Z badań TNS OBOP wynika, że aż 7% Polaków padło ofiarą kradzieży tożsamości.

Raport przygotowany przez Dynamics Markets Limited UK mówi o tym, iz 17% z dorosłych Polaków padło ofiarą kradzieży tożsamości, a 46% zostało okradzionych ze środków znajdujących się na rachunkach bankowych.Kradzież tożsamości, określana również jako defraudacja, fałszerstwo, czy też przejmowanie tożsamości jest przestępstwem internetowym dotykającym coraz większą grupę osób. W 2009 roku odnotowano aż 387 przypadków związanych z przejęciem tożsamości. Mimo to, prawo polskie bardzo mało mówi o tym przestępstwie. Brak jest m. in. legalnej definicji kradzieży tożsamości.

Definicję taką można znaleźć w dokumencie Komisji Wspólnot Europejskich „W kierunku ogólnej strategii zwalczania cyberprzestępczości” z 22 maja 2007, w którym kradzież tożsamości to „wykorzystywanie identyfikujących danych personalnych np. numer karty kredytowej, jako narzędzia do popełnienia innych przestępstw”.

Kradzież tożsamości zdefiniowana została także w amerykańskiej ustawie o kradzieży tożsamości (ID Theft Act z 1998 roku). Wg tej ustawy kradzież tożsamości jest to „świadome transferowanie, posiadanie lub użycie bez upoważnienia informacji służących do identyfikacji innej osoby w celu popełniania czynu zabronionego przez prawo federalne, stanowe lub lokalne.”

Jeżeli chodzi o prawo polskie, to przestępstwo kradzieży tożsamości można rozpatrywać na gruncie Ustawy o ochronie danych osobowych z 29 sierpnia 1997 oraz przepisów Kodeku Karnego z 6 czerwca 1997.

Dane osobowe wg ustawy są to

„wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”.

Kodeks karny odnosi się bezpośrednio do przestępstwa kradzieży tożsamości w art. 190a §2 -Tej samej karze podlega, kto, podszywając się pod inną osobę, wykorzystuje jej wizerunek lub inne jej dane osobowe w celu wyrządzenia jej szkody majątkowej lub osobistej (kara pozbawienia wolności do lat 3). Zawiera także inne przepisy pozwalające ścigać sprawców tegoż przestępstwa. Będą miały tu zastosowanie przepisy rozdziału 33 i 34- przestępstwa przeciwko ochronie informacji jak i przestępstwa przeciwko wiarygodności dokumentów, w tym w szczególności:

-art. 267 -Karze pozbawienia wolności podlegają osoby, które bez uprawnienia uzyskują dostęp do informacji dla nich nieprzeznaczonej, (…) w tym w szczególności poprzez przełamanie albo ominięcie (…) informatycznych zabezpieczeń; uzyskały dostęp do całości lub części systemu informatycznego;

-art. 268 -Karze pozbawienia wolności podlegają osoby, które nie będąc do tego uprawnione, niszczą, uszkadzają, usuwają lub zmieniają zapis informatyczny istotnej informacji albo w istotny sposób udaremniają lub znacznie utrudniają osobie uprawnionej zapoznanie się z nią;

-art. 269a -Karze pozbawienia wolności podlegają osoby, które nie będąc do tego uprawnione, poprzez transmisję, zniszczenie, usunięcie, uszkodzenie utrudniają dostęp lub zmianę danych informatycznych, w istotnym stopniu zakłócają pracę systemu komputerowego lub sieci teleinformatycznej;

-art. 269b -Karze pozbawienia wolności podlega również osoba, która wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełniania innych przestępstw, a także hasła komputerowe , kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej.

-art. 270 KK stanowi, iż każdy, kto w celu użycia za autentyczny, podrabia, przerabia lub takiego dokumentu jako autentycznego używa podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności od 3 miesięcy do lat 5.

Definicja „dokumentu” zawarta jest w art. 115 § 14 KK. Jest to każdy przedmiot lub zapis na komputerowym nośniku informacji, którym jest związane określone prawo albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne. Na tej podstawie można więc stwierdzić, że dokument sfałszować można również w systemie teleinformatycznym np. zmieniając treść maila. Sąd Najwyższy stwierdził, że dokument jest podrobiony jeżeli nie pochodzi od osoby w imieniu, której został sporządzony. Orzeczenie to jest zatem podstawą do karania za tworzenie maili łudząco podobnych do rozsyłanych np. przez banki.

Zgodnie z art.275 KK -karze pozbawienia wolności do lat 2 podlega osoba, która posługuje się dokumentem stwierdzającym tożsamość innej osoby. Ochronie podlega zatem pewność obrotu prawnego, wiarygodność występujących w nim dokumentów stwierdzających tożsamość danej osoby, porządek prawny w zakresie obowiązku posiadania dokumentu tożsamości, związany z posługiwaniem się dokumentami stwierdzającymi tożsamość oraz sam dokument stwierdzający tożsamość. W obowiązujących przepisach „dokument stwierdzający tożsamość” nie jest zdefiniowany. Wg art. 275 KK -za taki dokument można uznać każdy dokument, także w postaci elektronicznej, który poświadcza naszą tożsamość.

Z badań TNS OBOP wynika, że aż 7% Polaków padło ofiarą kradzieży tożsamości. Jest to z kolei 29,95% wszystkich incydentów zanotowanych w 2009 roku.

Przestępcy dokonujący kradzieży tożsamości wykorzystują coraz bardziej urozmaicone metody pozyskiwania poufnych informacji takie jak wirusy komputerowe, robaki, konie trojańskie oraz tzw. techniki inżynierii społecznej (techniki wykorzystujące naiwność i niewiedzę innych użytkowników Internetu). Często stosowaną techniką jest zachęcenie potencjalnej ofiary do zalogowania się na podrobionej, łudząco podobnej do oryginalnej stronie internetowej (często narażone na takie ataki są banki) i pozyskanie w ten sposób danych ofiary- tzw. phishing

Od 2007 roku rozwijają się techniki oparte na złośliwym oprogramowaniu takim jak Mebroot czy ZEUS, które wykradają dane wpisywane do poprawnego serwisu transakcyjnego czy strony banku. Oprogramowania tego typu ciągle ewoluują, obecnie umożliwiają nawet zmianę numeru konta docelowego w momencie dokonywania transakcji, w wyniku czego środki trafiają bezpośrednio na konto przestępcy.

Pomimo stosowania różnych metod zabezpieczeń chroniących przed przestępcami, takich jak loginy, hasła, kody jednorazowe, tokeny, hasła sms-owe, podpisy elektroniczne- nie możemy czuć się do końca bezpieczni. Żadna z powyższych metod nie jest w stanie zagwarantować stu procentowego bezpieczeństwa oraz zidentyfikować osoby, która dokonuje transakcji bankowych. Bank nie jest w stanie stwierdzić czy to klient, czy ktoś, kto ukradł mu dane, dokonuje weryfikacji tożsamości.

Współczesny rozwój techniczny, umożliwia wprowadzenie zabezpieczenia, które w znacznym stopniu powinno ograniczyć przypadki kradzieży tożsamości w bankowości internetowej, mianowicie identyfikacji opartej na cechach biometrycznych. Dostęp do konta możliwy będzie po uprzedniej autoryzacji cechy biometrycznej zapisanej na karcie chipowej z wzorem przyłożonym do specjalnego czytnika na odcisk palca, układ żył palca czy dłoni. Choć metoda ta gwarantuje jak dotąd najwyższy poziom bezpieczeństwa uniemożliwiając przypadkowe przejęcie cechy biometrycznej, pamiętać należy, iż nie wyeliminuje ona całkowicie kradzieży tożsamości. Przestępcy trudniący się przejmowaniem tożsamości z czasem niewątpliwie znajdą sposób na ominięcie zabezpieczeń. Jednak będzie to wymagało dużego nakładu czasu i pieniędzy. Pocieszające jest więc to, iż tylko niewielka grupa przestępców będzie mogła sobie na to pozwolić.

Nie możemy zatem uznać się za całkowicie bezpiecznych w Internecie. Zawsze znajdzie się ktoś czyhający na chwilę naszej nieuwagi aby przejąć nasze dane. Musimy zachować w związku z tym najwyższy poziom ostrożności i uwagi oraz dochować należytej staranności ochrony naszych poufnych danych przy korzystaniu m. in. z bankowości internetowej.

Źródło: Internet Ochrona własności i bezpieczeństwa. Pod red. Grażyny Szpor. Warszawa: Wydawnictwo C.H. Beck, 2011, ISBN 978-83-225-2601-6, s. 399-407