Dziś pełna ochrona danych osobowych jest niezwykle trudna, a do ich wycieku może dojść bez winy właściciela. Bezpiecznie jest więc założyć, że nasze dane prędzej czy później mogą trafić w niepowołane ręce. Czy to oznacza, że nie warto ich chronić? Wręcz przeciwnie! Wciąż należy przestrzegać kilku zasad, które pomogą w ograniczeniu skutków potencjalnego wycieku. Z okazji Europejskiego Dnia Ochrony Danych Osobowych, który obchodzimy 28 stycznia, Fundacja Rozwoju Rynku Finansowego radzi, jak zminimalizować ryzyko, że ktoś wykorzysta informacje o nas w niepożądanym celu.
Wyciek danych osobowych często wynika z naszej niefrasobliwości. Z Barometru Providenta, przygotowanego we współpracy z Fundacją Rozwoju Rynku Finansowego wynika, że co trzeci Polak jest gotowy udostępnić swoje dane osobowe w zamian za korzystną ofertę promocji. Czasem jednak nie mamy pełnej kontroli nad tym, gdzie trafią nasze dane. Każdego roku wzrasta liczba oszustw, które na dobre przeniosły się do przestrzeni wirtualnej. Jak podaje CERT, w 2021 roku zarejestrowano łącznie ponad 29 tys. unikalnych incydentów cyberbezpieczeństwa[1]. W porównaniu z 2020 rokiem oznacza to wzrost o 182 proc.
Phishing/vishing – nie złap się na wędkę
Najczęstszym typem ataku jest phishing – stanowił on w 2021 roku aż 76,57 proc. wszystkich incydentów cyberbezpieczeństwa. Na czym polega? Phishing to metoda oszustwa, w której przestępca mailowo podszywa się pod inną osobę w celu wyłudzenia informacji lub nakłonienia ofiary do określonych działań – na przykład do zainwestowania oszczędności w nieistniejące instrumenty finansowe. Coraz częściej oszuści bezpośrednio nakłaniają ofiary do wpłat, udając pracowników instytucji finansowych (w tym banków czy firm pożyczkowych), pracowników ZUS-u, lub doradców inwestycyjnych.
Metodę oszustwa, gdy przestępca np. podczas rozmowy telefonicznej podaje się za osobę, której dane można sprawdzić w Internecie, nazywamy vishingiem. Nie tak dawno, bo w styczniu 2023 roku, Urząd Komisji Nadzoru Finansowego ostrzegał przed oszustwem tego typu „na pracownika instytucji finansowej”. Do uwiarygodnienia użyto nazwiska prawdziwych pracowników sektora finansowego, które publicznie dostępne na listach lub w rejestrach prowadzonych przez KNF. Tego typu oszustwa mogą wiązać się z wyłudzeniem jednej z kluczowych danych – czyli numeru PESEL.
Popularną metodą oszustwa jest także spoofing, w tym jego telefoniczna wersja zwana Caller ID Spoofing. W jego ramach oszuści podszywają się pod dowolnie wybrany przez siebie numer – na ekranie potencjalnego poszkodowanego pojawia się numer telefonu lub nazwa podmiotu godnego zaufania – najczęściej banku lub instytucji państwowej. Dzwoniący próbują wyłudzić w ten sposób dane lub nakłonić do zainstalowania szkodliwego oprogramowania.
Co mówią o nas liczby?
Jedenastocyfrowy numer PESEL, choć nie należy do danych wrażliwych, jest jedną z kluczowych danych osobowych w rozumieniu przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Jednoznacznie identyfikuje osobę fizyczną – zawiera jej datę urodzenia, numer porządkowy, płeć oraz liczbę kontrolną. Podlega on ochronie, a jegoprzetwarzanie jest ściśle ograniczone. Pomimo tych środków ostrożności, to właśnie PESEL jest jedną z najczęściej wykradanych danych.
Dlaczego? Bo jest niezwykle użyteczny dla oszustów. PESEL to podstawowa dana osobowa, dzięki której przestępca może np. zawrzeć umowę na osobę, której numer posiada. Warto mieć też na uwadze, że sprawcami wielu wyłudzeń są osoby z najbliższego otoczenia – partnerzy, dzieci, rodzeństwo, współpracownicy i przyjaciele – takie oszustwo określamy jako „family fraud”.
Szczególną czujność należy zachować także wtedy, gdy numer PESEL podajemy osobie trzeciej w sytuacji pozornie bezpiecznej – np. podczas realizacji e-recepty w aptece. Nie można wykluczyć ryzyka, że dyktowany przez nas PESEL usłyszy osoba, która następnie wykorzysta go w niepożądany sposób. Choć zachowanie wzmożonej ostrożności jeszcze nikomu nie zaszkodziło, nie ma jednak powodów do paniki – sam PESEL nie wystarczy do zaciągnięcia na nas pożyczki. Dopiero w połączeniu z innymi danymi, takimi jak imię i nazwisko, adres oraz seria i numer dowodu osobistego, może stanowić zagrożenie.
Dane wyciekły – mleko się rozlało. Czy na pewno?
Co jednak zrobić, gdy podejrzewamy, że nasz numer PESEL trafił w niepowołane ręce, lub jest tym zagrożony? Co prawda nie ma możliwości zmiany tego numeru, ale istnieje kilka kroków, które mogą pomóc nam ochronić się przed negatywnymi skutkami wycieku.
W przypadku, gdy doszło do wycieku nie tylko PESEL-u, ale także numeru dowodu osobistego, w pierwszej kolejności należy zastrzec dowód osobisty w bazie dokumentów zastrzeżonych. Każdy bank i niemal każda firma pożyczkowa sprawdza tę bazę przed zawarciem umowy – jeśli więc nasz dokument widnieje w bazie, umowa nie może zostać zawarta. Dopiero następny krok to wymiana dokumentów w urzędzie gminy lub przez internet. Warto skorzystać także z dostępnych aktualnie na rynku prewencyjnych możliwości zastrzeżenia PESEL-u, które zablokują zaciągnięcie zobowiązania na nasze nazwisko. Do tych rozwiązań wkrótce dołączy propozycja Ministerstwa Cyfryzacji – nowe przepisy pozwolą każdemu obywatelowi na łatwe zastrzeganie numeru PESEL, zabezpieczając konsumenta jeszcze przed ewentualnym wyciekiem czy kradzieżą danych osobowych. Będzie to możliwe poprzez aplikację mObywatel, ale również w tradycyjnej formie, na piśmie, czy w dowolnym urzędzie gminy. Dzięki temu rozwiązaniu twój PESEL będzie chroniony na wypadek ataku, a ty będziesz mógł spać spokojnie.
Eksperci rynkowi pozytywnie wypowiadają się na temat proponowanego rozwiązania, jednocześnie zgłaszając uwagi, które pozwolą udoskonalić system. Postulują między innymi, aby blokada następowała w czasie rzeczywistym. Zgodnie z aktualną propozycją po odblokowaniu numeru w aplikacji minie jeden dzień, zanim możliwe będzie zawieranie kolejnych transakcji.
– Konsument, który dokonał zastrzeżenia PESEL, chcący dokonać nawet drobnego zakupu z wykorzystaniem kredytu ratalnego czy płatności odroczonych, nie będzie mógł dokonać transakcji w dniu, w którym cofnął zastrzeżenie, bowiem cofnięcie zastrzeżenia będzie skuteczne od dnia następującego po dniu jego dokonania – podkreśla prezes Fundacji Rozwoju Rynku Finansowego, Agnieszka Wachnicka.
Zarówno kradzież danych osobowych, jak i każda jej próba, to personalny stres dla człowieka, którego można uniknąć, korzystając z oferowanych rozwiązań. Przede wszystkim warto jednak pozostać czujnym i ostrożnym, kierować się zasadą ograniczonego zaufania oraz dbać o edukację w zakresie ochrony danych osobowych. Trzeba mieć na uwadze, że przestrzeń wirtualna to doskonałe schronienie dla oszustów – ilość firm, które zajmują się wyłudzaniem danych osobowych, na przykład pod pretekstem udzielenia pożyczki, cały czas rośnie. Listę ostrzeżeń przed firmami, które wyłudzają dane osobowe, zdjęcia dowodu osobistego lub przedpłaty, przygotowała Czerwona Skarbonka – aktualizowane na bieżąco zestawienie można znaleźć TUTAJ.
[1] Raport CERT Polska za 2021 r.; https://cyberpolicy.nask.pl/aktualnosci/raport-cert-polska-za-2021r/
