W dniu 2 sierpnia 2023 roku Prezydent podpisał ustawę o zwalczaniu nadużyć w komunikacji elektronicznej. Tzw. „ustawa antyspoofingowa” ma na celu wdrożenie przepisu art. 97 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej. Nałożono w niej wiele nowych obowiązków, głównie na przedsiębiorców telekomunikacyjnych oraz podmioty publiczne. Dodatkowe kompetencje uzyskał przy tym Prezes Urzędu Komunikacji Elektronicznej. Co istotne, za naruszenia grożą surowe kary. Poza sankcjami administracyjnymi, ustawa wprowadza też kilka nowych typów czynów zabronionych.
Statystyki stanu bezpieczeństwa cyberprzestrzeni
Z raportów o stanie bezpieczeństwa cyberprzestrzeni RP w 2022 roku opublikowanych przez Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego wynika znaczny wzrost liczby incydentów na przestrzeni ostatnich lat. Jak podają Autorzy ostatniego raportu: „W roku 2022 zarejestrowanych zostało łącznie 1 234 040 zgłoszeń o potencjalnym wystąpieniu incydentu teleinformatycznego w obszarze kompetencyjnym Zespołu CSIRT GOV. Odnotowana liczba zgłoszeń stanowi wzrost w stosunku do roku poprzedniego, w którym zarejestrowano 762 175 zgłoszeń. Przedmiotowa liczba zgłoszeń przełożyła się na 21 563 zdarzeń zakwalifikowanych i zarejestrowanych jako incydenty bezpieczeństwa informatycznego”.
Wzrost ten obrazuje najlepiej grafika załączona do Raportu za 2022 rok (s. 10 Raportu):
Zauważalna jest także tendencja wzrostowa liczby popełnianych rocznie cyberprzestępstw. Według danych zebranych przez Rzeczpospolitą w 2016 r. tylko w Polsce popełniono w sumie niespełna 35 tys. cyberprzestępstw, w 2017 r. – ponad 36 tys., a w 2018 r. już prawie 40 tys. W 2019 r. liczba ta gwałtownie wzrosła do ponad 52 tys., a w roku 2020 doszła do niemal 55 tys. Zdecydowana większość to tzw. oszustwa internetowe, czyli oszustwa popełnione za pośrednictwem internetu. Znaczną część stanowią też przestępstwa związane z tzw. phishingiem, czyli wyłudzeniem poufnych informacji. Co istotne, statystyki te są z pewnością zaniżone, jako że wiele podmiotów ze względów wizerunkowych woli nie ujawniać, że padło ofiarą cyberprzestępców.
Z tego też względu zagadnienia dotyczące cyberbezpieczeństwa powinny stanowić już przedmiot zainteresowania nie tylko specjalistów z dziedziny IT, ale każdego przedsiębiorcy chcącego zabezpieczyć się przed cyberatakiem.
Ustawa antyspoofingowa a sankcje karne
Ustawodawca przewidział tu cztery nowe przestępstwa w art. 29-32. Wszystkie są zagrożone karą pozbawienia wolności od 3 miesięcy do lat 5. W wypadkach mniejszej wagi traktowanych łagodniej grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.
Pierwszym przestępstwem jest wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe (art. 29).
Drugim jest wysyłanie krótkiej wiadomości tekstowej (SMS), wiadomości multimedialnej (MMS) lub wiadomości za pośrednictwem innych usług komunikacji interpersonalnej, i podszywanie się w niej pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego, instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej (art. 30).
Trzecie to posługiwanie się przy wywoływaniu połączenia głosowego, nie będąc do tego uprawnionym, informacją adresową wskazującą na inną osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, aby podszyć się pod inny podmiot w celu nakłonienia odbiorcy tego połączenia do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej (art. 31).
Czwartym jest dokonywanie niezgodnej z prawem modyfikacji informacji adresowej uniemożliwiającej albo istotnie utrudniającej ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat (art. 32).
Elementem łączącym wszystkie te czyny zabronione jest działanie w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody.
W kogo uderza ustawa antyspoofingowa?
Głównym celem ustawy jest, jak sama nazwa wskazuje, zwalczanie nadużyć w komunikacji elektronicznej. Dlatego też do odpowiedzialności karnej mogą zostać pociągnięci cyberprzestępcy, w tym oszuści, a także osoby wyłudzające dane (phishing) oraz podszywające się pod inne osoby (spoofing).
Należy jednak pamiętać o tym, że ustawa w znacznym zakresie zmienia też sytuację podmiotów publicznych oraz przedsiębiorców telekomunikacyjnych. W związku z koniecznością uszczelnienia systemów teleinformatycznych w celu przeciwdziałania cyberatakom nałożone na te podmioty wiele nowych obowiązków. Nierealizowanie ich może być podstawą nakładania dotkliwych kar pieniężnych przez Prezesa Urzędu Komunikacji Elektronicznej na podstawie art. 27 i 28 ustawy.
W przypadku podmiotów publicznych ukarany może zostać osobiście tylko kierownik, czyli osoba fizyczna. Jednakże sytuacja jest bardziej skomplikowana, jeżeli kara zostanie założona na przedsiębiorcę telekomunikacyjnego. Wówczas odpowiedzialność administracyjną poniesie przedsiębiorca, którym może być np. spółka. Jeżeli narażenie spółki na karę było wynikiem złego zarządzania, bądź świadomych decyzji zarząd, to wówczas mogą oni także odpowiadać karnie. Podstawą takiej odpowiedzialności za wyrządzenie szkody w majątku zarządzanego podmiotu, czyli doprowadzenie do nałożenia na niego kary administracyjnej, będzie art. 296 k.k. Dotyczy to jedynie przypadków kiedy kara pieniężna przekroczy kwotę 200.000 zł, a ustawa antyspoofingowa uzależnia wysokość kary od obrotów przedsiębiorstwa. Tym samym w wielu sytuacjach nałożona kara przekroczy ten próg. Karalne jest także samo sprowadzenie bezpośredniego niebezpieczeństwa nałożenia takiej kary, a zatem w praktyce nieprzestrzeganie przepisów ustawy. Wówczas jednak warunkiem karalności jest złożenie wniosku o ściganie menedżera przez pokrzywdzoną spółkę.
Uprawnienia pokrzywdzonego
Ustawa nie przyznaje żadnych nowych, szczególnych uprawnień pokrzywdzonym cyberprzestępstwem, obowiązują tu zasady ogólne. Natomiast wprowadzenie nowych typów czynów zabronionych daje pokrzywdzonym szerszą ochronę i ułatwia zgłaszanie przestępstw organom.
Osiągnięcie przez sprawcę korzyści majątkowej nie jest warunkiem odpowiedzialności karnej, jednak jeżeli ją osiągnął, pokrzywdzony może żądać naprawienia szkody. W przypadku szkody osobistej, która nie przekłada się wprost na wartości materialne, pokrzywdzony może wnosić o orzeczenie nawiązki. To także określana przez sąd kwota pieniędzy należna pokrzywdzonemu, ale niezwiązana z wymierną szkodą, tylko szacowana jako zadośćuczynienie za krzywdy.
Inną kwestią może okazać się ewentualna odpowiedzialność odszkodowawcza przedsiębiorcy telekomunikacyjnego. Jeżeli nie przestrzegając swoich obowiązków z zakresu cyberbezpieczeństwa, naraził swoich klientów na szkodę, powinien liczyć się także z tym ryzykiem.
Podsumowanie
Ustawa antyspoofingowa wprowadza do porządku prawnego cztery nowe przestępstwa, które mogą zostać popełnione za pomocą systemu teleinformatycznego lub sieci telekomunikacyjnej. Ponadto odpowiedzialność karną w związku z nowymi obowiązkami może ponieść menedżer przedsiębiorstwa telekomunikacyjnego, jeżeli narazi spółkę na wysoką karę pieniężną.
Większość przepisów ustawy ma wejść w życie po upływie 30 dni od dnia ogłoszenia. Dotyczy to także przepisów karnych.
For English summary click here.
