Z badań TNS OBOP wynika, że aż 7% Polaków padło ofiarą kradzieży tożsamości.
Raport przygotowany przez Dynamics Markets Limited UK mówi o tym, iz 17% z dorosłych Polaków padło ofiarą kradzieży tożsamości, a 46% zostało okradzionych ze środków znajdujących się na rachunkach bankowych.
Kradzież tożsamości, określana również jako defraudacja, fałszerstwo, czy też przejmowanie tożsamości jest przestępstwem internetowym dotykającym coraz większą grupę osób. W 2009 roku odnotowano aż 387 przypadków związanych z przejęciem tożsamości. Mimo to, prawo polskie bardzo mało mówi o tym przestępstwie. Brak jest m. in. legalnej definicji kradzieży tożsamości.
Czym jest kradzież tożsamości
Definicję taką można znaleźć w dokumencie Komisji Wspólnot Europejskich „W kierunku ogólnej strategii zwalczania cyberprzestępczości” z 22 maja 2007, w którym kradzież tożsamości to „wykorzystywanie identyfikujących danych personalnych np. numer karty kredytowej, jako narzędzia do popełnienia innych przestępstw”.
Kradzież tożsamości zdefiniowana została także w amerykańskiej ustawie o kradzieży tożsamości (ID Theft Act z 1998 roku). Wg tej ustawy kradzież tożsamości jest to „świadome transferowanie, posiadanie lub użycie bez upoważnienia informacji służących do identyfikacji innej osoby w celu popełniania czynu zabronionego przez prawo federalne, stanowe lub lokalne.”
Jeżeli chodzi o prawo polskie, to przestępstwo kradzieży tożsamości można rozpatrywać na gruncie Ustawy o ochronie danych osobowych z 29 sierpnia 1997 oraz przepisów Kodeku Karnego z 6 czerwca 1997.
Dane osobowe wg ustawy są to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”.
Odpowiedzialność karna za kradzież tożsamości
Kodeks karny odnosi się bezpośrednio do przestępstwa kradzieży tożsamości w art. 190a §2 -Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej (kara pozbawienia wolności do lat 3). Zawiera także inne przepisy pozwalające ścigać sprawców tegoż przestępstwa. Będą miały tu zastosowanie przepisy rozdziału 33 i 34- przestępstwa przeciwko ochronie informacji jak i przestępstwa przeciwko wiarygodności dokumentów, w tym w szczególności:
-art. 267 –Karze pozbawienia wolności podlegają osoby, które bez uprawnienia uzyskują dostęp do informacji dla nich nieprzeznaczonej, (…) w tym w szczególności poprzez przełamanie albo ominięcie (…) informatycznych zabezpieczeń; uzyskały dostęp do całości lub części systemu informatycznego;
-art. 268 –Karze pozbawienia wolności podlegają osoby, które nie będąc do tego uprawnione, niszczą, uszkadzają, usuwają lub zmieniają zapis informatyczny istotnej informacji albo w istotny sposób udaremniają lub znacznie utrudniają osobie uprawnionej zapoznanie się z nią;
-art. 269a –Karze pozbawienia wolności podlegają osoby, które nie będąc do tego uprawnione, poprzez transmisję, zniszczenie, usunięcie, uszkodzenie utrudniają dostęp lub zmianę danych informatycznych, w istotnym stopniu zakłócają pracę systemu komputerowego lub sieci teleinformatycznej;
-art. 269b –Karze pozbawienia wolności podlega również osoba, która wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełniania innych przestępstw, a także hasła komputerowe , kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej.
-art. 270 KK stanowi, iż każdy, kto w celu użycia za autentyczny, podrabia, przerabia lub takiego dokumentu jako autentycznego używa podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności od 3 miesięcy do lat 5.
Definicja „dokumentu” zawarta jest w art. 115 § 14 KK. Jest to każdy przedmiot lub zapis na komputerowym nośniku informacji, którym jest związane określone prawo albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne. Na tej podstawie można więc stwierdzić, że dokument sfałszować można również w systemie teleinformatycznym np. zmieniając treść maila. Sąd Najwyższy stwierdził, że dokument jest podrobiony jeżeli nie pochodzi od osoby w imieniu, której został sporządzony. Orzeczenie to jest zatem podstawą do karania za tworzenie maili łudząco podobnych do rozsyłanych np. przez banki.
Zgodnie z art.275 KK -karze pozbawienia wolności do lat 2 podlega osoba, która posługuje się dokumentem stwierdzającym tożsamość innej osoby. Ochronie podlega zatem pewność obrotu prawnego, wiarygodność występujących w nim dokumentów stwierdzających tożsamość danej osoby, porządek prawny w zakresie obowiązku posiadania dokumentu tożsamości, związany z posługiwaniem się dokumentami stwierdzającymi tożsamość oraz sam dokument stwierdzający tożsamość. W obowiązujących przepisach „dokument stwierdzający tożsamość” nie jest zdefiniowany. Wg art. 275 KK -za taki dokument można uznać każdy dokument, także w postaci elektronicznej, który poświadcza naszą tożsamość.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Jak ochronić się przed kradzieżą tożsamości
Z badań TNS OBOP wynika, że aż 7% Polaków padło ofiarą kradzieży tożsamości. Jest to z kolei 29,95% wszystkich incydentów zanotowanych w 2009 roku.
Przestępcy dokonujący kradzieży tożsamości wykorzystują coraz bardziej urozmaicone metody pozyskiwania poufnych informacji takie jak wirusy komputerowe, robaki, konie trojańskie oraz tzw. techniki inżynierii społecznej (techniki wykorzystujące naiwność i niewiedzę innych użytkowników Internetu). Często stosowaną techniką jest zachęcenie potencjalnej ofiary do zalogowania się na podrobionej, łudząco podobnej do oryginalnej stronie internetowej (często narażone na takie ataki są banki) i pozyskanie w ten sposób danych ofiary- tzw. phishing.
Od 2007 roku rozwijają się techniki oparte na złośliwym oprogramowaniu takim jak Mebroot czy ZEUS, które wykradają dane wpisywane do poprawnego serwisu transakcyjnego czy strony banku. Oprogramowania tego typu ciągle ewoluują, obecnie umożliwiają nawet zmianę numeru konta docelowego w momencie dokonywania transakcji, w wyniku czego środki trafiają bezpośrednio na konto przestępcy.
Pomimo stosowania różnych metod zabezpieczeń chroniących przed przestępcami, takich jak loginy, hasła, kody jednorazowe, tokeny, hasła sms-owe, podpisy elektroniczne- nie możemy czuć się do końca bezpieczni. Żadna z powyższych metod nie jest w stanie zagwarantować stu procentowego bezpieczeństwa oraz zidentyfikować osoby, która dokonuje transakcji bankowych. Bank nie jest w stanie stwierdzić czy to klient, czy ktoś, kto ukradł mu dane, dokonuje weryfikacji tożsamości.
Współczesny rozwój techniczny, umożliwia wprowadzenie zabezpieczenia, które w znacznym stopniu powinno ograniczyć przypadki kradzieży tożsamości w bankowości internetowej, mianowicie identyfikacji opartej na cechach biometrycznych. Dostęp do konta możliwy będzie po uprzedniej autoryzacji cechy biometrycznej zapisanej na karcie chipowej z wzorem przyłożonym do specjalnego czytnika na odcisk palca, układ żył palca czy dłoni. Choć metoda ta gwarantuje jak dotąd najwyższy poziom bezpieczeństwa uniemożliwiając przypadkowe przejęcie cechy biometrycznej, pamiętać należy, iż nie wyeliminuje ona całkowicie kradzieży tożsamości. Przestępcy trudniący się przejmowaniem tożsamości z czasem niewątpliwie znajdą sposób na ominięcie zabezpieczeń. Jednak będzie to wymagało dużego nakładu czasu i pieniędzy. Pocieszające jest więc to, iż tylko niewielka grupa przestępców będzie mogła sobie na to pozwolić.
Nie możemy zatem uznać się za całkowicie bezpiecznych w Internecie. Zawsze znajdzie się ktoś czyhający na chwilę naszej nieuwagi aby przejąć nasze dane. Musimy zachować w związku z tym najwyższy poziom ostrożności i uwagi oraz dochować należytej staranności ochrony naszych poufnych danych przy korzystaniu m. in. z bankowości internetowej.
Profesjonalne wsparcie
Mamy nadzieję, że artykuł był dla Ciebie pomocny. Chętnie pomożemy wdrożyć w Twojej organizacji system ochrony danych odporny na kradzieże tożsamości.
Zobacz, w jaki sposób możemy Ci pomóc:
Artykuł na podstawie opracowania autorstwa Katarzyny Oksiędzkiej.
Źródło: Internet Ochrona własności i bezpieczeństwa. Pod red. Grażyny Szpor. Warszawa: Wydawnictwo C.H. Beck, 2011, ISBN 978-83-225-2601-6, s. 399-407
8 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
A co zrobić jeśli osoba którą oszukano w sieci (działając na jej naiwności a osoba która oszukała podszywała się pod pracownika firmy – znanej agencji pracy) zgłosiła takie przedstępstwo na policji a oni zamiast coś zrobić umożyli sprawę? Pytam gdyż byłam oszukana, musiałam wymienić dowód osobisty i otwarto na mnie nowy rachunek bankowy – zamknęłam go zaraz po złożeniu doniesienia na policji.
Pierwszym krokiem jaki należy podjąć w przypadku kradzieży tożsamości jest złożenie zawiadomienia o popełnieniu przestępstwa, o którym mowa w art. 190a § 2 Kodeksu karnego, tj. przestępstwa polegającego na podszywaniu się pod inną osobę, wykorzystując jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej. Może zdarzyć się, tak jak w Pani przypadku, że policja umorzy postępowanie. Na postanowienie o umorzeniu dochodzenia przysługuje zażalenie, które należy złożyć w terminie 7 dni od dnia jego doręczenia. Istnieje również możliwość wytoczenia powództwa na drodze cywilnej. Należy wówczas wnieść do sądu okręgowego właściwego według Pani miejsca zamieszkania pozew o naruszenie dóbr osobistych, których przykładowe wyliczenie zawiera art. 23 kodeksu cywilnego. Proszę zwrócić uwagę na to, aby pozew spełniał wymogi określone w art. 126 § 1 i § 2 oraz 187 kodeksu postępowania cywilnego. Co ważne, na Pani, jako na powodzie, ciążyć będzie obowiązek udowodnienia, że doszło do naruszenia istniejącego dobra. Katalog roszczeń przysługujących w zależności od tego czy dobro zostało zagrożone cudzym działaniem czy doszło do jego naruszenia określony został w art. 24 k.c.
Na policję można sobie zgłaszać. Oni w zasadzie są od wlepiania mandatów za wykroczenia, a nie od ścigania przestępców. Policja na wniosek prokuratury ściga przestępców. No chyba że trafi się jakiś żółtodziób po szkole w Szczytnie i chce przydziobać. Reszta czy kogoś podejrzewają czy nie idzie z automatu do umorzenia, w razie odwołania zasłonią się brakiem brakiem dowodów, dobrem śledztwa, albo zwyczajnie nie wykryciem przestępcy.
A wszystko sprowadza się do jednego przysłowiowego „odwal się”.
zostałem pomówiony w Internecie Na jednym z forów ktoś zarejestrował nick używając mojego imienia i nazwiska oraz podał , że jest pracownikiem mojej firmy. Jestem jedynym pracownikiem firmy o takich danych czy można to zakwalifikować jako kradzież tożsamości. Nadmieniam , że złożyłem stosowne zawiadomienie o pomówienie i zniesławienie określone w art. 212 i 216 kk
A jakie konsekwencje poniesie firma która poinformowała mnie że w wyniku ataku hakerskiego wykradziono moje dane osobowe? Przecież w regulaminie miała informację że moje dane są bezpieczne. Czy mogę żądać odszkodowania od firmy?
Ma Pan dwie możliwości „ukarania” takiej firmy.
Pierwsza z nich, to działania Prezesa Urzędu Ochrony Danych Osobowych – od momentu wejścia w życie przepisów RODO (więcej o RODO znajdzie Pan tutaj: administrator danych, któremu dane wyciekną, może odpowiadać w kwocie nawet do 4% obrotu rocznego.
Oczywiście to absolutny maks. wysokości kary. Realna kwota zależałaby od skali wycieku, czy wyciekły Pana dane wrażliwe, czy wyciekowi dałoby się zapobiec stosując lepsze zabezpieczenia etc.
Kara zasila budżet państwa.
Może Pan też domagać się w takiej sytuacji zadośćuczynienia drogą cywilnoprawną. Czyli standardowe roszczenie cywilnoprawne. Kwota zależy od tego jakie konkretnie dane wyciekły i jak dużą poniósł Pan w związku z tym szkodę.
A co w przypadku jeśli kolekcjonując dane kontaktowe firm utworze sobie swoją bazę tych firm, np. katalog firm budowlanych z ich numerami telefonu, które udostępnili na stronie internetowej? Czy jes tto legalne tworzenie bazy firm?
Dzień dobry 🙂 dopóki są to dane firmowe działamy legalnie. Sytuacja się zmienia jeśli możemy zidentyfikować konkretną osobę. Wykorzystywanie takich danych do przedstawiania np. ofert handlowych jest już ryzykownym posunięciem i wymaga analizy Należy pamiętać, że w tym zakresie obowiązują też inne przepisy niż RODO. Zapraszamy do lektury naszego artykułu https://blog-daneosobowe.pl/kontakt-marketingowy-zgodny-z-prawem-pytanie-o-zgode-na-marketing/