Rewolucja cyfrowa wywarła niebagatelny wpływ na sposób funkcjonowania całego społeczeństwa. Dzięki rozwojowi technologicznemu wiele spraw i formalności urzędowych, jak choćby rozliczenia podatkowe, jesteśmy w stanie załatwić przez internet. Poza sprawami urzędowymi, zarówno w życiu prywatnym jak i zawodowym, każdy z nas ma możliwość (a w zależności od zawodu, czasem nawet musi) budować swój wizerunek przy użyciu mediów społecznościowych takich jak Twitter i LinkedIn. Za tymi wszystkimi udogodnieniami idzie także szereg relatywnie nowych zagrożeń, których każdy z nas może paść ofiarą. Zbiór danych osobowych, uzyskanych w sposób mniej lub bardziej nielegalny, może posłużyć do przestępstwa skutkującego nawet kradzieżą środków z konta bankowego. Współcześnie projektowane algorytmy są w stanie łatwo i niskim kosztem wygenerować przykładowo fałszywe zdjęcie imitujące zdefiniowaną przez użytkownika kompromitującą sytuację, co może posłużyć do zepsucia reputacji ofiary. Jak zatem możemy się przed tymi zagrożeniami obronić?
Tożsamość, a wizerunek
Zanim do tego przejdziemy, dla uproszczenia wyjaśnijmy różnice pomiędzy naszą tożsamością a wizerunkiem z perspektywy prawa. Na tożsamość w kontekście kradzieży składają się dane osobowe, takie jak imię, nazwisko, adres, pesel, data urodzenia, numer karty kredytowej, czy nawet hasło do jakiegokolwiek konta internetowego. Wizerunek także jest częścią tożsamości, na niego składa się z kolei podobizna osoby w postaci obrazu, lub zdjęcia, oraz sposób percepcji danej osoby przez innych, który natomiast sam w sobie nie jest chroniony prawnie w Polsce. Nietrudno sobie jednak wyobrazić sytuację gdzie spreparowane zdjęcie w szkodliwy sposób wpływa na percepcję danej osoby. Kradzieżą wizerunku określamy zatem nie tyle kradzież danych ile próbę podszycia się za daną osobę np. w mediach społecznościowych. Ofiarami kradzieży tożsamości niekoniecznie muszą być też osoby prywatne. W wyniku ataku wewnętrznego w firmach przestępcy mogą uzyskać dane kont do niej należących.
Przykłady kradzieży tożsamości i wizerunku
By uświadomić sobie skalę problemu, należałoby wyróżnić kilka poważniejszych przykładów, gdzie tego typu kradzieże rzeczywiście zaistniały, a także poznać szereg statystyk dotyczących tych przestępstw. W marcu 2023 roku Firma Javelin Strategy & Research przygotowała raport na temat kradzieży tożsamości dotyczących obywateli USA, gdzie ocenia łączne straty pieniężne spowodowane tym typem przestępstwa na 43 miliardy dolarów amerykańskich, ukradzionych od ok. 40 milionów ofiar. W Europie natomiast, według danych zebranych przez Finanso.se w 2018 i 2019 roku, ok. 19% europejczyków padło ofiarą kradzieży tożsamości (gdzie w większości byli to mieszkańcy Europy zachodniej), czyniąc je drugim najpopularniej stosowanym typem oszustwa.
Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) przygotowała raport na temat kradzieży tożsamości wykrytych od stycznia 2019 r. do kwietnia 2020 r., który punktuje kilka przykładów jak mogą wyglądać takie ataki. Wlicza się do nich:
- atak przez podszywanie się pod markę, gdzie np. podmiot podszywający się za firmę prosi nas o zalogowanie się korzystając z podrobionego formularza,
- atak przez podmianę tożsamości karty sim, gdzie oszust uzyskuje dostęp do telefonu ofiary, przez przekonanie operatora o przeniesienie numeru do “nowej” karty sim
- atak przez włamanie do poczty służbowej, gdzie oszust podszywa się za współpracownika, celem wyłudzenia danych. W 2019 roku proceder ten najczęściej był dokonywany przez nakłonienie do kupienia karty podarunkowej, gdzie w trakcie zakupu dochodzi do wymiany poufnych informacji.
- inne ataki przez phishing itp.
Nieco trudniej znaleźć informacje na temat samej kradzieży wizerunku, co oczywiście nie oznacza, że problem nie istnieje. Popularnym przykładem może tutaj być tak zwany catfishing, który polega na podszywaniu się pod inną osobę na portalu randkowym, w celu np. wyłudzenia pieniędzy.
Obrazy generowane za pomocą AI
Ostatnie trendy technologiczne także wprowadzają szereg kolejnych problemów i niepewności. Generowanie obrazów za pomocą AI za pomocą prostych narzędzi takich jak np. Midjourney pozwalają praktycznie każdemu wygenerować obraz ze sławną osobą w dowolnej sytuacji, wykorzystując jedynie opis tekstowy (prompt). Tak się stało, gdy jeden z użytkowników reddita wygenerował w Midjourney zdjęcie papieża Franciszka, w nietypowym młodzieżowym stroju. Obrazek szybko stał się tak zwanym viralem, tracąc po drodze popularności kontekst eksperymentu w narzędziu AI. Wiele osób zna ten obrazek jedynie “z mema”, nie znając jego prawdziwego pochodzenia.
Poważniejszym przykładem wykorzystania współczesnych technologii do kradzieży wizerunku są filmy pornograficzne deepfake, gdzie twarze znanych osób bez ich przyzwolenia są nakładane na film nakręcony z udziałem innych osób, symulując w ten sposób ich udział w akcie seksualnym. W ostatnim czasie wysyp tego typu stron dotknął wielu celebrytów internetowych. Jest to oczywiście rodzaj wykorzystania seksualnego, jednak niestety w chwili pisania artykułu mimo swojej wagi nie jest on osobno regulowany ani w Polsce, ani w Stanach Zjednoczonych na szczeblu federalnym. Należy zauważyć jednak, że technologia pozwalająca na generowanie nagrań wideo w ten sposób może znaleźć też legalne i pozytywne zastosowania, np. w uproszczeniu produkcji filmów, czy nagrań scen niebezpiecznych, przy których do tej pory korzystano z usług kaskaderów.
Kwalifikacja prawna kradzieży tożsamości w Polsce
W polskim prawie nie ma definicji „kradzieży tożsamości” jako osobnego bytu. Zwykle, pod pojęciem tym rozumie się podszywanie się pod inną osobę, często w wyniku włamania na jej konto w internecie. Zgodnie z art. 190a kodeksu karnego, podszywanie się pod inną osobę w celu wyrządzenia jej szkody majątkowej lub osobistej zagrożone jest karą pozbawienia wolności od 6 miesięcy do 8 lat. Przestępstwo to ścigane jest na wniosek pokrzywdzonego, a zamiar podszywającego się musi być bezpośredni, tj. karane nie są sytuacje gdy podszywający nie działał motywowany zamiarem wyrządzenia szkody osobie, pod którą się podszywał. Kodeks karny penalizuje także często towarzyszące kradzieży tożsamości włamania internetowe, zgodnie z art. 267 kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego, podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Z kolei podstawą dochodzenia zadośćuczynienia w związku z wykorzystaniem wizerunku osoby w ramach nagrania deepfake może być kodeks cywilny. Definiuje on prawo do ochrony dóbr osobistych człowieka (art. 23 i 24), które obejmują także ochronę wizerunku. Zgodnie z tą definicją prawną, tak spreparowane nagranie może naruszać dobra osobiste osoby, której wizerunek wykorzystano. Poszkodowany może żądać przeprosin oraz zadośćuczynienia pieniężnego. W przypadkach szczególnych rozważać można słuszność zastosowania artykułu 212 kodeksu karnego, tj. o zniesławieniu lub znieważeniu. Na przykład w nagraniu pornograficznym spreparowanym metodą deepfake, którego celem jest upodlenie osoby, której wizerunek został wykorzystany.
Zapobieganie kradzieży tożsamości
Niestety, nie istnieje niezawodna metoda pozwalająca ustrzec się przed kradzieżą tożsamości. Jak w przypadku innych form przestępstw dokonywanych z wykorzystaniem nowoczesnych technologii, wskazywać możemy jedynie na zbiór dobrych zachowań oraz procedur, które znacząco obniżą ryzyko znalezienia się w takiej sytuacji. Podstawą jest oczywiście ostrożność w zarządzaniu dokumentami zawierającymi nasze dane osobowe. Dokumenty fizyczne powinny być schowane w domu, nieleżące na wierzchu i niszczone w niszczarce przed wyrzuceniem. Sprzęt komputerowy używany do przetwarzania informacji wrażliwych powinien być zabezpieczany zgodnie z zaleceniami polityki bezpieczeństwa. Listy fizyczne powinny być odbierane regularnie ze skrzynek pocztowych, a wyciągi bankowe przeglądane i kontrolowane. Warto zadbać też o bezpieczeństwo metod autoryzacji, jakich używamy w sieci. Każde tworzone przez nas konto powinno być zabezpieczone innym, losowym hasłem, najlepiej z pomocą menadżerów haseł. Wszędzie gdzie jest to możliwe, zaleca się stosowanie uwierzytelniania wieloskładnikowego.
Zwalczanie skutków kradzieży tożsamości
W przypadku gdy do kradzieży tożsamości już dojdzie, należy niezwłocznie zastrzec karty płatnicze, zmienić hasła używane w internecie, oraz poinformować odpowiednie służby. Dodatkowo, w Biurze Informacji Kredytowej (bik.pl) można zastrzec swój dowód osobisty, co rejestrowane jest w Systemie Dokumenty Zastrzeżone (ZBP), oraz wszystkich banków w Polsce. W ten sposób upewnimy się, że na nasze dane nie zostaną zaciągnięte żadne zobowiązania finansowe. W świetle obowiązujących przepisów RODO, szczególnie w przypadku wycieków mających swój początek w systemach informatycznych, można skontaktować się z Urzędem Ochrony Danych Osobowych sprawującym nadzór nad ich przetwarzaniem. Warto przygotować sobie „plan awaryjny” na wypadek kradzieży tożsamości, by ułatwić sobie dokonanie wszelkich formalności w sytuacji gdy taka potrzeba już wystąpi.
Podsumowanie
W naszej ocenie kradzież tożsamości jest jednym z tych zagrożeń dzisiejszych czasów, które mogą być szczególnie niszczące dla psychiki i poczucia bezpieczeństwa poszkodowanych. Ich skutki mogą obejmować zarówno szkody materialne, jak i psychiczne. Dlatego szczególnie ważna jest ostrożność przy posługiwaniu się naszymi danymi osobowymi w internecie. Niestety, obecnie tak naprawdę bardzo trudno jest się skutecznie przed tego typu zagrożeniami bronić, jeśli chcemy w pełni korzystać z możliwości jakie oferuje nam współczesna technologia.
Literatura
Statystyki:
AI:
Prawo:
[6] https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/kodeks-karny-16798683/art-190-a
[7] https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/kodeks-karny-16798683/art-267
Świetny artykuł! Bardzo dokładnie opisuje zarówno szanse, jak i wyzwania związane z wprowadzeniem kryptowalut, NFT i technologii blockchain do współczesnej…