We wrześniu bieżącego roku weszła w życie ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703) [Ustawa].
Ustawa ta określa prawa i obowiązki podmiotów (urzędów i przedsiębiorców telekomunikacyjnych) i ich działania mające na celu ochronę użytkowników lub przedsiębiorców telekomunikacyjnych przed negatywnymi skutkami nadużyć w telekomunikacji (komunikacji elektronicznej).
Główna rola w zwalczaniu takich nadużyć spoczywa na przedsiębiorcy telekomunikacyjnym.
Nie ulega wątpliwości, że przepisy dotyczące bezpieczeństwa, w tym zwalczania nadużyć w telekomunikacji są bardzo potrzebne, ale takie przepisy powinny dawać skuteczne narzędzia.
Zagadnieniem, nad którym warto pochylić się to odpowiedź na pytanie: czy również te działania powinny być realizowane na koszt przedsiębiorcy telekomunikacyjnego?
Jak wynika z ustawy „nadużyciem w komunikacji elektronicznej” jest, w szczególności, generowanie sztucznego ruchu, smishing, CLI Spoofing, nieuprawniona zmiana informacji adresowej.
W myśl tej definicji nadużycie w komunikacji elektronicznej jest to zdarzenie:
– polegające na świadczeniu lub korzystaniu z usługi telekomunikacyjnej lub korzystaniu z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa,
– którego celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby;
Każde inne zdarzenie nie spełniające łącznie ww. przesłanek nie można zakwalifikować jako nadużycie w komunikacji elektronicznej.
Nadużycia w telekomunikacji (komunikacji elektronicznej)
W myśl Ustawy nadużyciami w komunikacji elektronicznej są, w szczególności:
1) generowanie sztucznego ruchu, które zdefiniowano jako wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe. Niestety Ustawa nie zawiera przesłanek pozwalających na określenia zdarzeń jako nadużycia. Ustawa również nie określa sposobu postępowania po wykryciu zdarzenia jako sztuczny ruch.
Pomocnym w tym zakresie może być przepis art. 175c ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r., poz. 1648, 1933, 2581, z 2023 r., poz. 1394, 1703, 2005), na podstawie którego przedsiębiorca telekomunikacyjnym podejmuje działania mające na celu zapewnienie bezpieczeństwa sieci, usług oraz przekazu komunikatów związanych ze świadczonymi usługami, w tym:
1) eliminuje przekaz komunikatu, który zagraża bezpieczeństwu sieci lub usług;
2) przerywa lub ogranicza świadczenie usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających bezpieczeństwu sieci lub usług.
2) smishing to wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu wyrządzenia odbiorcy krzywdy.
Obowiązek ten dotyczy głównie operatorów telefonii mobilnej i polega on na blokowaniu krótkich wiadomości tekstowe (SMS), zawierających treść zgodne z treścią wzorca wiadomości tworzonego oraz publikowanego przez CSIRT NASK.
Ponadto przedsiębiorca telekomunikacyjny może według własnego uznania blokować krótkie wiadomości tekstowe (SMS), zawierające treść wyczerpującą znamiona smishingu, inną niż treść wzorca tworzonego i publikowanego przez CSIRT NASK.
W przypadku uznania, że treść wzorca wiadomości nie wyczerpuje znamion smishingu lub że niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości zaprzestaje się ich blokowania.
Przedsiębiorca telekomunikacyjny może również blokować wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego niekorzystnego dla odbiorcy zachowania
3) CLI Spoofing, nieuprawnione posłużenie się lub korzystanie z cudzej informacji adresowej (podmiana lub sfałszowanie numeru telefonu), służące podszyciu się pod inny podmiot, w szczególności w celu wywołania wyrządzenia temu podmiotowi krzywdy. Obowiązki przedsiębiorcy telekomunikacyjnego, w tym zakresie polegają na:
– blokowaniu połączenia przychodzącego do jego sieci z wykorzystaniem numeru wpisanego w wykazie numerów służących wyłącznie do odbierania połączeń głosowych prowadzonym przez Prezesa UKE . Po wykreśleniu numeru z tego wykazu przedsiębiorca zaprzestaje blokowania połączeń przychodzących z tego numeru.
– stosowaniu środków organizacyjnych i technicznych służące monitorowaniu, wykrywaniu oraz wymianie informacji o CLI spoofing, a także blokowaniu połączenia głosowego albo ukrywaniu identyfikacji numeru wywołującego dla użytkownika końcowego.
4) nieuprawniona zmiana informacji adresowej czyli niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat. Takiej „nieuprawnionej zmiany informacji adresowej” nie stanowi zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat. Ustawa nie określa zakresu i sposobu postępowania w celu zapobiegania nadużyciom w komunikacji elektronicznej oraz ich zwalczania.
Ochrona użytkowników Internetu przed szkodliwymi stronami internetowymi
Ponadto Ustawa określa prawa i obowiązki dotyczące ochrony użytkowników Internetu przed stronami internetowymi wyłudzającymi dane (mogące działać na szkodę użytkownika Internetu).
Obowiązki podejmowania działań technicznych i organizacyjnych w zakresie takiej ochrony dotyczą wyłącznie przedsiębiorców telekomunikacyjnych, którzy będą stroną porozumienia zawartego między Prezesem UKE, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą telekomunikacyjnym.
Przedsiębiorca telekomunikacyjny nie będący stroną porozumienia, o którym mowa wyżej, a który blokuje dostęp do „szkodliwych stron internetowych” narusza przepisy prawa powszechnego i może z tego tytułu ponieść konsekwencje prawne.
Wnioski
Z tej krótkiej analizy ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703) oraz z konsultacji wielu przedstawicieli przedsiębiorców telekomunikacyjnych wypływają niestety mało optymistyczne wnioski.
Ustawa, która powinna dawać stwarzać warunki do zwalczania nadużyć w telekomunikacji, w istocie jest aktem prawnym martwym lub prawie martwym. Tylko w niewielkim stopniu spełnia cel w jakim została ona opracowana i uchwalona.
Nadużycia w telekomunikacji były, są i będą, ale obowiązkiem administracji rządowej jest podjęcie działań skutecznie zwalczające te nadużycia, właśnie poprzez stworzenie skutecznych narzędzi..
Andrzej Fudala, Dariusz Fudala – SayF