Powstał projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej

17.06.2022 17:45 przez Dariusz Fudala

Na stronie internetowej Rządowego Centrum Legislacyjnego (RCL) w dniu 15 czerwca 2022 r. opublikowano projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (projekt wersja z 15 czerwca 2022 r. oznaczony w serwisie RCL numerem UD 402).
Również w dniu 15 czerwca br. projekt ten wraz z uzasadnieniem i oceną skutków regulacji skierowano do uzgodnień międzyresortowych, opiniowania przez wybrane organy administracji publicznej oraz konsultacji społecznych.
KPRM zwróciła się z prośbą o wyrażenie opinii w terminie 14 dni od dnia otrzymania pisma zapraszającego do uzgodnień, opiniowania lub konsultacji.

Przeanalizujemy projekt tej Ustawy i zapewne zgłosimy uwagi, o czym napiszemy w kolejnym artykule.

Sugerujemy, aby przedsiębiorcy telekomunikacyjni, stowarzyszenia, izby gospodarcze przeanalizowały treść tego projektu również pod kątem możliwości wywiązania się z nałożonych tam obowiązków oraz przewidywanych obciążeń z tym związanych. Warto mieć na względzie fakt, że jest to kolejny obowiązek z zakresu bezpieczeństwa realizowany na koszt i staraniem przedsiębiorcy telekomunikacyjnego.

Czego dotyczy projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej?

Wielu z nas, korzystających z różnych narzędzi komunikacji elektronicznej spotkało się z przypadkami wykorzystywania tych narzędzi do celów niezgodnych z dobrymi obyczajami, a często do naruszania prawa poprzez doprowadzanie do niekorzystnego dysponowania danymi, środkami finansowymi w sposób niekorzystny dla wielu osób.
Przestępcze działania, w trakcie których wykorzystywane są narzędzia komunikacji elektronicznej w ostatnim czasie bardzo nasiliły się. Do symbolu takich działań można zaliczyć połączenia telefoniczne, w trakcie których oferowane są usługi montażu fotowoltaiki. Bardzo często połączenia te wykonywane są przez automaty a celem nie jest oferowania wykonanie infrastruktury fotowoltaicznej a pozyskanie danych osobowych.
Do podobnych działań wykorzystywane są również inne narzędzia komunikacji elektronicznej np. SMS, e-mail itp.
Mając świadomość takich zagrożeń resort informatyzacji (KPRM) postanowił opracować i w przyszłości wdrożyć przepisy dotyczące zwalczania nadużyć w komunikacji elektronicznej. Projektowana ustawa, zdaniem autorów projektu, ma na celu stworzenie ram prawnych do podejmowania działań przez przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej w zakresie zapobiegania nadużyciom w komunikacji elektronicznej, a w dalszej perspektywie pozwolą w większym stopniu niż obecnie ograniczyć skalę nadużyć i chronić bezpieczeństwo użytkowników.

Podmioty, na które ustawa nakłada obowiązki związane ze zwalczaniem nadużyć w komunikacji elektronicznej.

Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, dalej „Ustawa”, określa obowiązki, związane z zapobieganiem oraz zwalczaniem nadużyć w komunikacji elektronicznej, nakładane na przedsiębiorców telekomunikacyjnych, dostawców poczty elektronicznej oraz na niektóre podmioty publiczne.

Przedsiębiorcy telekomunikacyjni zobowiązani zostaną do zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej poprzez podejmowanie „ … proporcjonalnych środków technicznych i organizacyjnych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.”

W ramach tego obowiązku przedsiębiorca telekomunikacyjny muszą:

  1. niezwłocznie blokować SMS-y zawierających treści zawarte we wzorcu wiadomości otrzymanej z CSIRT NASK za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację SMS-ów zawierających szkodliwe treści,
  2. zaprzestaje blokowania SMS-ów) w przypadku uzyskania informacji, że treść zawarta we wzorcu wiadomości nie nosi znamion smishingu lub niecelowe jest ich dalsze blokowanie.

Przedsiębiorca telekomunikacyjny może blokować SMS - y zawierające treści wyczerpujące znamiona smishingu, inne niż zawarte w ww. wzorcu otrzymywanym z CSIRT NASK.

Ponadto przedsiębiorca telekomunikacyjny, w celu zapobiegania i zwalczania CLI spoofing, blokuje połączenie głosowe albo ukrywa identyfikację numeru wywołującego dla użytkownika końcowego.

Przedsiębiorca telekomunikacyjny może uniemożliwić użytkownikom Internetu dostęp do stron internetowych wykorzystujących nazwy domen internetowych za pomocą których wyłudzane są dane, w tym dane osobowe, oraz za pomocą których użytkownicy Internetu doprowadzani są do niekorzystnego rozporządzenia swoim majątkiem. Wykaz takich domen prowadzi CSIRT NASK.

Projekt omawianej ustawy przewiduje również obowiązki nakładane na dostawcę poczty elektronicznej, ale nie na każdego dostawcę, tylko na takiego, który świadczy usługi dla co najmniej 500 000 użytkowników, dla podmiotu publicznego lub obsługującego co najmniej 500 000 aktywnych kont pocztowych.

Taki dostawca poczty elektronicznej ma obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).

Z kolei podmiot publiczny jest obowiązany do korzystania z poczty elektronicznej wykorzystującej wyżej opisane mechanizmy, o których mowa w ust. 1.

Projekt Ustawy upoważnia Prezesa UKE do przeprowadzenia kontroli realizacji opisanych wyżej obowiązków a wobec podmiotów niewypełniających tych obowiązków Prezes UKE może nałożyć karę pieniężną na zasadach określonych w ustawie Prawo telekomunikacyjne.