15 czerwca 2022 r. na stronie Rządowego Centrum Legislacji opublikowano projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (UD402). Projektodawcą jest Minister Cyfryzacji. Projekt skupia się przede wszystkim na przeciwdziałaniu generowania sztucznego ruchu, smishingowi i CLI spoofingowi. Dokument został skierowany do uzgodnień międzyresortowych, konsultacji publicznych oraz do zaopiniowania.
Tło i założenia projektu
Celem wprowadzenia tego rodzaju regulacji jest, jak wynika z uzasadnienia projektu, zapewnienie bezpieczeństwa osobom fizycznym w dobie nasilających się ataków wykorzystujących usługi telekomunikacyjne. W uzasadnieniu projektodawca zwraca szczególną uwagę na przypadki CLI spoofingu, czyli zmiany identyfikatora rozmówcy na zaufany albo rozpoznawalny dla adresata w celu nakłonienia go do określonego zachowania, oraz smishingu, tj. wyłudzania danych za pomocą odpowiednio spreparowanej wiadomości SMS. W jego ocenie, ani Europejski Kodeks Łączności Elektronicznej[1] (dalej jako: EKŁE) ani ustawa z dnia 16 lipca 2004 – Prawo telekomunikacyjne[2] nie zapewniają odpowiednich ram prawnych w celu przeciwdziałania temu zjawisku i w tym celu proponuje nałożenie na przedsiębiorców telekomunikacyjnych określonych w przepisach projektowanej ustawy obowiązków. Na marginesie warto zwrócić uwagę na korelację przedstawionej propozycji z regulacjami projektu ustawy – Prawo komunikacji elektronicznej (UC45), która ma za zadanie wdrożyć do polskiego porządku prawnego EKŁE.
W Ocenie Skutków Regulacji wskazano, że środki zapobiegające podobnym do normowanych sytuacjom przedsięwzięły Wielka Brytania (prowadzenie listy numerów, z których nie są inicjowane połączenia) i Stany Zjednoczone (stosowanie narzędzi umożliwiających uwierzytelnienie informacji adresowej połączenia). W ocenie projektodawcy wprowadzenie ustawy w proponowanym brzmieniu nie będzie powodowało skutków finansowych dla sektora finansów publicznych, a przełoży się na zwiększenie bezpieczeństwa usług komunikacji elektronicznej świadczonych dla obywateli.
Definicje ustawowe
Po uchwaleniu, ustawa wprowadzi definicje legalne takich pojęć jak „komunikat elektroniczny”, „poczta elektroniczna”, „połączenie głosowe” czy „usługa komunikacji interpersonalnej”. Najistotniejsze w słowniczku ustawowym wydaje się jednak zdefiniowanie „nadużycia w komunikacji elektronicznej”, bowiem pojęcie to jest elementem sankcji administracyjnej, której propozycja znalazła się w art. 15 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Za nadużycie takie, zgodnie z intencją, uważane ma być świadczenie usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy komunikacyjnemu, użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści (art. 2 pkt 4 projektu). Zakres ten częściowo doprecyzowany został w art. 3, w którym znalazł się otwarty katalog naruszeń uznawanych za powyższe nadużycie (generowanie sztucznego ruchu, smishing, CLI spoofing).
Obowiązki w zakresie przeciwdziałania nadużyciom w komunikacji elektronicznej
Projektodawca w celu realizacji założonego celu zakłada nałożenie nowych zadań na określone podmioty.
Do proponowanych obowiązków CSIRT NASK należeć będzie monitorowanie nadużyć w komunikacji elektronicznej, opracowanie wzorca wiadomości o charakterze smishingowym oraz uruchomienie (w terminie 3 miesięcy od wejścia w życie ustawy) systemu teleinformatycznego przekazującego wzorce tych wiadomości. Do podłączenia się do tego systemu zobowiązani zostali Komendant Główny Policji, Prezes Urzędu Komunikacji Elektronicznej (dalej jako: UKE) i przedsiębiorcy telekomunikacyjni. Informację o systemie udostępni minister właściwy do spraw informatyzacji, zaś CSIRT NASK udostępni na swojej stronie internetowej wzorce powyższych wiadomości. Po ustaniu konieczności blokowania danego wzorca, CSIRT NASK poinformuje o zdjęciu blokady osoby korzystające z systemu. Dodatkowym obowiązkiem tego podmiotu jest opracowanie, prowadzenie i utrzymywanie jawnej listy ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników Internetu (zostanie ona przekształcona z listy do tej pory prowadzonej na podstawie porozumienia dotyczącego stanów nadzwyczajnych, stanu epidemii lub stanu zagrożenia epidemicznego).
Niektórzy dostawcy poczty elektronicznej (dla co najmniej 500 000 użytkowników, dla podmiotów publicznych lub obsługujący co najmniej 500 000 aktywnych kont) zobowiązani będą do zapewnienia mechanizmu uwierzytelnienia poczty (i – analogicznie – podmioty publiczne będą zobowiązane do korzystania tylko z poczty elektronicznej podmiotu spełniającego powyższy wymóg). Kontrolę wykonywania tych obowiązków może przeprowadzić Prezes UKE.
Sprzeciwy od uznania komunikatu za nadużycie i wpisania go do systemu prowadzonego przez CSIRT-NASK, zgodnie z projektem rozpatrywał będzie Prezes UKE. Będzie on również nakładał kary administracyjne za dokonywanie nadużyć. Projekt umożliwia mu ponadto zawarcie porozumienia z operatorami telekomunikacyjnymi w sprawie środków wykorzystywanych do przeciwdziałania CLI spoofingowi. Zgodnie z założeniem, utworzy on także wykaz numerów służących wyłącznie do odbierania połączeń głosowych (np. infolinii urzędów i banków). Zgodnie z projektowaną regulacją, będzie on przedstawiał sejmowej komisji właściwej w sprawach nowych technologii roczne sprawozdanie z wykonywania swoich obowiązków i uprawnień w powyższym zakresie.
Przedsiębiorcy telekomunikacyjni zostaną zobowiązani do podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu przeciwdziałanie nadużyciom w komunikacji elektronicznej (które mogą wynikać z porozumienia Prezesa UKE z operatorami), niezwłocznego blokowania smishingu (na podstawie wzorca przekazanego przez CSIRT NASK), blokowania połączeń o charakterze CLI spoofingu lub ukrywania identyfikacji numeru dla użytkownika końcowego (na podstawie danych z wykazu numerów prowadzonego przez Prezesa UKE). Przedsiębiorcy ci będą mogli wymieniać się informacjami dotyczącymi nadużyć w zakresie określonym w projektowanej ustawie.
Dodatkowo twórcy projektu proponują, aby Prezes UKE, minister właściwy do spraw informatyzacji, NASK-PIB oraz przedsiębiorcy komunikacyjni uzyskali uprawnienie do podpisania porozumienia w sprawie zasad współpracy, zgłaszania, wpisywania oraz usuwania z listy domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników Internetu, prowadzonej przez CSIRT-NASK.
Sankcje
Istotnym zagadnieniem jest kwestia projektowanych kar, możliwych do nałożenia zarówno na osoby, które dokonywać będą nadużyć, ale również na podmioty, które nie wywiążą się ze swoich obowiązków. W projekcie zaproponowano dwa rodzaje sankcji: karę administracyjną w art.15 i karną w art. 16.
Art. 15 dotyczy nałożenia kar pieniężnych na podmioty, które nie wywiążą się z określonych obowiązków. Kary te nakładane są w drodze decyzji przez Prezesa UKE, a zatem mają charakter kar administracyjnych.
Z kolei art. 16 projektowanej ustawy to norma karna, która penalizuje czyny uznane za nadużycia, tj. generowanie sztucznego ruchu, smishing i CLI spoofing. Co do zasady przestępstwa te mają być zagrożone karą pozbawienia wolności od 3 miesięcy do lat 5, zaś w przypadkach mniejszej wagi – grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.
Podsumowanie
- Projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej został opublikowany na stronie Rządowego Centrum Legislacji 15 czerwca 2022 roku. Aktualnie jest na etapie opiniowania.
- Propozycje regulacji mają za zadanie przeciwdziałać takim nadużyciom w komunikacji elektronicznej jak generowanie sztucznego ruchu, smishing czy CLI spoofing, chociaż katalog nadużyć w komunikacji elektronicznej nie jest zamknięty.
- Zakłada się prowadzenie takich działań jak monitorowanie komunikatów elektronicznych, wprowadzenie wzorca wiadomości o charakterze smishingowym, stworzenie listy domen internetowych, które służą do wyłudzeń danych i środków finansowych użytkowników Internetu czy wykazu numerów służących wyłącznie do odbierania połączeń głosowych.
- Projekt zakłada nałożenie nowych obowiązków na NASK-CSIRT, Prezesa UKE, Komendanta Głównego Policji, przedsiębiorców telekomunikacyjnych, dostawcy poczty elektronicznej i podmioty publiczne. To działania podjęte przez te podmioty mają służyć realizacji projektowanego celu ustawy.
- Dokument zawiera propozycje nałożenia kar na podmioty niewywiązujące się z obowiązków w zakresie przeciwdziałania nadużyciom w komunikacji elektronicznej. W zależności od rodzaju podmiotu i przewinienia, kary będą mogły być nakładane administracyjnie lub w drodze wyroku sądowego.
Projekt i stan procesu legislacyjnego dostępne na stronach Rządowego Centrum Legislacji pod tym linkiem.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiająca Europejski Kodeks Łączności Elektronicznej (Dz. Urz. EU. L nr 321, str. 36).
[2] Dz. U. z 2021 r. poz. 576