe Konto Pacjenta), a oszust użyje lKP (z małym L zamiast dużego i), taka wiadomość nie powinna trafić do adresatów. Blokowane będą także wiadomości wysyłane z poprawnymi nadpisami instytucji publicznych, ale za pośrednictwem integratorów usług SMS innych niż ci wpisani na listę UKE, o której więcej w dalszej części materiału.

Jak dokonać wpisu na listę nadpisów instytucji publicznych?

Rekomendujemy, aby zadbać o wpis do rejestru nadpisów jak najszybciej, aby mieć pewność, że danego nadpisu nie zajmie wcześniej inna instytucja. Jeśli nie uda się zarezerwować optymalnego nadpisu, masowa wysyłka SMS dla administracji może przynosić gorsze rezultaty.

Jak wspomniano, rejestr prowadzi NASK i to właśnie za jego pośrednictwem będzie można składać wnioski o rejestrację nadpisu. Ma on zostać uruchomiony w ciągu 3 miesięcy od wejścia w życie, i po tym czasie, czyli od 25 grudnia 2023 roku, będzie można składać wnioski.

Należy to zrobić poprzez specjalny formularz elektroniczny na stronie internetowej CSIRT NASK, który wymaga wskazania m.in. nazwy instytucji, jej adresu, numeru identyfikacyjnego w rejestrze REGON, a także pożądanego nadpisu. Aby wniosek spełniał wymogi formalne, powinien zostać opatrzony kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym.

UKE wzbogaca się o 2 nowe rejestry

Urząd Komunikacji Elektronicznej został zobowiązany do prowadzenia dwóch nowych wykazów. Pierwszy z nich to lista numerów służących wyłącznie do odbierania połączeń głosowych, która będzie prowadzona od 26 marca 2024 roku. 

Znajdą się tam numery należące do jednostek publicznych, ale nie tylko: uwzględnione w zamyśle mają być także dane kontaktowe innych podmiotów, pod których oszuści podszywają się najczęściej, takich jak banki czy firmy ubezpieczeniowe. Przedsiębiorcy telekomunikacyjni będą musieli blokować próby podszycia się pod numery wskazane na liście.

Drugi wykaz dotyczy integratorów usług SMS dla podmiotów publicznych. Zgodnie z zapisami ustawy, podmioty publiczne nie mogą zlecać wysyłki SMS usługodawcom, którzy w nim nie figurują. Jeśli więc np. urząd gminy chce informować mieszkańców o ciekawych wydarzeniach w okolicy SMS-ami, może zwrócić się w tej sprawie tylko do operatorów zgłoszonych do UKE.

Lista ta jest jawna i już dostępna. Można w każdej chwili pobrać ją z Biuletynu Informacji Publicznej Urzędu Komunikacji Elektronicznej. Jeśli aplikacja SMS widnieje w wykazie, jest to sygnał jej wiarygodności. Pojawia się w nim między innymi Comverga, odpowiedzialna za platformę mProfi. 

Zmiany dotyczą też poczty elektronicznej

W arsenale wielu oszustów znajdują się nie tylko podstępne SMS-y i połączenia telefoniczne, ale też niebezpieczne e-maile. W związku z tym ustawa wprowadza nowy obowiązek dla dostawców poczty elektronicznej, obsługujących co najmniej 500 000 użytkowników (lub jakiekolwiek podmioty publiczne).

Muszą oni stosować nowoczesne mechanizmy zapobiegające oszustwom, a mianowicie SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail). Dzięki temu mailing staje się bezpieczniejszą formą kontaktu.

Za nieprzestrzeganie nowych przepisów grożą poważne kary

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej nie tylko wskazuje, jak należy postępować, ale także wprowadza od razu konkretne kary za nieprzestrzeganie przepisów. 

Podmiotom, które złamią prawo, grozi zarówno odpowiedzialność administracyjna w postaci kary pieniężnej, jak i karna. Wyjątkiem jest tutaj sytuacja, gdy sprawcą jest osoba fizyczna, a jej czyn wyczerpuje znamiona odpowiedzialności karnej — w takiej sytuacji kara pieniężna nie jest już stosowana.

Karę pieniężną nakłada prezes Urzędu Komunikacji Elektronicznej. Z zasady jest ona równa do 3% przychodu podmiotu z poprzedniego roku kalendarzowego, ale w niektórych sytuacjach stosuje się inne zasady. Jeśli zaś chodzi o odpowiedzialność karną, to smishing, CLI spoofing, niezgodna z prawem modyfikacja informacji adresowej oraz generowanie sztucznego ruchu są zagrożone karą pozbawienia wolności od 3 miesięcy do lat 5. W wypadkach mniejszej wagi będzie to grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.Jak widać, ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (tzw. ustawa antyspoofingowa), mimo swojej niewielkiej objętości, wprowadza wiele nowości. Zarówno, jeśli chodzi o automatyczne wysyłanie SMS, jak i inne metody komunikacji elektronicznej. Warto mieć te wszystkie zmiany na uwadze!