25 września zaczynają obowiązywać pierwsze przepisy Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Nakłada ona na firmy telekomunikacyjne m.in. obowiązek blokowania wiadomości SMS służących kradzieży danych oraz fałszywych połączeń telefonicznych. Pełne wdrożenie nowych regulacji zajmie od 30 dni do 6 miesięcy.
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej definiuje oszustwa, do których dochodzi przy użyciu różnych kanałów komunikacji elektronicznej. Są to np. spoofing, czyli fałszywe połączenia telefoniczne, podszywające się pod instytucje publiczne lub banki i smishing – wiadomości SMS zawierające niebezpieczne linki służące kradzieży danych. Przepisy penalizują też fałszowanie numeru, z którego inicjowane jest połączenie oraz sztuczne generowanie wielogodzinnych, głuchych telefonów. W zwalczaniu nadużyć uczestniczyć mają Państwowy Instytut Badawczy NASK, Urząd Komunikacji Elektronicznej oraz operatorzy telekomunikacyjni.
I tak, do obowiązków NASK należeć będzie monitorowanie przypadków smishingu (również w oparciu o zgłoszenia obywateli) i przekazywanie operatorom wzorców niebezpiecznych wiadomości. Instytut utworzy także rejestr nazw własnych i ich skrótów, zastrzeżonych dla instytucji publicznych prowadzących komunikację elektroniczną. Będzie on uzupełnieniem prowadzonego przez UKE wykazu integratorów usług SMS, w którym znajdą się wiarygodne instytucje zajmujące się wysyłką wiadomości tekstowych. Ten sam urząd poprowadzi też rejestr numerów służących wyłącznie do odbierania połączeń głosowych. Zostaną do niego wpisane m.in. jednostki publiczne, ubezpieczyciele, banki i operatorzy telekomunikacyjni.
Przepisy Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej nałożą też nowe obowiązki na operatorów telekomunikacyjnych. Będą oni musieli automatycznie blokować treści smishingowe, a zasada ta ma dotyczyć nie tylko wiadomości zgodnych z wzorcami NASK, lecz także SMS-ów wykrytych przez samego operatora. Telekomy zostaną też zobligowane do blokowania połączeń głosowych, które podszywają się pod numery zapisane w rejestrze UKE.
“Bardzo dobrze, że ustawodawca zajął się smishingiem i spoofingiem, bo te przestępstwa cybernetyczne są popełniane nie tylko przez domorosłych oszustów, ale także obce służby. Mamy nadzieję, że obowiązek monitorowania smishingu przełoży się na jeszcze szybsze reagowanie na ataki. Przestępcy często podszywają się pod podmioty publiczne, wykorzystując ich nazwę, ale zapisaną w inny sposób, czasami z błędem lub przestawiając znaki. Stworzenie wykazu nazw do blokowania jest dobrym mechanizmem umożliwiającym wykrycie i zatrzymanie fałszywych SMS-ów na wczesnym etapie” – komentuje Wojciech Kaczmarek, dyrektor zarządzający SMSAPI. “Sami w SMSAPI od wielu lat dbamy o bezpieczeństwo odbiorców i stale rozwijamy system, który wyłapuje próby podszycia się pod firmy lub podmioty publiczne – czy to w nazwie nadawcy SMS czy samej treści wiadomości” – dodaje.
Regulacje przewidziane w nowej ustawie wdrażane będą w kilku etapach. Na wpisanie się do wykazu integratorów UKE, firmy telekomunikacyjne będą mieć czas do 25 października. Rejestr nazw prowadzonych przez NASK i wykaz wzorców smishingu mają powstać do 25 grudnia. Sam obowiązek blokowania niebezpiecznych SMS-ów wejdzie natomiast w życie 25 marca 2024 r.
W myśl nowego prawa, oszustwa dokonywane przy użyciu kanałów komunikacji elektronicznej mają być zagrożone wysokimi karami. W skrajnych przypadkach za smishing, spoofing i inne nadużycia trafić będzie można do więzienia na okres od 3 miesięcy do nawet 5 lat. Ustawodawca przewidział też możliwość nałożenia przez prezesa UKE kar finansowych, których wysokość może wynieść do 3% przychodu uzyskanego w poprzednim roku kalendarzowym.
