Ustawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej weszła w życie we wrześniu 2023 r., jednak okres dostosowawczy dla przedsiębiorców telekomunikacyjnych upłynął dopiero 24 września 2024 r. W tym czasie operatorzy zobowiązani byli wdrożyć mechanizmy przeciwdziałające CLI spoofingowi. Zgodnie z założeniami, nowe przepisy mają na celu zwiększenie ochrony użytkowników przed szkodliwymi działaniami dokonywanymi m.in. za pośrednictwem połączeń głosowych.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (dalej: Ustawa) ma za zadanie stworzyć mechanizmy, które pozwolą na ograniczenie zjawisk takich jak oszustwa z wykorzystaniem SMS-ów, wiadomości e-mail czy połączeń głosowych. Stąd też, nowe obowiązki zostały nałożone przede wszystkim na przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej oraz podmioty publiczne.
Nadużycie w komunikacji elektronicznej
Na gruncie Ustawy zdefiniowano pojęcie „nadużycia w komunikacji elektronicznej”, zgodnie z którym jest to świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa. Zarazem celem bądź skutkiem takiego działania jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej lub innej osoby czy podmiotu.
Ustawa zawiera otwarty katalog zakazanych nadużyć w komunikacji elektronicznej, do których zalicza się w szczególności:
- generowanie sztucznego ruchu – wysyłanie lub odbieranie komunikatów lub połączeń głosowych, których celem nie jest skorzystanie z usługi telekomunikacyjnej, ale ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
- smishing – wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania;
- CLI spoofing – nieuprawnione posłużenie się informacją adresową wskazującą na osobę, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania;
- nieuprawnioną zmianę informacji adresowej – niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie informacji adresowej użytkownika wysyłającego komunikat.
CLI spoofing (tzw. spoofing telefoniczny)
CLI spoofing polega na podszyciu się pod czyjś numer telefonu i wykonaniu połączenia telefonicznego do innej osoby. Najprościej rzecz ujmując, w ramach spoofingu telefonicznego ma miejsce podmiana wyświetlanego numeru na ekranie połączenia przychodzącego. W tym ataku poszkodowane są dwie osoby – pierwsza to abonent, który jest wprowadzany w błąd co do tożsamości dzwoniącego, a druga osoba to abonent, pod którego sprawca się podszywa. Najczęściej oszuści podszywają się pod inny numer telefonu korzystając z internetowych bramek telefonicznych.
Jednym z zastosowań metody CLI spoofing jest działanie, w ramach którego oszust dzwoni podając się za pracownika banku. Jednocześnie numer, z którego rzekomo dzwoni taka osoba to powszechnie dostępny w Internecie numer infolinii banku. W rzeczywistości oszust dzwoni z innego numeru, a wyświetlana informacja to wyłącznie napis, którym wyłudzacz się przedstawia – analogicznie, jak wyświetla się nazwa kontaktu zapisanego w telefonie.
Obowiązki przedsiębiorców telekomunikacyjnych
Aktualnie, od września 2024 r. przedsiębiorcy telekomunikacyjni mają obowiązek monitorować połączenia i wyszukiwać takie ich cechy, które mogą wskazywać na pochodzenie od oszusta. Przykładowo, telefon loguje się do polskiej sieci, pomimo iż połączenie pochodzi z zagranicy. Kolejno, podejrzane są numery, które nie wykazują zgodności z planem numeracji krajowej (np. mają nieprawidłową liczbę cyfr). Inna podejrzana sytuacja ma miejscy, gdy nadawca podszywa się pod numer alarmowy.
W świetle przepisów Ustawy przedsiębiorca telekomunikacyjny w celu zapobiegania i zwalczania CLI spoofingu blokuje połączenie głosowe albo ukrywa identyfikację numeru wywołującego dla użytkownika końcowego. Przedsiębiorca ma zatem obowiązek albo przerwać podejrzane połączenie, albo usunąć zmienioną nazwę nadawcy. Wtedy połączenie wyświetli się jako „numer zastrzeżony” lub „numer ukryty”.
Autor jest Radcą prawnym w Kancelarii GFP_Legal