14 lutego 2023 r. na posiedzeniu Rady Ministrów przyjęty został projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej (UD402). Jego celem jest redukcja przypadków nadużyć w komunikacji elektronicznej. Zaprojektowane w resorcie cyfryzacji przepisy przewidują, że przedsiębiorcy telekomunikacyjni będą musieli zwalczać takie nadużycia, jak generowanie sztucznego ruchu, smishing, CLI spoofing czy nieuprawniona zmiana informacji adresowej. Natomiast dostawcy poczty elektronicznej, dla co najmniej 500 tys. użytkowników lub podmiotów publicznych, będą stosowali mechanizm uwierzytelnienia poczty elektronicznej.
SPF, DMARC oraz DKIM
Zgodnie z przepisami projektu (konkretnie jego art. 17 ust. 2) nakłada na podmioty publiczne obowiązek korzystania z poczty elektronicznej wykorzystującej mechanizmy: SPF (Sender Policy Framework), DMARC (Domainbased Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail).
Mechanizm SPF (Sender Policy Framework) polega on na wpisaniu w DNS odpowiedniego rekordu, w którym wskazane zostaną adresy IP lub nazwy domenowe serwera, które mogą wysyłać pocztę elektroniczną z danej domeny. Serwer pocztowy odbiorcy, odbierając wiadomość, sprawdza, czy adres IP lub nazwa domenowa serwera, z których została wysłana wiadomość, zgadza się z rekordem SPF dla danej domeny. Jeżeli nie, to taka wiadomość może być oznaczona jako spam albo zablokowana przez serwer odbiorcy.
Z kolei mechanizm DKIM (DomainKeys Identified Mail) pozwala na cyfrowe podpisanie wiadomości email pochodzącej z konkretnej domeny. Klucz publiczny, niezbędny do uwierzytelnienia wiadomości, zostanie zawarty w odpowiednim rekordzie DNS, właściwym dla danej domeny. Sprawdzając podpis, serwer odbiorcy jest w stanie sprawdzić, czy wiadomość nie została zmodyfikowania podczas przesyłania. Jeżeli klucz publiczny nie pasuje klucza prywatnego, którym została podpisana do otrzymana wiadomość, oznacza to jej nieuprawnioną modyfikację .
Mechanizm DMARC (Domainbased Message Authentication Reporting and Conformance) korzysta z dwóch poprzednich mechanizmów. Pozwala on na uwierzytelnienie wiadomości email, określenie zalecanych działań, które ma podjąć serwer odbiorcy z wiadomością, która nie zostanie uwierzytelniona, zbiera także informacje o wiadomościach wysłanych z konkretnych domen. Dzięki temu może automatycznie przekazywać administratorom tych domen raporty o nieuprawnionym wykorzystaniu tych domen do przesłania fałszywych wiadomości.
Prezes UKE skontroluje i ukarze
Art. 17 ust. 3 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej przyznaje prezesowi Urzędu Komunikacji Elektronicznej uprawnienie do kontrolowania, czy dany podmiot publiczny realizuje obowiązek zapewnienia odpowiedniego skonfigurowania poczty elektronicznej. Ponadto przepisy projektu przyznają prezesowi UKE kompetencję do nakładania na kierowników podmiotów publicznych kary pieniężnej za brak skonfigurowania odpowiedniego standardu poczty elektronicznej. Zgodnie bowiem z proponowaną treścią art. 20 ust. 7 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej „Prezes UKE może, w drodze decyzji, nałożyć karę pieniężną na kierownika podmiotu publicznego, jeżeli nie został wykonany obowiązek, o którym mowa w art. 17 ust. 2. Kara pieniężna nakładana jest w wysokości do jednokrotności przeciętnego wynagrodzenia w gospodarce narodowej, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego, w ostatnim komunikacie, o którym mowa w art. 20 pkt 1 lit. a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (Dz. U. z 2022 r. poz. 504, 1504 i 2461).”.
Projekty doprecyzowany na wniosek strony samorządowej KWRiST
Przepisy projektu nakładające sankcję osobistą na kierownika podmiotu publicznego (np. wójta, burmistrza, prezydenta miasta) budziły od samego początku kontrowersje strony samorządowej Komisji Wspólnej Rządu i Samorządu Terytorialnego. M.in. Unia Metropolii Polskich podnosiła, że nie ma uzasadnienia aby każe podlegał kierownik podmiotu publicznego. Skoro obowiązek, o którym mowa w art. 17 ust, 2 projektu spoczywa na podmiocie publicznym, to i kara za jego niespełnienie powinna być nakładana na podmiot, a nie jego kierownika. Unia Metropolii Polskich domagała się także doprecyzowania, że do nakładania kary, o której mowa w art. 20 ust. 7 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej stosuje się przepisy Działu IVa Kodeksu postępowania administracyjnego „Administracyjne kary pieniężne”.
Takie rozwiązanie jest w pełni uzasadnione, ponieważ zgodnie z art. 189b kodeksu postepowania administracyjnego „Przez administracyjną karę pieniężną rozumie się określoną w ustawie sankcję o charakterze pieniężnym, nakładaną przez organ administracji publicznej, w drodze decyzji, w następstwie naruszenia prawa polegającego na niedopełnieniu obowiązku albo naruszeniu zakazu ciążącego na osobie fizycznej, osobie prawnej albo jednostce organizacyjnej nieposiadającej osobowości prawnej.”.
Wyjaśnione w uzasadnieniu
Ostatecznie resort cyfryzacji zawarł stosowne wyjaśnienie w uzasadnieniu projektu (zgodnie z postulatem przedstawionym przez Unię Metropolii Polskich).
W treści uzasadnienia wskazał po pierwsze, że odpowiedzialność kierownika podmiotu w myśl tego przepisu jest odpowiedzialnością na zasadzie winy. Po drugie, że do postępowania w sprawie nałożenia kar pieniężnych (o których mowa w art. 20 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej) będą stosowane przepisy działu IVa („Administracyjne kary pieniężne”) Kodeks postępowania administracyjnego.
Ponadto w treści uzasadnienia resort cyfryzacji wskazał, że dział IVa Kodeksu postępowania administracyjnego reguluje między innymi: przesłanki nakładania administracyjnej kary pieniężnej, przesłanki odstąpienia od kary i skutki naruszenia prawa wywołanego działaniem siły wyższej. „Niniejszy projekt ustawy nie wyłącza tych przepisów. Nakładając karę administracyjną pieniężną organ właściwy zobowiązany jest zatem stosować przepisy KPA.” – czytamy w uzasadnieniu projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
W konsekwencji do prowadzonych przez prezesa UKE postepowań w sprawie kar o których mowa w art. 20 ust. 7 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej zastosowanie znajdą zarówno przesłanki wymiaru kary, wskazane w art. 189d Kodeksu postępowania administracyjnego, jak również wskazanie, że strona nie podlega ukaraniu, jeżeli naruszenie prawa spowodowane było działaniem siły wyższej (art. 189e Kodeksu postepowania administracyjnego). Prezes UKE będzie miał także możliwość odstąpienia od nałożenia administracyjnej kary pieniężnej w drodze decyzji i poprzestania na pouczeniu strony (art. 189f §1 Kodeksu postepowania administracyjnego). Prezes UKE będzie miał także możliwość wyznaczyć kierownikowi podmiotu publicznego (w drodze postanowienia) termin na przedstawienie dowodów potwierdzających usunięcie naruszenia prawa lub powiadomienia właściwych podmiotów o stwierdzonym naruszeniu prawa. Prezes Urzędu Komunikacji Elektronicznej, będzie mógł tak zrobić, jeżeli uzna, że będzie to lepsze ze względu na cele, dla których kara miała być nałożona. Po przedstawieniu dowodów wykonania tych czynności prezes UKE będzie miał możliwość odstąpienia od wymierzenia kary, o której mowa w art. 20 ust. 7 projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.