Zwalczanie nadużyć w komunikacji elektronicznej

Tematyka: nadużycia w komunikacji elektronicznej, zwalczanie nadużyć, ustawy telekomunikacyjne, CLI spoofing, smishing, kary administracyjne

W Ministerstwie Cyfryzacji trwają prace nad projektem ustawy o zwalczaniu nadużyć w komunikacji
elektronicznej (UD402). Ustawa nałoży na przedsiębiorców telekomunikacyjnych nowe obowiązki
i uprawnienia związane ze zwalczaniem nadużyć telekomunikacyjnych.
• Proponowane w projekcie ustawy rozwiązania mają na celu ochronę użytkowników komunikacji
elektronicznej w związku z rosnącą liczbą oszustw wykorzystujących w szczególności CLI spoofing;
• Projektowana ustawa ma zadanie stworzenie ram prawnych do podejmowania przez przedsiębiorców
telekomunikacyjnych działań zmierzających do zapobiegania nadużyciom w komunikacji elektronicznej;
• Kwestia zwalczania nadużyć w komunikacji elektronicznej nie została uregulowana w ustawie z 16.7.2004 r.
Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648; dalej: PrTelekom).
Definicja nadużycia w komunikacji elektronicznej
Projektowana ustawa zawiera definicję nadużycia w komunikacji elektronicznej, za które uznawane będzie
„świadczenie usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich
przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy
telekomunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści”.
Nowe obowiązki przedsiębiorców telekomunikacyjnych
Projektowana ustawa wprowadza szereg nowych obowiązków, którym podlegać będą przedsiębiorstwa
telekomunikacyjne, w rozumieniu art. 2 pkt. 27 PrTelekom. Proponowane w projekcie rozwiązania mają ograniczyć
zwłaszcza nasilające się ostatnio zjawisko CLI spoofingu, uderzające głównie w osoby fizyczne. Coraz częściej
bowiem przestępcy, stosując specjalne bramki internetowe VoIP, podszywają się pod numer zaufanych instytucji czy
osoby publiczne i dzwonią z rzekomo prawdziwych numerów. W ten sposób przestępcy dążą do nakłaniania
odbiorców do niekorzystnych działań, często związanych z wyłudzeniem pieniędzy czy zastraszaniem. Wykorzystują
pewne słabości sieci telekomunikacyjnych, które sprawiają, że operatorzy sieci mobilnych często nie są w stanie
zweryfikować, czy połączenie, w ramach którego jest prezentowany numer, faktycznie pochodzi z karty SIM, która
jest zarejestrowana dla danego numeru.
W związku z tym projektowana ustawa zobowiązuje przedsiębiorców telekomunikacyjnych do podejmowania
proporcjonalnych środków technicznych i organizacyjnych, zmierzających do zapobiegania nadużyciom
w komunikacji elektronicznej oraz ich zwalczania. Przedsiębiorcy telekomunikacyjni będą mieli obowiązek
podłączenia się do specjalnego systemu teleinformatycznego, który będzie przekazywał wzorce wiadomości
o charakterze smishingu. Dzięki temu przedsiębiorcy będą mogli niezwłocznie blokować krótkie wiadomości tekstowe
zawierające treści zawarte we wzorcu wiadomości. W sytuacji wystąpienia CLI spoofingu przedsiębiorcy będą mieli
obowiązek blokowania lub ukrycia identyfikacji numeru wywołującego dla użytkownika końcowego. Ponadto
przedsiębiorcy będą zobligowani do rejestracji danych o usługach telekomunikacyjnych, które nie zostały wykonane
z uwagi na blokowanie krótkich wiadomości tekstowych. Dostawcy poczty elektronicznej dla co najmniej 500 tys.
użytkowników, 500 tys. aktywnych kont lub podmiotów publicznych będą zobowiązani do stosowania mechanizmów
uwierzytelnienia poczty elektronicznej.
Ważne terminy
W terminie 3 miesięcy od dnia wejścia w życie ustawy uruchomiony ma zostać system teleinformatyczny służący do
przekazywania wzorców wiadomości o charakterze smishingu. Komendant Główny Policji, Prezes Urzędu
Komunikacji Elektronicznej oraz przedsiębiorcy telekomunikacyjni będą obowiązani podłączyć się do tego systemu
w terminie 3 miesięcy.
Przedsiębiorcy telekomunikacyjni będą ponadto zobowiązani do podjęcia proporcjonalnych środków technicznych
i organizacyjnych mających na celu zapobieganie i zwalczanie: smishingu – w terminie 6 miesięcy od dnia wejścia
w życie ustawy oraz CLI spoofingu – w terminie 12 miesięcy od dnia wejścia w życie ustawy.
Kary administracyjne
Ustawa wprowadza administracyjne kary dla przedsiębiorstw telekomunikacyjnych oraz dostawców poczty
elektronicznej za niedostosowanie się do obowiązków wynikających z jej przepisów. Kary te nakładać będzie
w drodze decyzji prezes Urzędu Komunikacji Elektronicznej. Do kar stosowane będą odpowiednio przepisy art. 209

ust. 1a–3 oraz art. 210 PrTelekom. Skargi na decyzje administracyjne o nałożeniu kary będą rozpatrywane przez
sądy administracyjne.
Projekt ustawy penalizuje ponadto trzy wskazane w ustawie nadużycia w komunikacji elektronicznej. Chodzi
o tworzenie sztucznego ruchu, wysyłanie smishingu lub dokonywanie działań o charakterze CLI spoofingu w celu
osiągnięcia korzyści majątkowej lub wyrządzenia szkody innej osobie. Nadużycia te podlegać będą karze
pozbawienia wolności od 3 miesięcy do 5 lat. W przypadku mniejszej wagi nadużycia sprawca będzie podlegał
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jeżeli działania te popełniono na szkodę
osoby najbliższej, ściganie następować będzie jedynie na wniosek pokrzywdzonego.

Ustawa wprowadza administracyjne kary dla przedsiębiorstw telekomunikacyjnych oraz dostawców poczty elektronicznej za niedostosowanie się do obowiązków wynikających z jej przepisów. Kary te nakładać będzie w drodze decyzji prezes Urzędu Komunikacji Elektronicznej. Projekt ustawy penalizuje trzy wskazane w ustawie nadużycia w komunikacji elektronicznej, takie jak tworzenie sztucznego ruchu, wysyłanie smishingu czy dokonywanie działań o charakterze CLI spoofingu.