Kradzież tożsamości w Internecie a prawo

W dobie nieustającego rozwoju technologii i dostępu do informacji, dane osób fizycznych jak i prawnych narażone są na szereg niebezpieczeństw, z których często nie zdajemy sobie sprawy.

Jednym z częstszych przestępstw, na które jesteśmy narażeni to tzw. „kradzież tożsamości”. Działanie to jest ingerencją w prawa majątkowe, obrót gospodarczy, prawo prywatności, jak również w cześć i dobre imię.

Czym jest kradzież tożsamości

Proceder kradzieży tożsamości polega na pozyskaniu w sposób bezprawny danych osobowych osób fizycznych bądź podmiotów gospodarczych.

Może to być każda informacja: imię, nazwisko, adres, nr pesel, nr karty kredytowej itd.

Dane te są zazwyczaj wykorzystywane przez złodzieja do celów przestępczych lub związanych z ich popełnieniem, takich jak np. wyłudzenie, zastraszenie, wynajmowanie lokali na nazwiska ofiar, dokonanie zakupu na raty w oparciu o dowód osobisty.

Jak można się domyśleć, bezpośrednim motywem przestępcy jest zapewne uzyskanie korzyści majątkowej poprzez użycie danych ofiary.

Kto może być ofiarą kradzieży

Ofiarą kradzieży tożsamości może być zarówno osoba fizyczna, jak i przedsiębiorca.

Osoba fizyczna jest często dużo łatwiejszym celem, ze względu na swoją podatność na oszustwa czy sugestie.Dla przestępcy jest to działanie mniej złożone i wymagające mniejszego wysiłku. Jednakże ochrona prawna w takiej sytuacji jest łatwiejsza, gdyż zastosowanie znajduje art. 190a Kodeksu Karnego, zgodnie z którym:

Kto przez uporczywe nękanie innej osoby lub osoby jej najbliższej wzbudza u niej uzasadnione okolicznościami poczucie zagrożenia lub istotnie narusza jej prywatność, podlega karze pozbawienia wolności do lat 3. Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej.

Z przedsiębiorcą sprawa jest nieco bardziej skomplikowana. Polski ustawodawca nie reguluje wprost sytuacji kradzieży tożsamości takiego podmiotu. Ochrony prawnej może dochodzić na postawie przepisów dotyczących znaków towarowych, ustawy o zwalczaniu nieuczciwej konkurencji, czy kodeksu cywilnego (przepisy dotyczące dóbr osobistych – art. 43 k.c. w zw. z art. 23 k.c.; przepisy dotyczące działania bez umocowania – art. 39 k.c.; przepisy dotyczące “firmy” – art. 43[3] k.c. w zw. z art. 43[10] k.c.).

Wobec przedsiębiorcy przestępca często napotyka większe trudności, które zmuszają go do wykazania się jeszcze większą przebiegłością. 

Przedsiębiorcy padają głównie atakom typu whailing. Jest to odmiana phishingu, czyli podszywania się sprawcy pod inną osobę lub instytucję w celu wyłudzenia określonych informacji – typowe działanie w ramach stosowania technik manipulacji człowiekiem (socjotechniki). Sprawca w celu uzyskania informacji preparuje zazwyczaj w sposób profesjonalny stronę internetową lub email.

Ofiary tego procederu są namawiane do kliknięcia w przesłany link i podanie swoich danych, czasem również haseł dostępu lub ściągnięcie spreparowanego oprogramowania zbierającego dane z komputera (np. keylogger, trojan).

W jaki sposób wykradane są dane

Techniki kradzieży tożsamości rozwijają się szybko jak sam Internet i właściwie nigdy nie będziemy pewni, że poznaliśmy wszystkie sposoby oszustwa. Można, jednakże wyróżnić pewne metody, którymi posługują się przestępcy:

  • elektroniczna – poprzez użycie programów szpiegowskich, koni trojańskich, wirusów – całej gamy dostępnych technik komputerowych;
  • wyłudzanie danych – prośby o wysyłanie np. CV, podszywanie się pod instytucje w celu wyłudzenia haseł;
  • hacking i przejmowanie starych, nieużywanych kont internetowych;
  • „podejrzenie” danych – obserwacja i utrwalanie na nośnikach informacji o danych osobach, np. przez sfotografowanie dowodu osobistego czy numeru karty;
  • zakup danych od podmiotów prowadzących bazy danych.

Co przestępca może zrobić z wykradzionymi danymi

Przestępcy dokonujący kradzieży tożsamości wykazują się dużą pomysłowością w dokonywanym procederze. Jest ona jednak zwykle półśrodkiem, ułatwieniem do osiągnięcia właściwego celu. Wykorzystując skradzione dane można m.in.:

  • założyć fałszywe konta internetowe lub pocztowe w celu podszywania się pod ofiarę;
  • podrobić dokumenty ofiary, które mogą zostać wykorzystane podczas legitymowania się przy zakładaniu kont bankowych, a w konsekwencji mogą być na nie brane kredyty;
  • wynająć mieszkanie lub pokoje hotelowe na dane ofiary, w których przestępcy m.in. odbierają towary lub dokonują kradzieży wyposażenia
  • podszywając się pod przedstawicieli zagranicznych firm rekrutować tzw. „muły pieniężne” – osoby nieświadome brania udziału w procesie prania brudnych pieniędzy podczas przelewania środków pieniężnych między różnymi kontami;
  • prowadzić działalność biznesową w imieniu ofiary w celu wyłudzania zwrotu podatku;
  • kraść auta z wypożyczalni na nazwisko ofiary, a także otrzymywać mandaty i punkty karne na prawo jazdy ofiary.

Możliwości są tak naprawdę nieskończone i wszystko zależy od motywacji przestępcy.

Konsekwencje natomiast – często mogą być dla ofiary bardzo dotkliwe, a ich reakcja niestety najczęściej pojawia się za późno. Zazwyczaj dzieje się tak przez brak świadomości na temat tego co dzieje się z danymi, gdyż proceder ten często ujawnia się po miesiącach bądź latach.

Jakie działania należy podjąć celem ustrzeżenia się przed kradzieżą danych?

Pierwszym krokiem jest zwiększenie świadomości społeczeństwa na sytuacje, w których może dojść do przejęcia tożsamości oraz zagrożenia które się z tym wiążą.

Zbyt duża grupa osób podaje swoje dane w sposób bezrefleksyjny, bez upewnienia się, czy dana strona jest autentyczna i czy rzeczywiście podanie danych jest niezbędne. Edukacja jest tym ważniejsza, im szerszy jest dostęp do poczty elektronicznej, instrumentów płatniczych czy serwisów społecznościowych.

Zwłaszcza serwisy społecznościowe tworzą ogromne wyzwanie dla prawa. Ich użytkownicy upubliczniają gigantyczne ilości danych, które są przez te serwisy „magazynowane”. Są to, oprócz imion i nazwisk, także daty urodzin, miejsce zamieszkania, wiek, ukończone szkoły, miejsce pracy, wizerunek, a idąc dalej także dane znajomych. Tak powszechny dostęp do informacji na portalach od wielu lat tworzy zagrożenie dla użytkowników, tym bardziej, że wycieki danych w ostatnich latach się nasilają (np. niedawny, marcowy [2018 r.] wyciek danych 50 milionów użytkowników Facebooka).

Jako użytkownicy Internetu wszyscy powinniśmy uważać na podejrzane propozycje i emaile. Osoby dociekliwe i uważnie czytające np. ogłoszenia o pracę, szybko mogą zdać sobie sprawę, że podane informacje mogą być fałszywe. Tak naprawdę wystarczy szybki research w Internecie poprzez wpisanie nazwy domniemanego pracodawcy i sprawdzenie, czy naprawdę istnieje.

Prawdziwość emaili można sprawdzić poprzez skierowanie kursora na wiadomość w skrzynce pocztowej – wyświetlony email należy zweryfikować z prawdziwym emailem instytucji, która go wysłała. Sfałszowane emaile mają często niepasujące, nonsensowne lub niewskazujące na powiązanie z instytucją domeny. Część wiadomości jest filtrowana i automatycznie umieszczana w spamie, dlatego zaleca się co pewien czas usuwanie spamu.

Należy uważać na wiadomości pisane po polsku z błędami, pisane łamaną angielszczyzną, prośby o wpłaty na konto, oferty pracy, które zostały do wysłane bez konkretnego powodu, a przede wszystkim, absolutnie nie odpowiadać na wiadomości z prośbą o podanie haseł do kont, nawet w sytuacji, kiedy email wygląda bardzo przekonująco, a treść wiadomości jest bardzo formalna – żadna instytucja, witryna internetowa, gamemaster ani żaden sklep internetowy nie żąda nigdy od swoich użytkowników danych typu login czy hasło.

Oprócz tego, istnieje jeszcze kilka metod zapobiegania wykorzystaniu danych. Najbardziej podstawową jest zabezpieczenie komputera programami antywirusowymi. Jednak nie przyniesie ona efektów, jeżeli nie zachowa się ostrożności przy korzystaniu z Internetu.

W przypadku zaginięcia, kradzieży dokumentów osobistych czy kart płatniczych należy jak najszybciej zgłosić ten fakt na policję, zablokować konto w banku, zastrzec dowód bądź skorzystać z dostępnej w Polsce usługi zastrzeżenia dokumentów w portalu BIK.

Co zrobić, gdy podejrzewamy, że ktoś posługuje się naszymi danymi

W razie podejrzenia, że ktoś posługuje się danymi warto upewnić się co do tego, że nie padliśmy czyjąś ofiarą – m.in. poprzez ww. portal BIK. Pozwala on sprawdzić, czy ktoś korzysta z naszych danych nie mając do tego uprawnień, np. wziął pożyczkę, a także na ustawienie alarmu. W Internecie funkcjonuje także strona internetowa „Have I been pwned” (haveibeenpwned.com), która pozwala sprawdzić, czy nie nastąpił wyciek naszych danych. Dobrze jest też przeskanować komputer pod kątem znalezienia wirusów, zaktualizować oprogramowanie, zmienić hasła do kont, czy pousuwać aplikacje powiązane z Facebookiem.

Można także dokonać zgłoszenia na policję, chociaż może ono zostać odrzucone, gdyż przestępstwo ścigane w trybie prywatnoskargowym jest bardzo trudne pod kątem dowodowym, z racji używania przez przestępców najnowszych technologii.

Kto zajmuje się ochroną danych osobowych

Głównym polskim organem, który kontroluje zgodność przetwarzania danych, jest Prezes Urzędu Ochrony Danych Osobowych. Wydaje on głównie decyzje administracyjne, rozpatruje skargi i opiniuje akty prawne

Podmiotem zajmującym się danymi osobowymi jest również administrator danych w myśl nowego Ogólnego rozporządzenia o ochronie danych (RODO), który może być osobą fizyczną lub osobą prawną (zazwyczaj osoba ta przetwarza dane w związku z jakąś działalnością). Decyduje on o celach i sposobach przetwarzania danych.

Z administratorem może pracować również Inspektor Ochrony Danych, który nadzoruje przestrzeganie zasad ochrony danych w organizacji. Jego głównym zadaniem jest zapewnienie przestrzegania przepisów o ochronie danych osobowych oraz wykonywanie innych czynności związanych z przetwarzaniem danych.

Co grozi za przestępstwo kradzieży tożsamości

Na gruncie kodeksu karnego pokrzywdzonego chroni głównie art.190a §2 oraz § 3, zgodnie z którym:

§ 2. Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej – podlega karze pozbawienia wolności do lat 3” (jest to przestępstwo wnioskowe).
§ 3. Jeżeli następstwem czynu określonego w § 1 lub 2 jest targnięcie się pokrzywdzonego na własne życie, sprawca podlega karze pozbawienia wolności od roku do lat 10.

Kodeks karny zawiera także inne przepisy odnoszące się do kradzieży tożsamości. Rozdział 33 i 34 k.k. zwiera artykuły odnoszące się do przestępstw przeciwko ochronie informacji oraz przestępstw przeciwko wiarygodności dokumentów. Są to art. 267, art. 268, art. 269a, art. 269b, art. 270 oraz art. 275 k.k., które również mogą być pomocne w tym zakresie.

Ciekawostka – co może nie być kradzieżą tożsamości

Za przestępstwo kradzieży tożsamości nie można uznać sytuacji, w której ktoś wykorzystuje dane osobowe jakiejś osoby, nie mając na celu wyrządzenia jej krzywdy – taki wniosek formułuje wyrok Sądu Rejonowego w Olsztynie z dnia 21 lipca 2015 r. (sygn. akt. II K 497/15), w którym opisana jest sytuacja kobiety, która użyła skopiowanego zdjęcia mężczyzny, które w Internecie znalazł jej syn, w celu wykorzystania tego zdjęcia na portalu randkowym.

Mimo, iż pokrzywdzony uznał tę sytuację za wyrządzenie szkody osobistej, to według Sądu, oskarżona była niewinna, ponieważ art. 190 k.k. wyraźnie formułuje zamiar kierunkowy przestępstwa kradzieży tożsamości. Czyli kobieta ta musiałaby celowo działać w kierunku naruszenia dobrego imienia pokrzywdzonego, a w tej sytuacji tak się nie stało.

Podsumowanie

Mając na uwadze dotkliwe skutki jakie może nieść za sobą kradzież tożsamości nie ulega wątpliwości, że należy rozszerzać świadomość użytkowników sieci co do czyhających zagrożeń i wskazywać im sposoby dzięki którym mogą ich uniknąć. Nie należy zapominać, iż metody na wyłudzanie danych będą się zmieniać i ewoluować wraz z rosnącą świadomością użytkowników. Dlatego też, z całą pewnością można uznać, że najlepszą ochroną będzie zachowanie szczególnej ostrożności przy podawaniu jakichkolwiek danych zarówno w sieci jak i poza nią. W podejrzanych sytuacjach zawsze lepiej dokładnie sprawdzić: kto, o co i dlaczego prosi, niż od razu, bez zastanowienia udzielać odpowiedzi.

Dzięki temu w przyszłości można uniknąć nieprzyjemnych sytuacji i nie pozwolić na kradzież swojej tożsamości.

Autorzy: Arkadiusz Szczudło, Kinga Kobrzyńska, Magdalena Konieczna