2 sierpnia 2023 r. Prezydent podpisał Ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Nowe przepisy zakładają walkę z cyberprzestępczością m.in. poprzez wprowadzenie nowych zakazów i obowiązków dotyczących przedsiębiorców telekomunikacyjnych. W ustawie zakazano m.in. generowania sztucznego ruchu, smishingu, CLI spoofingu i nieuprawnionej zmiany informacji adresowej. 

Dlaczego wprowadzono nowe przepisy?

Potrzebę ochrony osób korzystających z usług komunikacji elektronicznej pierwszy zauważył ustawodawca unijny. W dyrektywie Parlamentu Europejskiego i Rady 2018/1972 ustanowiono Europejski kodeks łączności elektronicznej, który zobowiązał państwa członkowskiego do zapewnienia krajowym organom regulacyjnym możliwości wymagania od podmiotów udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej zablokowania – w indywidualnych przypadkach – dostępu do numerów lub usług, gdy zachodzi podejrzenie oszustwa lub nadużycia.  

Zauważając szybki wzrost ilości przestępstw popełnianych z wykorzystaniem środków komunikacji elektronicznej, polski prawodawca zdecydował się na przyjęcie ustawy określającej nowe prawa i obowiązki przedsiębiorców telekomunikacyjnych oraz nowe kompetencje Prezesa UKE mające umożliwić zapobieganie i zwalczanie nadużyć w komunikacji elektronicznej. 

Jakie działanie stanowi nadużycie w komunikacji elektronicznej?  

W ustawie wprowadzono generalny zakaz nadużyć w komunikacji elektronicznej. Pojęcie takiego nadużycia zostało zdefiniowane bardzo szeroko, na skutek czego zakazane jest każde świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej. 

Jako przykładowe nadużycia ustawa wymienia generowanie sztucznego ruchu, smishing, CLI spoofing i nieuprawnioną zmianę informacji adresowej. Każde z tych pojęć zostało wyjaśnione w nowej ustawie, co zdaniem jej autorów ma przyczynić się do ujednolicenia ich rozumienia także w obrocie prywatnym, np. w umowach międzyoperatorskich. 

Nowe obowiązki przedsiębiorców telekomunikacyjnych  

Po wejściu w życie przepisów na przedsiębiorcach telekomunikacyjnych będzie ciążył ogólny obowiązek podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobiegnie nadużyciom w komunikacji elektronicznej i ich zwalczanie. Podejmowanie przez przedsiębiorców działań będzie wymagało przeprowadzenia oceny ryzyka wystąpienia nadużyć a zakres działań będzie zależny od czynników takich jak wielkość przedsiębiorcy, posiadana przez niego infrastruktura czy charakter świadczonych usług. 

W celu zapobiegania oraz zwalczania smishingu przewidziano obowiązek blokowania przez przedsiębiorców telekomunikacyjnych wiadomości SMS, zawierających treści zgodne ze wzorcem wiadomości wyczerpujących znamiona tego rodzaju nadużycia. Wzorce wiadomości będą udostępniane na stronie internetowej Naukowej i Akademickiej Sieci Komputerowej (NASK). Podejrzenie smishingu każdy odbiorca wiadomości będzie mógł zgłosić do NASK pod skróconym numerem 8080. Przedsiębiorcy telekomunikacyjni zapewnią bezpłatne korzystanie z tego numeru. 

Przedsiębiorcy telekomunikacyjni będą zobowiązani blokować także m.in.: 

  • wiadomości SMS zawierające treść wyczerpującą znamiona smishingu, które nie zostały wskazane we wzorcu przekazanym przez NASK, 
  • wiadomości MMS, w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy do określonego zachowania, 
  • połączenia głosowe w przypadku wykrycia prawdopodobieństwa, że dochodzi do CLI spoofingu. 

Kary za nadużycia i niewywiązywanie się z obowiązku blokowania wiadomości i połączeń 

Przedsiębiorcy telekomunikacyjni stosujący generowanie sztucznego ruchu, smishing, CLI spoofing lub nieuprawnioną zmianę informacji adresowej będą podlegać karze pieniężnej nakładanej przez Prezesa UKE. Wysokość kary została określona jednakowo dla wszystkich naruszeń i będzie wynosić 3% przychodu osiągniętego w poprzednim roku kalendarzowym przez przedsiębiorcę telekomunikacyjnego.

Prezes UKE będzie mógł także nałożyć karę (w wysokości wskazanej powyżej) na przedsiębiorców, którzy nie zastosują się do obowiązku blokowania wiadomości SMS i połączeń głosowych w przypadkach, kiedy ustawa nakazuje takie działanie. Kara zostanie jednak nałożona wyłącznie, jeśli będzie za tym przemawiać zakres lub charakter naruszenia. Niezależnie od kary pieniężnej nałożonej na przedsiębiorcę, w takim wypadku, Prezes UKE będzie mógł ukarać również osobę kierującą przedsiębiorstwem telekomunikacyjnym dopuszczającym się naruszeń. Kara będzie wymierzana w wysokości do 300% miesięcznego wynagrodzenia tej osoby. 

Ustawa wciąż czeka na publikację w Dzienniku Ustaw. Większość jej przepisów wejdzie w życie po upływie 30 dni od dnia ogłoszenia.