Krótko i na temat, ale na etapie wstępnego projektu przepisów pozwalających na zastrzeżenie numer PESEL SIM swapping dostrzeżony nie został, ale w dokumencie, który właśnie trafił do Izby Poselskiej kwestii tej poświęcono nieco uwagi (projekt ustawy o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości).
A mianowicie, w dużym skrócie:
- zgodnie z projektowaną nowelizacją prawa telekomunikacyjnego każdy dostawca usługi telekomunikacyjnej będzie miał obowiązek, przed wydaniem duplikatu karty SIM, sprawdzić — w rejestrze zastrzeżeń numerów PESEL — czy aby klient nie ma zastrzeżonego numeru PESEL;
art. 60c ust. 1 prawa telekomunikacyjnego (projekt)
Dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany przed wydaniem kopii lub wtórnika karty lub innego urządzenia, służących do identyfikacji abonenta w publicznej sieci telekomunikacyjnej lub ich cyfrowego odwzorowania, do weryfikacji, (…) w rejestrze zastrzeżeń numerów PESEL (…) czy numer PESEL podany przez abonenta będącego osobą fizyczną (…) o ile abonent go podał, jest zastrzeżony.
- podchwytliwe pytanie: „o ile abonent podał” numer PESEL — a kiedy może nie podać? elementem obligatoryjnej rejestracji numerów na kartę przez abonentów będących osobami fizycznymi jest podanie numeru PESEL „jeżeli go posiada” (inne podmioty podają numer REGON lub KRS, cudzoziemcy rejestrują się numerem dokumentu tożsamości), więc zabezpieczenie przed SIM swapping dotyczyłoby jednak większości P.T. Czytelników;
- ciekawe: jeśli numer PESEL abonenta będzie zastrzeżony, operator… „odmawia wydania kopii lub wtórnika” karty SIM — nie bawi się w odbieranie oświadczeń („jestem świadom i chcę”), lecz po prostu odmawia, przeto jeśli klient będzie chciał sprawę załatwić, będzie musiał na ten moment odblokować się w rejestrze;
- jedyny wyjątek dotyczy sytuacji, kiedy system teleinformatyczny rejestru zastrzeżeń PESEL jest niedostępny przez dłużej niż 15 minut (miło, że prawodawca z góry przewiduje, że może być tango down) — w takim przypadku dostawca może odmówić spełnienia życzenia, ale może też ów wtórnik wydać, jednak „z zachowaniem należytej staranności przy weryfikacji tożsamości” abonenta;
- dla rozwiania wątpliwości: UKE będzie uprawiony nałożyć, na podmiot, który nie sprawdza danych abonentów w rejestrze, karę pieniężną w wysokości do 3% przychodu w poprzednim roku kalendarzowym (dodany art. 209 ust. 1(1) pkt 4 pt).
Dla jasności: wszystko to dopiero od 1 czerwca 2024 r., bo wprawdzie nadal część przepisów ma wejść w życie po nieśmiertelnym komunikacie o wdrożeniu — ale tutaj projektodawcy idą na pewnik.
Zamiast komentarza: wszystko ładnie-pięknie, ale zwracam uwagę, że prawo telekomunikacyjne ma wkrótce (?) odejść w niebyt — przecież zapowiadana jest kompleksowe prawo komunikacji elektronicznej — więc oby się nie okazało, że tu jest, a tam nie ma… (tak na szybko: wydaje mi się, że w projekcie pke tych regulacji brak…).
PS projektowi błyskawicznie nadano numer druku 3251.
(ujęcie czysto ilustracyjne, fot. Olgierd Rudak, CC-BY-SA 3.0)