Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej: obowiązki dla operatorów telekomunikacyjnych i dostawców poczty elektronicznej
Nowa ustawa o zwalczaniu nadużyć w komunikacji elektronicznej (UZNKE) nakłada na przedsiębiorców telekomunikacyjnych i dostawców poczty elektronicznej szereg obowiązków związanych z zapobieganiem nadużyciom w komunikacji elektronicznej.
Ustawa zakazuje nadużyć w komunikacji elektronicznej, wśród których wskazuje w szczególności (katalog otwarty) cztery podstawowe formy nadużyć:
- generowanie sztucznego ruchu (Artificial Traffic Generating) – automatyczne inicjowanie połączeń (lub komunikatów) z jednego lub wielu numerów na inny numer czy numery, które de facto nie służą do komunikowania się, a jedynie do zarejestrowania połączenia sieci telekomunikacyjnej bądź przez systemy rozliczeniowe, w tym kierowanie masowo ruchu głosowego czy sms’owego na kierunki o podwyższonej opłacie,
- smishing – podszywanie się pod inny podmiot w wiadomości tekstowej (SMS) celem nakłonienia odbiorcy do określonego zachowania,
- CLI spoofing – polegający na maskowaniu identyfikatora rozmówcy w połączeniu telefonicznym w celu podszywania się pod inny podmiot,
- nieuprawniona zmiana informacji adresowej – polegająca na modyfikowaniu informacji adresowej uniemożliwiając lub utrudniając ustalenie prawidłowej informacji adresowej nadawcy.
Ustawa ma uniemożliwić podszywanie się pod zaufane instytucje czy podmioty.
Przedsiębiorcy telekomunikacyjny zostali zobligowani przez UZNKE do zapobiegania tym i innym nadużyciom w komunikacji elektronicznej poprzez „podejmowania proporcjonalnych środków organizacyjnych i technicznych” (art. 3 ust. 3 UZNKE).
Operatorzy obowiązani są na mocy ustawy m.in. do zautomatyzowanego blokowania wiadomości SMS i połączeń głosowych lub ukrywania identyfikacji numeru wywołującego (w przypadku wystąpienia znamion nadużycia).
UZNKE umożliwia prowadzenie listy ostrzeżeń oraz blokowanie dostępu do stron internetowych wyłudzających dane osobowe, wprowadzających w błąd oraz doprowadzających internautów do niekorzystnego rozporządzenia ich mieniem.
Ustawa wprowadza także mechanizmy składania sprzeciwu do Prezesa UKE od decyzji o zablokowaniu lub wpisania na listę ostrzeżeń.
Dostawcy poczty elektronicznej zobligowani zostali do stosowania wskazanych w UZNKE mechanizmów zabezpieczeń: SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).
Niewykonywanie obowiązków UZNKE sankcjonowane jest karą pieniężną w wysokości do 3% przychodu podmiotu, a ustawa zawiera także przepisy karne.