Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Kradzież tożsamości w Internecie

Z badań TNS OBOP wynika, że aż 7% Polaków padło ofiarą kradzieży tożsamości.

Raport przygotowany przez Dynamics Markets Limited UK mówi o tym, iz 17% z dorosłych Polaków padło ofiarą kradzieży tożsamości, a 46% zostało okradzionych ze środków znajdujących się na rachunkach bankowych.

Kradzież tożsamości, określana również jako defraudacja, fałszerstwo, czy też przejmowanie  tożsamości jest przestępstwem internetowym dotykającym coraz większą grupę osób. W 2009 roku odnotowano aż 387 przypadków związanych z przejęciem tożsamości. Mimo to, prawo polskie bardzo mało mówi o tym przestępstwie. Brak jest m. in. legalnej definicji kradzieży tożsamości.

Czym jest kradzież tożsamości

Definicję taką można znaleźć w dokumencie Komisji Wspólnot Europejskich „W kierunku ogólnej strategii zwalczania cyberprzestępczości” z  22 maja 2007, w którym kradzież tożsamości to „wykorzystywanie identyfikujących danych personalnych np. numer karty kredytowej, jako narzędzia do popełnienia innych przestępstw”.

Kradzież tożsamości zdefiniowana została także w amerykańskiej ustawie o kradzieży tożsamości (ID Theft Act z 1998 roku).  Wg tej ustawy kradzież tożsamości jest to „świadome transferowanie, posiadanie lub użycie bez upoważnienia informacji służących do identyfikacji innej osoby w celu popełniania czynu zabronionego przez prawo federalne, stanowe lub lokalne.”

Jeżeli chodzi o prawo polskie, to przestępstwo kradzieży tożsamości można rozpatrywać na gruncie Ustawy o ochronie danych osobowych z 29 sierpnia 1997 oraz przepisów Kodeku Karnego z 6 czerwca 1997.

Dane osobowe wg ustawy są to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników  określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”.

Odpowiedzialność karna za kradzież tożsamości

Kodeks karny odnosi się bezpośrednio do przestępstwa kradzieży tożsamości w art. 190a §2  -Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej (kara pozbawienia wolności do lat 3). Zawiera także inne przepisy pozwalające ścigać sprawców tegoż przestępstwa. Będą miały tu zastosowanie przepisy rozdziału 33 i 34- przestępstwa przeciwko ochronie informacji jak i przestępstwa przeciwko wiarygodności dokumentów, w tym  w szczególności:

-art. 267Karze pozbawienia wolności podlegają osoby, które bez uprawnienia uzyskują dostęp do informacji dla nich nieprzeznaczonej, (…) w tym  w szczególności poprzez przełamanie albo ominięcie (…) informatycznych zabezpieczeń; uzyskały dostęp do całości lub części systemu informatycznego;

-art. 268Karze pozbawienia wolności podlegają osoby, które nie będąc do tego uprawnione, niszczą, uszkadzają, usuwają lub zmieniają zapis informatyczny istotnej informacji albo w istotny sposób udaremniają lub znacznie utrudniają osobie uprawnionej zapoznanie się z nią;

-art. 269aKarze pozbawienia wolności podlegają osoby, które nie będąc do tego uprawnione, poprzez transmisję, zniszczenie, usunięcie, uszkodzenie utrudniają dostęp lub zmianę danych informatycznych, w istotnym stopniu zakłócają pracę systemu komputerowego lub sieci teleinformatycznej;

-art. 269bKarze pozbawienia wolności podlega również osoba, która wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełniania innych przestępstw, a także hasła komputerowe , kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej.

-art. 270 KK stanowi, iż każdy, kto w celu użycia za autentyczny, podrabia, przerabia lub takiego dokumentu jako autentycznego używa podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności od 3 miesięcy do lat 5.

Definicja „dokumentu” zawarta jest w art. 115 § 14 KK. Jest to każdy przedmiot lub zapis na komputerowym nośniku informacji,  którym jest związane określone prawo albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne. Na tej podstawie można więc stwierdzić, że dokument sfałszować można również w systemie teleinformatycznym  np. zmieniając treść maila. Sąd Najwyższy stwierdził, że dokument  jest podrobiony jeżeli nie pochodzi od osoby w imieniu, której został sporządzony. Orzeczenie to jest zatem podstawą do karania za tworzenie maili łudząco podobnych do rozsyłanych np. przez banki.

Zgodnie z art.275 KK -karze pozbawienia wolności do lat 2 podlega osoba, która posługuje się dokumentem stwierdzającym tożsamość innej osoby. Ochronie podlega zatem pewność obrotu prawnego, wiarygodność występujących w nim dokumentów stwierdzających tożsamość danej osoby, porządek prawny w zakresie obowiązku posiadania dokumentu tożsamości, związany z posługiwaniem się dokumentami stwierdzającymi tożsamość oraz sam dokument stwierdzający tożsamość. W obowiązujących przepisach „dokument stwierdzający tożsamość” nie jest zdefiniowany. Wg art. 275 KK -za taki dokument można uznać każdy dokument, także w postaci elektronicznej, który poświadcza naszą tożsamość.

Jak ochronić się przed kradzieżą tożsamości

Z badań TNS OBOP wynika, że aż 7% Polaków padło ofiarą kradzieży tożsamości. Jest to z kolei 29,95% wszystkich incydentów zanotowanych w 2009 roku.

Przestępcy dokonujący kradzieży tożsamości wykorzystują coraz bardziej urozmaicone metody pozyskiwania poufnych informacji takie jak wirusy komputerowe, robaki, konie trojańskie oraz tzw. techniki inżynierii społecznej (techniki wykorzystujące naiwność i niewiedzę innych użytkowników Internetu). Często stosowaną techniką jest zachęcenie potencjalnej ofiary do zalogowania się na podrobionej, łudząco podobnej do oryginalnej stronie internetowej (często narażone na takie ataki są banki) i pozyskanie w ten sposób danych ofiary- tzw. phishing.

Od 2007 roku rozwijają się techniki oparte na złośliwym oprogramowaniu takim jak Mebroot czy ZEUS, które wykradają dane wpisywane do poprawnego serwisu transakcyjnego czy strony banku. Oprogramowania tego typu ciągle ewoluują, obecnie umożliwiają nawet zmianę numeru konta docelowego w momencie dokonywania transakcji, w wyniku czego środki trafiają bezpośrednio na konto przestępcy.

Pomimo stosowania różnych metod zabezpieczeń chroniących przed przestępcami, takich jak loginy, hasła, kody jednorazowe, tokeny, hasła sms-owe, podpisy elektroniczne- nie możemy czuć się do końca bezpieczni. Żadna z powyższych metod nie jest w stanie zagwarantować stu procentowego bezpieczeństwa oraz zidentyfikować osoby, która dokonuje transakcji bankowych. Bank nie jest w stanie stwierdzić czy to klient, czy ktoś, kto ukradł mu dane, dokonuje weryfikacji tożsamości.

Współczesny rozwój techniczny, umożliwia wprowadzenie zabezpieczenia, które w znacznym stopniu powinno ograniczyć przypadki kradzieży tożsamości w bankowości internetowej, mianowicie identyfikacji opartej na cechach biometrycznych. Dostęp do konta możliwy będzie po uprzedniej autoryzacji cechy biometrycznej zapisanej na karcie chipowej z wzorem przyłożonym do specjalnego czytnika na odcisk palca, układ żył palca czy dłoni. Choć metoda ta gwarantuje jak dotąd najwyższy poziom bezpieczeństwa uniemożliwiając przypadkowe przejęcie cechy biometrycznej, pamiętać należy, iż nie wyeliminuje ona całkowicie kradzieży tożsamości. Przestępcy trudniący się przejmowaniem tożsamości z czasem niewątpliwie znajdą sposób na ominięcie zabezpieczeń. Jednak będzie to wymagało dużego nakładu czasu i pieniędzy. Pocieszające jest więc to, iż tylko niewielka grupa przestępców będzie mogła sobie na to pozwolić.

Nie możemy zatem uznać się za całkowicie bezpiecznych w Internecie. Zawsze znajdzie się ktoś czyhający na chwilę naszej nieuwagi aby przejąć nasze dane. Musimy zachować w związku z tym najwyższy poziom ostrożności i uwagi oraz dochować należytej staranności ochrony naszych poufnych danych przy korzystaniu m. in. z bankowości internetowej.

Artykuł na podstawie opracowania autorstwa Katarzyny Oksiędzkiej.

Źródło: Internet Ochrona własności i bezpieczeństwa. Pod red. Grażyny Szpor. Warszawa: Wydawnictwo C.H. Beck, 2011, ISBN 978-83-225-2601-6, s. 399-407

6 Odpowiedzi

  1. oszukana

    A co zrobić jeśli osoba którą oszukano w sieci (działając na jej naiwności a osoba która oszukała podszywała się pod pracownika firmy – znanej agencji pracy) zgłosiła takie przedstępstwo na policji a oni zamiast coś zrobić umożyli sprawę? Pytam gdyż byłam oszukana, musiałam wymienić dowód osobisty i otwarto na mnie nowy rachunek bankowy – zamknęłam go zaraz po złożeniu doniesienia na policji.

    1. Kancelaria Lex Artist

      Pierwszym krokiem jaki należy podjąć w przypadku kradzieży tożsamości jest złożenie zawiadomienia o popełnieniu przestępstwa, o którym mowa w art. 190a § 2 Kodeksu karnego, tj. przestępstwa polegającego na podszywaniu się pod inną osobę, wykorzystując jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej. Może zdarzyć się, tak jak w Pani przypadku, że policja umorzy postępowanie. Na postanowienie o umorzeniu dochodzenia przysługuje zażalenie, które należy złożyć w terminie 7 dni od dnia jego doręczenia. Istnieje również możliwość wytoczenia powództwa na drodze cywilnej. Należy wówczas wnieść do sądu okręgowego właściwego według Pani miejsca zamieszkania pozew o naruszenie dóbr osobistych, których przykładowe wyliczenie zawiera art. 23 kodeksu cywilnego. Proszę zwrócić uwagę na to, aby pozew spełniał wymogi określone w art. 126 § 1 i § 2 oraz 187 kodeksu postępowania cywilnego. Co ważne, na Pani, jako na powodzie, ciążyć będzie obowiązek udowodnienia, że doszło do naruszenia istniejącego dobra. Katalog roszczeń przysługujących w zależności od tego czy dobro zostało zagrożone cudzym działaniem czy doszło do jego naruszenia określony został w art. 24 k.c.

    2. Bolo

      Na policję można sobie zgłaszać. Oni w zasadzie są od wlepiania mandatów za wykroczenia, a nie od ścigania przestępców. Policja na wniosek prokuratury ściga przestępców. No chyba że trafi się jakiś żółtodziób po szkole w Szczytnie i chce przydziobać. Reszta czy kogoś podejrzewają czy nie idzie z automatu do umorzenia, w razie odwołania zasłonią się brakiem brakiem dowodów, dobrem śledztwa, albo zwyczajnie nie wykryciem przestępcy.
      A wszystko sprowadza się do jednego przysłowiowego “odwal się”.

  2. yndowaz

    zostałem pomówiony w Internecie Na jednym z forów ktoś zarejestrował nick używając mojego imienia i nazwiska oraz podał , że jest pracownikiem mojej firmy. Jestem jedynym pracownikiem firmy o takich danych czy można to zakwalifikować jako kradzież tożsamości. Nadmieniam , że złożyłem stosowne zawiadomienie o pomówienie i zniesławienie określone w art. 212 i 216 kk

  3. Tomasz

    A jakie konsekwencje poniesie firma która poinformowała mnie że w wyniku ataku hakerskiego wykradziono moje dane osobowe? Przecież w regulaminie miała informację że moje dane są bezpieczne. Czy mogę żądać odszkodowania od firmy?

    1. Kancelaria Lex Artist

      Ma Pan dwie możliwości “ukarania” takiej firmy.
      Pierwsza z nich, to działania Prezesa Urzędu Ochrony Danych Osobowych – od momentu wejścia w życie przepisów RODO (więcej o RODO znajdzie Pan tutaj: administrator danych, któremu dane wyciekną, może odpowiadać w kwocie nawet do 4% obrotu rocznego.
      Oczywiście to absolutny maks. wysokości kary. Realna kwota zależałaby od skali wycieku, czy wyciekły Pana dane wrażliwe, czy wyciekowi dałoby się zapobiec stosując lepsze zabezpieczenia etc.
      Kara zasila budżet państwa.

      Może Pan też domagać się w takiej sytuacji zadośćuczynienia drogą cywilnoprawną. Czyli standardowe roszczenie cywilnoprawne. Kwota zależy od tego jakie konkretnie dane wyciekły i jak dużą poniósł Pan w związku z tym szkodę.

Zostaw odpowiedź