Komentarza udzielił adwokat Marcin Jan Wachowski, założyciel i partner zarządzający Kancelarii Wachowski, działającej od 10 lat i specjalizującej się w prawie nowych technologii.  

Przestępcy musieli działać w tym przypadku dwuetapowo. W pierwszym kroku przełamali dostęp do rachunku bankowego pokrzywdzonego. W drugim kroku przejęli kontrolę nad kartą SIM, dzięki czemu mogli potwierdzić transakcję SMSem. 

Mamy tu niewątpliwie do czynienia nie tylko z naruszeniem ochrony danych osobowych, ale również z kradzieżą tożsamości, gdyż przestępcy w sposób nieuprawniony pozyskali dane konsumenta, a następnie wbrew prawu posłużyli się nimi w celu uzyskania korzyści majątkowej.   

Kradzież tożsamości kilka lat temu została wprost spenalizowana w kodeksie karnym. Zgodnie z dodanym w 2011 r. art. 190a § 2 kodeksu karnego za podszywanie się pod inną osobę poprzez wykorzystanie jej wizerunku lub innych danych osobowych grozi do trzech lat więzienia. Sprawca musi jednak działać w celu wyrządzenia jej szkody majątkowej lub osobistej, a ściganie sprawców następuje na wniosek pokrzywdzonego. 

Należy ustalić w jaki sposób doszło do przełamania zabezpieczeń bankowych, które są przecież mocno chronione. Czy w grę wchodzi złośliwe oprogramowanie, czy też tzw. phishing – czyli podszywanie się pod inną osobę. Gdy okaże się, że systemy nie zadziałały prawidłowo – trudno mówić o odpowiedzialności pokrzywdzonego. Dziwi również brak reakcji banku, który w przypadku szybkiego transferu dużych kwot – powinien bezzwłocznie skontaktować się z klientem w celu ich potwierdzenia. Banki mają również możliwość szybkiej blokady dalszych transferów, zanim pieniądze nie zostaną wypłacone z bankomatów lub wytransferowane do giełd kryptowalut. 

Z kolei karta SIM służy nie tylko do prowadzenia rozmów telefonicznych, wysyłania SMSów czy transmisji danych, ale również do korzystania z szeregu usług elektronicznych, takich jak właśnie autoryzowanie przelewów bankowych. Operator jako profesjonalny dostawca usług zobowiązany jest do szczególnej ochrony dostępu do karty SIM, danych osobowych użytkownika, które są objęte również tajemnicą telekomunikacyjną.  

Operatorowi sieci komórkowej można zarzucić co najmniej brak należytej ostrożności, która doprowadziła do powstania szkody. Duplikat karty SIM został wydany nieuprawnionej osobie, doszło zatem do kradzieży tożsamości. Jednocześnie operator naruszył zasady ochrony danych osobowych, udostępniając nośnik i narzędzie do dostępu do danych przestępcom. Czy pracownicy obsługi klienta w salonie operatora prawidłowo zweryfikowali tożsamość podszywającej się pod klienta osoby? W jaki sposób wylegitymowano te osoby?  

Pokrzywdzony może zatem dochodzić odszkodowania zarówno od banku (gdy zabezpieczenia nie zadziałały prawidłowo) jak i od operatora telekomunikacyjnego. Zgodnie z nowymi regulacjami RODO już samo nieuprawnione udostępnienie danych osobowych i wywołanie tym szkody daje odrębną podstawę do dochodzenia odszkodowania. Operatora może również dotyczyć odpowiedzialność administracyjna przed nowo utworzonym Urzędem Ochrony Danych Osobowych, który ma prawo do nakładania kar w wysokości nawet do 20 mln euro lub równowartości 4% światowego obrotu sprawcy naruszenia. 

Według danych Biura Informacji Kredytowej w 2015 roku odnotowano prawie 8000 prób kradzieży tożsamości, przy czym można się spodziewać wzrostu tej niekorzystnej tendencji w przyszłości. Pamiętajmy, aby nigdy nie udostępniać nikomu naszego dowodu osobistego lub innego dowodu tożsamości i unikać jego kopiowania czy fotografowania. Zatrzymanie, np. w celu zastawu dowodu osobistego zgodnie z ustawą o dowodach osobistych jest wykroczeniem karanym grzywną lub ograniczeniem wolności.