Ustawa w zakresie swojej regulacji wdraża art. 97 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z 11.12.2018 r. ustanawiającej Europejski kodeks łączności elektronicznej, zgodnie z którym państwa członkowskie są obowiązane zapewnić w swoich porządkach prawnych rozwiązania, które umożliwią krajowym organom regulacyjnym lub innym właściwym organom występowanie do podmiotów udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej z żądaniem zablokowania w indywidualnych przypadkach – gdy jest to uzasadnione ze względu na oszustwo lub nadużycie – dostępu do numerów lub usług.
Ustawa określa prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem, kompetencje Prezesa Urzędu Komunikacji Elektronicznej związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem, zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej, zasady świadczenia usług związanych z wysyłaniem krótkich wiadomości tekstowych (SMS) zawierających nadpisy na rzecz podmiotów publicznych, zasady wnoszenia sprzeciwu przez podmiot posiadający tytuł prawny do domeny wobec wpisania domeny internetowej na listę ostrzeżeń, obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej oraz szczególne zasady przetwarzania informacji objętych tajemnicą telekomunikacyjną związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem.
Ustawa definiuje „nadużycie w komunikacji elektronicznej” jako świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.
Ustawa wprowadza otwarty katalog nadużyć w komunikacji elektronicznej, jak wskazano w uzasadnieniu do projektu ustawy, z uwagi na postęp technologiczny nie jest możliwe zidentyfikowanie wszystkich form nadużyć. Jednocześnie wskazano w ustawie cztery szczególne (podstawowe) formy nadużyć w komunikacji elektronicznej, są to:
- generowanie sztucznego ruchu – jest to wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe;
- smishing – jest to wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego działania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
- CLI spoofing – jest to nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu lub poczucia zagrożenia, lub nakłonienia odbiorcy tego połączenia do określonego działania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
- nieuprawniona zmiana informacji adresowej – jest to nieuprawnione modyfikowanie informacji adresowej uniemożliwiające lub istotnie utrudniające ustalenie przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu numeru telefonu lub identyfikatora, przy użyciu którego nastąpiło wysłanie komunikatu elektronicznego.
Ustawa nakłada na przedsiębiorców telekomunikacyjnych obowiązki oraz przyznaje im uprawnienia, związane z przeciwdziałaniem naruszeniom w komunikacji elektronicznej. Przedsiębiorcy telekomunikacyjni będą obowiązani do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu przeciwdziałać nadużyciom. Będą oni obowiązani również do blokowania krótkich wiadomości tekstowych (SMS), które zawierają treści wyczerpujące znamiona smishingu a także połączeń głosowych, które mają na celu podszywanie się pod inną osobę lub instytucję.
Monitorowaniem występowania smishingu będzie zajmował się Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, w rozumieniu art. 2 pkt 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, – CSIRT NASK. CSIRT NASK będzie monitorował występowanie zjawiska smishingu na podstawie danych dobrowolnie przekazanych mu przez podmioty trzecie – odbiorców SMS czy np. samych przedsiębiorców telekomunikacyjnych. Będzie to się odbywało dokładnie w taki sam sposób jak to się dzieje obecnie – przez przekazanie SMS na specjalny numer albo przez formularz na stronie internetowej. Na podstawie wyników monitorowania smishingu CSIRT NASK będzie tworzył wzorzec wiadomości wyczerpującej znamiona smishingu. Wzorzec ten będzie przekazywany przedsiębiorcom telekomunikacyjnym, którzy za pomocą własnych systemów teleinformatycznych, blokowaliby automatycznie SMS, których treść byłaby zgodna ze wzorcem. Dzięki temu możliwe będzie zwalczanie smishingu w oparciu o analizę dotychczasowych praktyk oszustów.
Przedsiębiorca telekomunikacyjny będzie mógł również z własnej inicjatywy blokować za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację wiadomości: krótkie wiadomości tekstowe (SMS), zawierające treści wyczerpujące znamiona smishingu, inne niż zawarte we wzorcu wiadomości, a także wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy do określonego zachowania.
Ustawa przewiduje dla nadawcy krótkiej wiadomości tekstowej (SMS) możliwość wniesienia sprzeciwu do Prezesa UKE wobec zablokowania krótkiej wiadomości tekstowej (SMS) zawierającej treści zawarte we wzorcu wiadomości wyczerpującej znamiona smishingu. Prezes UKE będzie obowiązany rozpatrzyć sprzeciw w terminie 14 dni od dnia jego otrzymania, a następnie poinformować niezwłocznie nadawcę o sposobie rozpatrzenia sprzeciwu.
Ustawa nakłada obowiązek na przedsiębiorcę telekomunikacyjnego zablokowania połączenia głosowego albo ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego w przypadku wystąpienia CLI spoofing. Blokowanie połączenia głosowego powinno być stosowane, kiedy prawdopodobieństwo, że dochodzi do CLI spoofingu, jest bardzo wysokie lub wysokie. W pozostałych przypadkach przedsiębiorca telekomunikacyjny powinien ukryć identyfikację numeru wywołującego dla użytkownika końcowego. Ukrycie identyfikacji numeru wywołującego oznacza w praktyce, że odbiorcy wyświetli się, że dzwoni do niego nieznany numer, a nie np. informacja, że dzwoni osoba bliska, której numer jest wpisany na liście kontaktów.
Ustawa obliguje CSIRT NASK do prowadzenia i udostępniania na swojej stronie internetowej wykazu nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od tego podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego. Nadpisem jest identyfikator krótkiej wiadomości (SMS). Nazwy i skróty zastrzeżone dla podmiotów publicznych powstaną w oparciu o dane zawarte w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON). Podmiot publiczny będzie mógł wystąpić z wnioskiem o wpis albo o zmianę wpisu w wykazie nadpisów podmiotów publicznych w zakresie go dotyczącym (wniosek składać się będzie do CSIRT NASK). Przedsiębiorca natomiast będzie mógł złożyć wniosek o wykreślenie z wykazu nadpisów podmiotów publicznych wariantu nazwy lub skrótu (wniosek składać się będzie do Prezesa UKE), jeżeli wariant nazwy lub skrótu będzie identyczny z firmą przedsiębiorcy, skrótem firmy przedsiębiorcy w rozumieniu art. 435 § 4 ustawy z 23.4.1964 r. – Kodeks cywilny albo znakiem towarowym na który udzielono prawa ochronnego.
Prezes UKE będzie prowadził wykaz integratorów usług SMS dla podmiotów publicznych w systemie teleinformatycznym i udostępniał ten wykaz w Biuletynie Informacji Publicznej na stronie internetowej obsługującego go urzędu. Przez integratora usług SMS rozumie się dostawcę publicznie dostępnych usług telekomunikacyjnych, świadczącego usługę wysyłania krótkich wiadomości tekstowych (SMS). Podmiot publiczny będzie mógł, zlecać usługę wysyłania krótkich wiadomości tekstowych (SMS) wyłącznie integratorowi usług SMS wpisanemu w wykazie integratorów usług SMS dla podmiotów publicznych. Integrator usług SMS wysyłając wiadomość w imieniu podmiotu publicznego, jako nadpis tej wiadomości, będzie obowiązany używać nazwy lub skrótu zastrzeżonego dla danego podmiotu publicznego w wykazie nadpisów podmiotów publicznych.
Przedsiębiorca telekomunikacyjny będzie obowiązany blokować krótkie wiadomości tekstowe (SMS):
- zawierające nadpis ujęty w wykazie nadpisów podmiotów publicznych, które nie zostały wysłane przez integratora usług SMS wpisanego w wykazie integratorów usług SMS dla podmiotów publicznych;
- w których jako nadpis zostały użyte warianty nazwy lub skrótu mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zawarte w wykazie nadpisów podmiotów publicznych.
Ustawa nakłada również obowiązek dla Prezesa UKE do prowadzenia jawnego wykazu numerów, które służą wyłącznie do odbierania połączeń głosowych. Rozwiązanie to ma ograniczyć możliwość podszywania się oszustów pod numery infolinii urzędów czy innych podmiotów. Wykaz będzie prowadzony w systemie teleinformatycznym Prezesa UKE i udostępniany na stronie podmiotowej Biuletynu Informacji Publicznej Urzędu Komunikacji Elektronicznej. Wpisanie numeru do wykazu powoduje obowiązek po stronie przedsiębiorcy telekomunikacyjnego świadczącego usługę połączeń głosowych do blokowania połączenia inicjowanego z wykorzystaniem tego numeru.
Ustawa sankcjonuje na poziomie ustawowym instytucję „listy ostrzeżeń” czyli jawnej listy ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu. Zgodnie z przepisami ustawy między Prezesem UKE, ministrem właściwym do spraw informatyzacji, Naukową i Akademicką Siecią Komputerową – Państwowym Instytutem Badawczym oraz przedsiębiorcą telekomunikacyjnym lub przedsiębiorcami telekomunikacyjnymi może zostać zawarte porozumienie dotyczące prowadzenia listy ostrzeżeń oraz uniemożliwienia dostępu do tych stron. W przypadku zawarcia takiego porozumienia podmiotem odpowiedzialnym za prowadzenie listy ostrzeżeń będzie CSIRT NASK. Na listę ostrzeżeń wpisywane będą domeny internetowe, które za podstawowy cel swojego działania mają wprowadzenie w błąd użytkowników internetu i doprowadzenie do wyłudzenia ich danych lub niekorzystnego rozporządzenia mieniem. Każdy będzie mógł zgłosić domenę internetową do CSIRT NASK. Z kolei CSIRT NASK z inicjatywy własnej lub po otrzymaniu ww. zgłoszenia, dokonywał będzie wpisu na listę ostrzeżeń. Jednocześnie nałożono na CSIRT NASK obowiązek udostępniania na stronie podmiotowej Biuletynu Informacji Publicznej Naukowej i Akademickiej Sieci Komputerowej – Państwowego Instytutu Badawczego informacji określającej sposób dokonywania zgłoszeń. Przedsiębiorcy telekomunikacyjni (strony porozumienia w sprawie funkcjonowania listy ostrzeżeń) będą mogli blokować użytkownikom internetu dostęp do domen internetowych wpisanych na listę. Ustawa przewiduje procedurę odwoławczą dla podmiotu posiadającego tytuł prawny do domeny internetowej, która została wpisana na listę ostrzeżeń.
Ustawa nakłada na dostawców poczty elektronicznej dla co najmniej 500 000 użytkowników oraz podmioty publiczne obowiązek stosowania przy świadczeniu usługi poczty elektronicznej mechanizm uwierzytelnienia: SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (Domain Keys Identified Mail). Podmiot publiczny będzie mógł korzystać wyłącznie z poczty elektronicznej, która wykorzystuje wskazane mechanizmy uwierzytelniania.
Ustawodawca przewiduje sankcje karne za popełnienie czynu zabronionego, polegającego na nadużyciu w komunikacji elektronicznej w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia szkody innej osobie.
Środkiem przymuszającym do wykonywania obowiązków wynikających z ustawy będą administracyjne kary pieniężne. Kary te będzie nakładał Prezes UKE.
Ustawa wejdzie w życie po upływie 30 dni od dnia ogłoszenia, z wyjątkiem:
- przepisu umożliwiającego stronom porozumienia o współpracy w zakresie ochrony użytkowników internetu przed stronami wyłudzającymi dane, w tym dane osobowe, oraz doprowadzającymi użytkowników internetu do niekorzystnego rozporządzenia ich środkami finansowymi w okresie stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego w Rzeczypospolitej Polskiej, zawartego w dniu 23 marca 2020 r., złożenie oświadczenia woli o uznaniu tego porozumienia za porozumienie dotyczące prowadzenia listy ostrzeżeń, który wejdzie w życie z dniem następującym po dniu ogłoszenia. W tym samym terminie wejdą w życie również przepisy dotyczące listy ostrzeżeń (art. 18–20);
- art. 21 (umożliwiającego Prezesowi UKE, gdy jest to uzasadnione ochroną użytkowników końcowych przed nadużyciami w komunikacji elektronicznej, nakazanie przedsiębiorcy telekomunikacyjnemu, w drodze decyzji, zablokowanie dostępu do numeru lub usługi w terminie nie krótszym niż 6 godzin od momentu jej ogłoszenia oraz nałożenie obowiązku wstrzymania pobierania opłat za połączenia lub usługi zrealizowane po upływie tego terminu), który wejdzie w życie z 1.11.2023 r.;
- art. 15, art. 16 (przepisy nakładające na Prezesa UKE obowiązek prowadzenia wykazu numerów służących wyłącznie do odbierania połączeń głosowych), art. 25 ust. 3 pkt 1 i 5 (podstawa prawna kary pieniężnej za niewykonanie obowiązku blokowania krótkich wiadomości tekstowych (SMS) a także niewykonanie obowiązku blokowania połączenia przychodzącego do sieci przedsiębiorcy telekomunikacyjnego z wykorzystaniem numeru wpisanego w wykazie numerów służących wyłącznie do odbierania połączeń głosowych), które wejdą w życie po upływie 6 miesięcy od dnia wejścia w życie ustawy;
- art. 25 ust. 3 pkt 4 (podstawa prawna kary pieniężnej za niewykonywanie obowiązku blokowania połączeń głosowych albo ukrywania identyfikacji numeru wywołującego dla użytkownika końcowego), który wejdzie wżycie po upływie 12 miesięcy od dnia wejścia w życie ustawy.
Źródło: Prezydent RP