LegalizeUstawa z dnia 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej
Art. 1.
Ustawa określa:
1) prawa i obowiązki przedsiębiorców telekomunikacyjnych związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
2) kompetencje Prezesa Urzędu Komunikacji Elektronicznej, zwanego dalej „Prezesem UKE”, związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem;
3) zasady wnoszenia sprzeciwu przez nadawcę krótkiej wiadomości tekstowej (SMS), wobec uznania treści takiej wiadomości za wyczerpującą znamiona nadużycia w komunikacji elektronicznej;
4) zasady świadczenia usług związanych z wysyłaniem krótkich wiadomości tekstowych (SMS) zawierających nadpisy na rzecz podmiotów publicznych;
5) zasady wnoszenia sprzeciwu przez podmiot posiadający tytuł prawny do domeny internetowej wobec wpisania tej domeny na listę ostrzeżeń;
6) obowiązki dostawcy poczty elektronicznej oraz podmiotu publicznego związane ze świadczeniem i korzystaniem z poczty elektronicznej w celu zapobiegania nadużyciom w komunikacji elektronicznej;
7) szczególne zasady przetwarzania informacji objętych tajemnicą telekomunikacyjną związane z zapobieganiem nadużyciom w komunikacji elektronicznej oraz ich zwalczaniem.
Art. 2.
Określenia użyte w ustawie oznaczają:
1) CSIRT NASK - Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, w rozumieniu art. 2 pkt 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ;
2) dostawca poczty elektronicznej - osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej, która prowadzi, chociażby ubocznie, działalność zarobkową lub zawodową związaną ze świadczeniem poczty elektronicznej;
3) informacja adresowa - numer telefonu lub identyfikator użytkownika wysyłającego komunikat;
4) integrator usług SMS - dostawcę publicznie dostępnych usług telekomunikacyjnych świadczącego usługę wysyłania krótkich wiadomości tekstowych (SMS);
5) komunikat - komunikat w rozumieniu art. 2 pkt 17 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne ;
6) lista ostrzeżeń - jawną listę ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników internetu;
7) nadpis - identyfikator krótkiej wiadomości tekstowej (SMS);
8) nadużycie w komunikacji elektronicznej - świadczenie lub korzystanie z usługi telekomunikacyjnej lub korzystanie z urządzeń telekomunikacyjnych niezgodnie z ich przeznaczeniem lub przepisami prawa, których celem lub skutkiem jest wyrządzenie szkody przedsiębiorcy telekomunikacyjnemu lub użytkownikowi końcowemu lub osiągnięcie nienależnych korzyści dla podmiotu dopuszczającego się nadużycia w komunikacji elektronicznej, innej osoby fizycznej, osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;
9) operator - operatora w rozumieniu art. 2 pkt 27 lit. b ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
10) poczta elektroniczna - usługę komunikacji interpersonalnej, która nie umożliwia realizacji połączeń z numerami z planu numeracji krajowej lub międzynarodowych planów numeracji, i która umożliwia przekazywanie komunikatu z wykorzystaniem standardu SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol), IMAP4 (Internet Message Access Protocol) lub innego standardu zapewniającego te same funkcje;
11) podmiot publiczny - podmiot, o którym mowa w art. 4 pkt 7-15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
12) połączenie głosowe - połączenie ustanowione za pomocą publicznie dostępnej usługi komunikacji interpersonalnej pozwalające na dwukierunkową komunikację głosową;
13) przedsiębiorca telekomunikacyjny - przedsiębiorcę telekomunikacyjnego w rozumieniu art. 2 pkt 27 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
14) sieć telekomunikacyjna - sieć telekomunikacyjną w rozumieniu art. 2 pkt 35 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
15) tajemnica telekomunikacyjna - tajemnicę, o której mowa w art. 159 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
16) uprawnione podmioty - podmioty, o których mowa w art. 179 ust. 3 pkt 1 lit. a ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
17) urządzenie telekomunikacyjne - urządzenie telekomunikacyjne w rozumieniu art. 2 pkt 46 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
18) usługa komunikacji interpersonalnej - usługę umożliwiającą bezpośrednią interpersonalną i interaktywną wymianę informacji za pośrednictwem sieci telekomunikacyjnej między skończoną liczbą osób, gdzie osoby inicjujące połączenie lub uczestniczące w nim decydują o jego odbiorcy lub odbiorcach, z wyłączeniem usług, w których interpersonalna i interaktywna komunikacja stanowi wyłącznie funkcję podrzędną względem innej usługi podstawowej;
19) usługa telekomunikacyjna - usługę telekomunikacyjną w rozumieniu art. 2 pkt 48 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
20) użytkownik - użytkownika w rozumieniu art. 2 pkt 49 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne;
21) użytkownik końcowy - użytkownika końcowego w rozumieniu art. 2 pkt 50 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne.
Art. 3.
Zakazane są nadużycia w komunikacji elektronicznej, w szczególności:
1) generowanie sztucznego ruchu - wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych lub przez systemy rozliczeniowe;
2) smishing - wysłanie krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania;
3) CLI spoofing - nieuprawnione posłużenie się lub korzystanie przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, osobę prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot, w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza do przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania;
4) nieuprawniona zmiana informacji adresowej - niezgodne z prawem modyfikowanie informacji adresowej uniemożliwiające albo istotnie utrudniające ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu, informacji adresowej użytkownika wysyłającego komunikat.
Nie stanowi nieuprawnionej zmiany informacji adresowej zmiana wyłącznie adresu IP użytkownika wysyłającego komunikat.
Przedsiębiorca telekomunikacyjny jest obowiązany do podejmowania proporcjonalnych środków organizacyjnych i technicznych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i ich zwalczanie.
Art. 4.
CSIRT NASK na podstawie krótkich wiadomości tekstowych (SMS) otrzymanych od odbiorców tych wiadomości oraz informacji otrzymanych od przedsiębiorców telekomunikacyjnych i innych podmiotów monitoruje występowanie smishingu.
CSIRT NASK na podstawie wyników monitorowania, o którym mowa w ust. 1, tworzy wzorzec wiadomości wyczerpującej znamiona smishingu, zwany dalej „wzorcem wiadomości”.
CSIRT NASK zapewnia funkcjonowanie systemu teleinformatycznego służącego do udostępniania i przekazywania informacji o wystąpieniu smishingu wraz ze wzorcem wiadomości oraz jest administratorem danych przetwarzanych w tym systemie.
CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, zapewnia dostęp do informacji o występowaniu smishingu wraz ze wzorcami wiadomości Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym.
CSIRT NASK za pośrednictwem systemu, o którym mowa w ust. 3, przekazuje przedsiębiorcy telekomunikacyjnemu informacje o wystąpieniu smishingu wraz ze wzorcem wiadomości.
Podmioty, o których mowa w ust. 4, w celu wymiany informacji o występowaniu smishingu wraz ze wzorcami wiadomości są obowiązane do korzystania z systemu, o którym mowa w ust. 3.
Wzorzec wiadomości CSIRT NASK udostępnia na swojej stronie internetowej, nie wcześniej niż w terminie 14 dni i nie później niż w terminie 21 dni od dnia jego przekazania przedsiębiorcy telekomunikacyjnemu w sposób, o którym mowa w ust. 5.
CSIRT NASK w przypadku uznania, że:
1) treść wzorca wiadomości nie wyczerpuje znamion smishingu, lub
2) niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości
- niezwłocznie informuje o tym podmioty, o których mowa w ust. 4, oraz zamieszcza na swojej stronie internetowej informacje o okresie, w jakim wzorzec wiadomości obowiązywał.
CSIRT NASK przetwarza dane pozyskane w związku z monitorowaniem występowania smishingu na zasadach określonych w art. 39 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Art. 5.
CSIRT NASK przyjmuje od odbiorców krótkich wiadomości tekstowych (SMS) zgłoszenia dotyczące wiadomości, co do których istnieje podejrzenie, że ich treść wyczerpuje znamiona smishingu, pod numerem skróconym 8080.
Przedsiębiorca telekomunikacyjny zapewnia swoim użytkownikom końcowym oraz CSIRT NASK możliwość bezpłatnego korzystania z numeru skróconego 8080, które polega na przekazywaniu do CSIRT NASK krótkich wiadomości tekstowych (SMS) zgłoszonych na numer skrócony 8080 oraz bezpłatną wysyłkę krótkich wiadomości tekstowych (SMS) z tego numeru przez CSIRT NASK.
Art. 6.
Przedsiębiorca telekomunikacyjny po otrzymaniu informacji, o której mowa w art. 4 ust. 5 albo 8, niezwłocznie:
1) blokuje krótkie wiadomości tekstowe (SMS), zawierające treść zgodną z treścią wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację krótkich wiadomości tekstowych (SMS), albo
2) zaprzestaje blokowania krótkich wiadomości tekstowych (SMS) w przypadku uznania, że treść wzorca wiadomości nie wyczerpuje znamion smishingu lub że niecelowe jest dalsze blokowanie krótkich wiadomości tekstowych (SMS), zawierających treść zgodną z treścią wzorca wiadomości.
Art. 7.
Nadawca krótkiej wiadomości tekstowej (SMS) może wnieść do Prezesa UKE sprzeciw wobec zablokowania, o którym mowa w art. 6 pkt 1.
Sprzeciw, o którym mowa w ust. 1, zawiera:
1) pełną treść krótkiej wiadomości tekstowej (SMS);
2) uzasadnienie wyjaśniające, dlaczego treść krótkiej wiadomości tekstowej (SMS) nie wyczerpuje znamion smishingu;
3) wskazanie numeru wykorzystanego do nadania krótkiej wiadomości tekstowej (SMS);
4) dane identyfikujące nadawcę:
imię (imiona) i nazwisko, adres zamieszkania - w przypadku osób fizycznych,
nazwę (firmę) podmiotu, adres siedziby, numer z właściwego rejestru - w przypadku osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej,
imię i nazwisko osoby uprawnionej do reprezentowania nadawcy wraz z upoważnieniem - jeżeli dotyczy.
Sprzeciw, o którym mowa w ust. 1, opatruje się kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym i wnosi się na adres do doręczeń elektronicznych Prezesa UKE.
Sprzeciw, o którym mowa w ust. 1, niespełniający wymagań, o których mowa w ust. 2 i 3, pozostawia się bez rozpoznania.
Art. 8.
Prezes UKE:
1) rozpatruje sprzeciw, o którym mowa w art. 7 ust. 1, w terminie 14 dni od dnia jego otrzymania oraz
2) niezwłocznie informuje nadawcę krótkiej wiadomości tekstowej (SMS) o sposobie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, za pomocą środków komunikacji elektronicznej, których użył nadawca krótkiej wiadomości tekstowej (SMS), wnosząc ten sprzeciw.
Prezes UKE, rozpatrując sprzeciw, o którym mowa w art. 7 ust. 1:
1) uwzględnia ten sprzeciw, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, nie wyczerpuje znamion smishingu, albo
2) nie uwzględnia tego sprzeciwu, jeżeli krótka wiadomość tekstowa (SMS), zawierająca treść zgodną z treścią wzorca wiadomości, wyczerpuje znamiona smishingu.
W przypadku uwzględnienia sprzeciwu, o którym mowa w art. 7 ust. 1, Prezes UKE nakazuje CSIRT NASK niezwłoczną, nie później niż w terminie 3 dni od dnia uwzględnienia tego sprzeciwu, zmianę wzorca wiadomości w taki sposób, aby krótka wiadomość tekstowa (SMS) o treści, o której mowa w art. 7 ust. 2 pkt 1, nie była blokowana.
Nieuwzględnienie sprzeciwu, o którym mowa w art. 7 ust. 1, jest inną czynnością z zakresu administracji publicznej, na którą przysługuje skarga do sądu administracyjnego.
Prezes UKE może pisemnie upoważnić pracownika Urzędu Komunikacji Elektronicznej do wykonywania czynności, o których mowa w ust. 1-3.
Do postępowania w sprawie rozpatrzenia sprzeciwu, o którym mowa w art. 7 ust. 1, przepisów ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego nie stosuje się.
Art. 9.
Przedsiębiorca telekomunikacyjny może blokować krótkie wiadomości tekstowe (SMS), zawierające treść wyczerpującą znamiona smishingu, inną niż treść wzorca wiadomości, za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości.
Przedsiębiorca telekomunikacyjny może blokować wiadomości multimedialne (MMS), w których nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego lub instalacji oprogramowania. Blokowanie odbywa się za pomocą systemu teleinformatycznego pozwalającego na automatyczną identyfikację takich wiadomości.
Art. 10.
CSIRT NASK prowadzi i udostępnia na swojej stronie internetowej wykaz nazw i ich skrótów zastrzeżonych dla podmiotów publicznych jako nadpis wiadomości pochodzącej od tego podmiotu publicznego oraz wariantów tych nazw i skrótów, mogących wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zwany dalej „wykazem nadpisów podmiotów publicznych”.
CSIRT NASK za pośrednictwem systemu, o którym mowa w art. 4 ust. 3, zapewnia dostęp do wykazu nadpisów podmiotów publicznych Komendantowi Centralnego Biura Zwalczania Cyberprzestępczości, Prezesowi UKE i przedsiębiorcom telekomunikacyjnym.
Podmiot publiczny może złożyć do CSIRT NASK wniosek o wpis albo o zmianę wpisu w wykazie nadpisów podmiotów publicznych w zakresie go dotyczącym. Wniosek może dotyczyć zastrzeżenia nazwy lub skrótu jako nadpisu dla wiadomości wysłanej w związku z wykonywaniem konkretnego zadania publicznego.
CSIRT NASK może stworzyć warianty nazwy lub skrótu, mogące wprowadzać odbiorcę w błąd co do pochodzenia wiadomości od podmiotu publicznego, zwane dalej „wariantami nazwy lub skrótu”.
Zastrzeżone nazwa lub skrót oraz warianty nazwy lub skrótu, jeżeli zostały stworzone, CSIRT NASK wpisuje w wykazie nadpisów podmiotów publicznych.
Wykaz nadpisów podmiotów publicznych zawiera:
1) nazwę (firmę) podmiotu publicznego;
2) adres siedziby podmiotu publicznego;
3) numer identyfikacyjny podmiotu publicznego w krajowym rejestrze urzędowym podmiotów gospodarki narodowej (REGON);
4) nazwę lub skrót zastrzeżone dla podmiotu publicznego jako nadpis wiadomości pochodzącej od tego podmiotu publicznego;
5) warianty nazwy lub skrótu, jeżeli zostały stworzone;
6) datę wpisu w wykazie nadpisów podmiotów publicznych;
7) datę wykreślenia wpisu z wykazu nadpisów podmiotów publicznych;
8) numer w wykazie nadpisów podmiotów publicznych.
⋯
Niniejszy dokument nie zastępuje oficjalnej publikacji w Dzienniku Ustaw Rzeczypospolitej Polskiej. Nie ponosimy odpowiedzialności za ewentualne nieścisłości wynikające z transkrypcji oryginału do tego formatu.