Spoofing jest jedną z form nadużyć w komunikacji elektronicznej, którym ma przeciwdziałać ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Ustawa, nad projektem której pracuje rząd, nałoży na przedsiębiorców telekomunikacyjną obowiązek przeciwdziałania spoofingowi. Jego sprawcy narażą się na odpowiedzialność karną i finansową.
Spoofing mają zwalczać przedsiębiorcy telekomunikacyjni. Projektowana ustawa ma ich zobowiązać do tego, by w celu zapobiegania nadużyciom w komunikacji elektronicznej i ich zwalczania podejmowali proporcjonalne środki techniczne i organizacyjne. Jakie konkretnie mają to być środki określić ma porozumienie operatorów z Prezesem Urzędu Komunikacji Elektronicznej.
Spoofing, a właściwie CLI spoofing (od „calling line identification”) polega na nieuprawnionym posłużeniu się lub korzystaniu przez użytkownika (często przestępcę) wywołującego połączenie telefoniczne numerem wskazującym na inną osobę, po to, aby podszyć się pod tę osobę.
Celem takiego działania może być m.in. wywołanie strachu, poczucia zagrożenia lub nakłonienie odbiorcy połączenia do określonego zachowania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania.
Zwykle oszuści posługują się numerami należącymi do instytucji publicznych, który dostępny jest publicznie, np. w Internecie, często jest to numer infolinii danej instytucji. Zdarza się jednak, że oszuści podszywają się pod osoby publiczne, żeby np. poprzez przekazanie fałszywej informacji o wypadku, chorobie czy śmierci zastraszyć członków ich rodzin. Możliwe są sytuacje odwrotne, w których podszywano się pod członka rodziny osoby publicznej, by wywołać w niej niepokój o bliskich.
Jak zwalczać spoofing? Blokady i ukrywanie identyfikacji numerów
W przypadku wystąpienia spoofingu przedsiębiorca telekomunikacyjny będzie miał obowiązek zablokować połączenie głosowe albo ukryć identyfikację numeru wywołującego dla użytkownika końcowego.
Blokada połączeń ma by stosowana, kiedy przedsiębiorca stwierdzi, że prawdopodobieństwo, że dochodzi do spoofingu jest wysokie. W pozostałych przypadkach powinno nastąpić ukrycie identyfikacji numeru wywołującego. Dzięki temu odbiorcy połączenia wyświetli się informacja, że dzwoni do niego nieznany numer, zamiast informacji o numerze np. osoby bliskiej, pod który usiłuje podszyć się oszust. Ma to zapobiec takim przypadkom spoofingu, jak ten, w którym sprawca podszył się pod byłego szefa Centralnego Biura Antykorupcyjnego Pawła Wojtunika.
Poza blokowaniem połączeń głosowego i ukrywaniem identyfikacji numeru przedsiębiorcy telekomunikacyjni zostaną zobowiązani do zastosowania środków organizacyjnych i technicznych, które służą monitorowaniu, wykrywaniu oraz wymianie informacji o spoofingu.
Jak zwalczać spoofing? Wykaz infolinii
Niektórzy oszuści podszywają się pod jednostki sektora finansów publicznych czy przedsiębiorców wykorzystując numery infolinii tych podmiotów. Numery te nie są wykorzystywane do wykonywania połączeń, a tylko do przyjmowania połączeń przychodzących. Jednakże nieświadomy użytkownik końcowy widząc na wyświetlaczu swojego telefonu numer infolinii może mieć wrażenie, że rzeczywiście ktoś dzwoni do niego np. z urzędu lub z banku.
Dlatego też Prezes UKE ma prowadzić publicznie dostępny wykaz numerów, które służą wyłącznie do odbierania połączeń głosowych. Trafiać do niego mają takie numery jednostek sektora finansów publicznych, banków i innych instytucji finansowych lub ubezpieczeniowych, a także numery biur obsługi klientów lub infolinii przedsiębiorców telekomunikacyjnych.
Przedsiębiorcy telekomunikacyjni mają mieć obowiązek blokowania połączeń inicjowanych z wykorzystaniem numerów wpisanych do wykazu. Ma to uniemożliwić oszustom podszywanie się pod numery infolinii.
Kary pieniężne za spoofing
W przypadku, gdy przedsiębiorca telekomunikacyjny dokona spoofingu lub nie wypełnia obowiązków związanych ze zwalczaniem spoofingu, Prezes UKE będzie mógł ukarać go karą pieniężną w wysokości do 3% przychodu osiągniętego przez tego przedsiębiorcę w poprzednim roku kalendarzowym. Kwota kary nie może jednak być mniejsza niż 15 000 zł, a jeżeli ukarany podmiot działa krócej niż rok kalendarzowy, za podstawę wymiaru kary będzie się przyjmować kwotę 500 000 zł.
W przypadku gdy czyn będący nadużyciem telekomunikacyjnym wyczerpuje równocześnie znamiona przestępstwa kara pieniężna nie będzie nakładana na przedsiębiorcę telekomunikacyjnego, który jest osobą fizyczną. Przedsiębiorca ten będzie odpowiadał wyłącznie na podstawie przepisów o odpowiedzialności karnej.
Niezależnie od kary pieniężnej dla przedsiębiorcy telekomunikacyjnego, Prezes UKE będzie mógł nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym, w szczególności członka zarządu lub osobę pełniącą funkcję kierowniczą, karę pieniężną za nie wykonanie obowiązków związanych ze zwalczaniem spoofingu. Kara ta ma wynosić do 300% miesięcznego wynagrodzenia ukaranego.
Za spoofing przed sąd karny
W myśl projektowanej ustawy spoofing ma być nowym typem przestępstwa. Polegać ma ono na tym, że w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody sprawca przy wywoływaniu połączenia głosowego posługuje się, nie będąc do tego uprawnionym, informacją adresową wskazującą na inną osobę, aby podszyć się pod inny podmiot w celu nakłonienia odbiorcy połączenia do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania, przekazania haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, teleinformatycznym lub sieci teleinformatycznej.
Sprawca przestępstwa spoofingu będzie podlegał karze pozbawienia wolności od 3 miesięcy do 5 lat. W wypadku mniejszej wagi sprawca ma podlegać grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 1 roku. Jeżeli spoofingu dokonano na szkodę osoby najbliższej, ściganie będzie następowało na wniosek pokrzywdzonego.
W obecnym stanie prawnym spoofing kwalifikuje się jako czyn określony w art. 190a § 2 Kodeksu karnego, w myśl którego popełnia przestępstwo „kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek, inne jej dane osobowe lub inne dane, za pomocą których jest ona publicznie identyfikowana, w celu wyrządzenia jej szkody majątkowej lub osobistej”. Obecnie jest ono zagrożone karą pozbawienia wolności od 6 miesięcy do 8 lat.