W Dz.U. z 2023 r. pod poz. 1703 opublikowano ustawę z 28.7.2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (dalej: ZwalczNadKomElekU).

Więcej treści o ustroju i organizacji po zalogowaniu. Nie posiadasz dostępu? Wypróbuj!Sprawdź

Z ustawy wynika przede wszystkim, że zakazane są nadużycia w komunikacji elektronicznej, w szczególności:

  • generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
  • smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
  • CLI spoofing – nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
  • nieuprawniona zmiana informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.

Przy czym nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat.

Ważne

Przedsiębiorca telekomunikacyjny ma obowiązek podejmować proporcjonalne środki organizacyjne i techniczne mające na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.

Skonsultuj z ekspertem rozwiązanie problematycznych kwestii. Sprawdź

Zgodnie z art. 4 ZwalczNadKomElekU, CSIRT NASK, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, w rozumieniu art. 2 pkt 3 CyberbezpU:

  • na podstawie krótkich wiadomości tekstowych (SMS) otrzymanych od odbiorców tych wiadomości oraz informacji otrzymanych od przedsiębiorców telekomunikacyjnych i innych podmiotów monitoruje występowanie smishingu;
  • na podstawie wyników takiego monitorowania tworzy wzorzec wiadomości wyczerpującej znamiona smishingu;
  • zapewnia funkcjonowanie systemu teleinformatycznego służącego do udostępniania i przekazywania informacji o wystąpieniu smishingu wraz ze wzorcem wiadomości oraz jest administratorem danych przetwarzanych w tym systemie;
  • za pośrednictwem tego systemu zapewnia dostęp do informacji o występowaniu smishingu wraz ze wzorcami wiadomości zainteresowanym podmiotom, czyli Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym (zainteresowane podmioty w celu wymiany informacji o występowaniu smishingu wraz ze wzorcami wiadomości są obowiązane do korzystania z systemu);
  • za pośrednictwem tego systemu przekazuje przedsiębiorcy telekomunikacyjnemu informacje o wystąpieniu smishingu wraz ze wzorcem wiadomości;
  • udostępnia wzorzec wiadomości na swojej stronie internetowej, nie wcześniej niż w ciągu 14 dni i nie później niż w ciągu 21 dni od dnia jego przekazania przedsiębiorcy telekomunikacyjnemu w sposób.

CSIRT NASK w przypadku uznania, że:

  1. treść wzorca wiadomości nie wyczerpuje znamion smishingu, lub
  2. niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości

– niezwłocznie informuje o tym zainteresowane podmioty oraz zamieszcza na swojej stronie internetowej informacje o okresie, w jakim wzorzec wiadomości obowiązywał.

Ważne

Zgodnie z art. 6 ZwalczNadKomElekU przedsiębiorca telekomunikacyjny po otrzymaniu informacji od CSIRT NASK niezwłocznie:

  • blokuje SMS, zawierające treść zgodną z treścią wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację SMS, albo
  • zaprzestaje blokowania SMS w przypadku uznania, że treść wzorca wiadomości nie wyczerpuje znamion smishingu lub że niecelowe jest dalsze blokowanie SMS, zawierających treść zgodną z treścią wzorca wiadomości.

Nadawca SMS może wnieść do Prezesa UKE sprzeciw wobec zablokowania na zasadach określonych w art. 7 i 8 ZwalczNadKomElekU.

Przedsiębiorca telekomunikacyjny może blokować:

  • krótkie wiadomości tekstowe (SMS), zawierające treść wyczerpującą znamiona smishingu, inną niż treść wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości;
  • wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności prze-kazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania (blokowanie odbywa się za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości).
Ważne

W celu zapobiegania i zwalczania CLI spoofing przedsiębiorca telekomunikacyjny blokuje połączenie głosowe albo ukrywa identyfikację numeru wywołującego dla użytkownika końcowego. W celu realizacji tych obowiązków przedsiębiorca telekomunikacyjny stosuje środki organizacyjne i techniczne służące monitorowaniu, wykrywaniu oraz wymianie informacji o CLI spoofing, a także blokowaniu połączenia głosowego albo ukrywaniu identyfikacji numeru wywołującego dla użytkownika końcowego (art. 16 i 19 ZwalczNadKomElekU).

CSIRT NASK prowadzi i udostępnia na swojej stronie internetowej wykaz nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od tego podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego (zob. art. 10 ZwalczNadKomElekU). Natomiast przedsiębiorca w rozumieniu art. 4 PrPrzeds może złożyć do Prezesa UKE wniosek o wykreślenie z wykazu nadpisów podmiotów publicznych nazwy lub skrótu lub wariantu nazwy lub skrótu zgodnie z art. 11 ZwalczNadKomElekU.

Bądź na bieżąco ze zmianami w prawie. Wypróbuj System Legalis Administracja. Sprawdź

Z ZwalczNadKomElekU wynika także m.in., że:

  • przedsiębiorca telekomunikacyjny blokuje SMS, zawierające nadpis ujęty w wykazie nadpisów podmiotów publicznych;
  • podmiot publiczny może, na podstawie umowy, zlecać usługę wysyłania SMS wyłącznie integratorowi usług SMS wpisanemu w wykazie integratorów usług SMS dla podmiotów publicznych
  • w celu ochrony użytkowników internetu przed stronami internetowymi wyłudzającymi dane, w tym dane osobowe, oraz doprowadzającymi użytkowników internetu do niekorzystnego rozporządzenia ich mieniem, między Prezesem UKE, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą telekomunikacyjnym lub przedsiębiorcami telekomunikacyjnymi może zostać zawarte porozumienie dotyczące prowadzenia listy ostrzeżeń oraz uniemożliwienia dostępu do tych stron;
  • podmiot posiadający tytuł prawny do domeny internetowej wpisanej na listę ostrzeżeń może wnieść do Prezesa UKE sprzeciw wobec wpisania domeny internetowej na listę ostrzeżeń;
  • Prezes UKE może, gdy jest to uzasadnione ochroną użytkowników końcowych przed nadużyciami w komunikacji elektronicznej, nakazać przedsiębiorcy telekomunikacyjnemu, w drodze decyzji, zablokowanie dostępu do numeru lub usługi w terminie nie krótszym niż 6 godzin od momentu jej ogłoszenia oraz nałożyć obowiązek wstrzymania pobierania opłat za połączenia lub usługi zrealizowane po upływie tego terminu;
  • dostawca poczty elektronicznej dla co najmniej 500.000 użytkowników poczty lub dla podmiotu publicznego – przy świadczeniu poczty elektronicznej ma obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail); podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej te mechanizmy;
  • przedsiębiorcy telekomunikacyjni mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą telekomunikacyjną, z wyłączeniem komunikatu, w celu identyfikacji, zapobiegania i zwalczania nadużyć w komunikacji elektronicznej (art. 26 ZwalczNadKomElekU);
  • przedsiębiorca telekomunikacyjny, który dokonuje następujących nadużyć w komunikacji elektronicznej: generowania sztucznego ruchu, smishingu, CLI spoofingu, nieuprawnionej zmiany informacji adresowej – podlega karze pieniężnej (art. 27 ZwalczNadKomElekU);
  • kto w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody wysyła lub odbiera komunikaty lub połączenia głosowe w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe – podlega karze pozbawienia wolności od 3 miesięcy do lat 5 (takiej samej karze podlegają sprawcy za czyny zabronione wymienione w przepisach art. 30–32 ZwalczNadKomElekU).

Z przepisów przejściowych wynika m.in., że:

  • dostawca poczty elektronicznej, który świadczy pocztę elektroniczną na podstawie umowy, której stroną jest podmiot publiczny, obowiązującej w dniu 25.9.2023 r., jest obowiązany do 25.12.2023 r. do spełnienia obowiązku stosowania mechanizmu SPF, DMARC oraz DKIM (jeżeli dostawca poczty elektronicznej nie spełni wymagań w tym terminie, umowa może zostać jednostronnie rozwiązana przez podmiot publiczny, a dostawcy poczty elektronicznej nie przy-sługują roszczenia z tego tytułu);
  • do 25.03.2024 r. dostawca poczty elektronicznej, który zawarł umowę z podmiotem publicznym o świadczenie poczty elektronicznej, przedstawi ofertę poczty elektronicznej umożliwiającej stosowanie metod uwierzytelniania wieloskładnikowego, chyba że świadczona przez tego dostawcę poczta elektroniczna umożliwia stosowanie tych metod;
  • integrator usług SMS, który w dniu 25.9.2023 r. świadczy usługę wysyłania SMS dla podmiotu publicznego, jest obowiązany złożyć wniosek o wpis w wykazie integratorów usług SMS dla podmiotów publicznych do 26.10.2023 r. (jeżeli integrator usług SMS nie spełni wymagań w tym terminie, umowa o świadczenie usługi wysyłania SMS może zostać jednostronnie rozwiązana przez podmiot publiczny, a integratorowi usług SMS nie przysługują roszczenia z tego tytułu);
  • przedsiębiorcy telekomunikacyjni rozpoczną wykonywanie obowiązków z art. 13 ZwalczNadKomElekU (blokowanie SMS zawierających nadpis ujęty w wykazie nadpisów podmiotów publicznych) po upływie 6 miesięcy od dnia wejścia w życie ZwalczNadKomElekU;
  • integratorzy usług SMS wpisani w wykazie rozpoczną wykonywanie obowiązków w zakresie używania nazwy lub skrótu zastrzeżonych dla danego podmiotu publicznego w wykazie nadpisów podmiotów publicznych przy wysyłaniu wiadomości w imieniu podmiotu publicznego, jako nadpis tej wiadomości – po upływie 6 miesięcy od dnia wejścia w życie ZwalczNadKomElekU.