Ustawa o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości przeszła już przez obie izby parlamentu, pozostał tylko podpis prezydenta. Nie powinna mu się nawet ręka zatrząść przy tym, bo to dobra ustawa. Mam tylko jedno zastrzeżenie, a w zasadzie nadal mam, bo argumentowałem go już z chwilą pojawienia się pomysłu zastrzegania numerów PESEL.
Pomysł na zastrzeganie numerów PESEL, by uchronić obywateli przez zaciąganiem kredytów przez przestępców w ich imieniu, zrodził się dokładnie rok temu - 11 lipca 2022 roku. Pisałem Wam o tym dzień później w tekście - Numery PESEL wszystkich Polaków powinny zostać zablokowane. To jedyny sposób na wyłudzenia kredytów.
Pochwaliłem od razu ten pomysł, z jednym zastrzeżeniem, iż metoda ta będzie najskuteczniejsza wtedy, kiedy numery PESEL będą domyślnie zastrzeżone dla wszystkich obywateli - przecież służy to tylko tej czynności, niczemu innemu - blokadą zaciągnięcia kredytu bez naszej wiedzy i zgody. Zacytuję z tego mojego tekstu tylko ten fragment:
Dobry kierunek, ale miną kolejne lata zanim dowiedzą się o tej bazie wszyscy obywatele. Dlaczego więc nie zablokować od razu wszystkich numerów PESEL na zaciąganie kredytów? Przecież wszyscy mamy numer PESEL. Jak przyjdzie każdemu z nas wziąć taki kredyt, dowiemy się o tym fakcie i wówczas będziemy mogli na tę chwilę odblokować sobie go. Sposobów na to jest wiele, przez aplikację lub serwis transakcyjny banku czy choćby przez aplikację mObywatel.
Z jednej strony wiem, z czego to wynika - rząd zapewne obawiał się protestów, że to zamach na wolność obywateli, itp., ale umówmy się - byłoby tak tylko, jakbyście jednocześnie nie mogli w kilka sekund tej blokady wyłączyć.
Kolejna rzecz, kto najbardziej narażony jest na zaciąganie kredytów w swoim imieniu przez przestępców? Nie Wy, zapewne też nie Wasi bliscy, których już uczuliliście na takie ataki. Najczęściej ofiarami padają osoby starsze, nietechniczne i mało zaznajomione z zagrożeniami w sieci oraz bez wsparcia takich osób jak Wy.
Zatrzymajmy się tu na chwilę, i spójrzmy co mówi o tym branża za pośrednictwem serwisu Cashless.pl:
Jednak eksperci od bezpieczeństwa podkreślają, że uruchomienie systemu zastrzegania numerów PESEL nie oznacza, że problemy ze skutkami kradzieży tożsamości przestaną zupełnie istnieć. Nie zabezpieczy on bowiem przed sytuacją, gdy np. klient zmanipulowany przestępczą socjotechniką samodzielnie rezygnuje z zastrzeżenia, zaciąga pożyczkę i przelewa środki na rachunek złodziei, myśląc, że pomaga w ten sposób policji ścigającej oszustów. Istnieje też ryzyko, że przestępcy obejdą system, kradnąc najpierw dane umożliwiające deaktywowanie zastrzeżenia.
Jak dla mnie to jest zbitek różnych ataków, skondensowany w kilku zdaniach. Moim zdaniem, jak je rozbijemy na poszczególne próby przestępcze odkryjemy, iż w każdej z nich zastrzeżony numer PESEL może ochronić ofiary przed ich skutkami - jeśli nie w 100%, to w znacznej mierze.
Przede wszystkim, to głównie już przestępcy zaciągają pożyczkę w imieniu ofiary. Zgadza się, że przy użyciu socjotechniki w wielu przypadkach uzyskują już dostęp do bankowości elektronicznej swoich ofiar, czyszczą konto, ale jeszcze większe spustoszenie robią właśnie tymi kredytami. Jak namówić w tym celu ofiarę do wyłączenia zastrzeżenia numeru PESEL, gdzie panel ten naszpikowany jest informacjami do czego to służy? Podobnie trudno będzie namówić do osobistego odblokowania go w urzędzie gminy - zbyt dużo czasu i zbyt duże ryzyko wpadki i niepowodzenia całego ataku.
Z kolei wspomniane „ataki na policjanta” to namówienie ofiary do osobistej wypłaty środków w banku, tu jednak zapomina się o innym przepisie w tej samej ustawie - otóż osoby z zablokowanym numerem PESEL przy próbie wypłaty pieniędzy w placówce bankowej w kwocie przekraczającej trzykrotność minimalnego wynagrodzenia, otrzymają je dopiero 12 godzin po złożeniu takiej dyspozycji. To wystarczający czas na odkrycie oszustwa, a w najgorszym wypadku, w ten sposób straci ta osoba kilka tysięcy złotych, a nie kilkadziesiąt.
Nie zapominajmy też o innym przepisie w tej ustawie, otóż instytucje finansowe i firmy telekomunikacyjne będą mogły też zweryfikować zgodność fotografii w dowodzie osobistym z tą przechowywaną w Rejestrze Dowodów Osobistych - odpadną więc próby zaciągania kredytów na „kolekcjonerskie” dowody osobiste i ataki na „duplikat karty SIM”. Z chwilą, gdy do banku przychodzi przestępca z takim dowodem i wnioskuje o kredyt z zablokowanym numerem PESEL czy do telekomu z wnioskiem o wydanie duplikatu karty SIM, na pewno zostanie w ten sposób prześwietlony.
Prawdą jest natomiast co mówi branża, że opcja zastrzeżenia numeru PESEL rozpocznie ataki na zabezpieczenia rządowe, z tej prostej przyczyny, iż przestępcy będą chcieli uniknąć opisanych wyżej problemów już w trakcie ataku. To też tylko zmotywuje rząd do zwiększenia tych zabezpieczeń - już teraz jestem atakowany z każdej strony, jak źle wpiszę hasło do konta na gov.pl, jak wpiszę dobrze muszę to potwierdzić kodem z SMS lub w aplikacji mObywatel - powiadomienia push. Obywatel nie ma tej aplikacji, nie ma Profilu Zaufanego? To dobrze, przestępca nie ściągnie osobiście tej blokady. Jeśli ma, to będzie już sygnał - czerwona lub chociaż żółta lampka, że coś się niedobrego dzieje.
Tak więc mam nadzieję, iż z chwilą udostępnienia opcji blokady numeru PESEL w tej postaci i po pierwszych analizach skuteczności tego rozwiązania, z czasem rozszerzone zostanie ono o domyślną blokadę wszystkich numerów PESEL.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
