Kradzież tożsamości – może spotkać każdego z nas.
Kradzież tożsamości to celowe używanie danych osobowych innej osoby - najczęściej w celu osiągnięcia korzyści majątkowej - na przykład wzięcia kredytu.
PESEL
PESEL czyli Powszechny Elektroniczny System Ewidencji Ludności to centralny zbiór danych prowadzony w Polsce.
Każdy wpis w rejestrze jest określany unikatowym symbolem jednoznacznie identyfikującym osobę fizyczną.
Mówiąc innymi słowami, na podstawie numeru PESEL można jednoznacznie określić z jaką osobą mamy do czynienia.
Numer ten widnieje na dowodzie osobistym.
W Internecie można znaleźć wiele materiałów, które sugerują aby numer ten chronić i nie podawać byle gdzie, ponieważ na jego podstawie ktoś może się pod nas podszyć.
Tylko, że obecnie nie jest to takie proste.
PESEL podajemy w wielu miejscach: chociażby podczas wizyty u lekarza.
PESEL w rządowych rejestrach
Co więcej, jeżeli jesteś członkiem zarządu spółki, fundacji czy stowarzyszenia - Twój numer jest ogólnodostępny w Internecie na rządowej stronie.
Wystarczy wejść na stronę https://ekrs.ms.gov.pl/ - i wybrać zakładkę wyszukiwarka KRS
.
Tam podajemy numer KRS firmy, która nas interesuje i pobieramy wydruk informacji pełnych.
W rubryce Dane osób wchodzących w skład organu
możemy odnaleźć nazwiska prezesów firm oraz ich numery PESEL.
Podobna sytuacja występuje podczas składania kwalifikowanego podpisu elektronicznego.
Od paru lat sprawozdania finansowe muszą być składane w formie elektronicznej.
Każdy taki dokument musi być opatrzony podpisem elektronicznym lub profilem zaufanym.
Problem w tym, że oprócz imienia i nazwiska podpis zawiera numer PESEL.
Jest on po prostu częścią takiego podpisu.
Mówiąc wprost: podpisując jakiś dokument elektronicznie i przesyłając go dalej - również udostępniamy swój numer PESEL.
Można to łatwo sprawdzić na dokumentach rządowych.
Wystarczy wejść na http://dziennikustaw.gov.pl/ i pobrać dowolny plik pdf
.
Następnie w oprogramowaniu wyświetlającym pliki PDF należy wybrać opcję weryfikacji certyfikatu, a następnie wejść w jego szczegóły.
Nazwisko osoby podpisującej wraz z jej numerem PESEL będzie tam widoczne jak na dłoni.
Te przykłady wyraźnie pokazują, że teoretycznie powinniśmy chronić ten numer, ale z drugiej jednak strony nie jest to takie proste jak mogłoby się wydawać.
Nie dziwi więc fakt, że zazwyczaj do uzyskania pożyczki czy kredytu nie wystarczy jedynie PESEL.
Bank i instytucje finansowe wymagają dowodu osobistego.
Jednak numer i seria dowodu - ulegają zmianie.
Raz na 10 lat powinniśmy wymienić ten dokument, a wtedy zmienia się również jego numer.
Stąd tak głębokie zakorzenienie wykorzystania numeru PESEL do identyfikacji osoby.
Ten numer może się zmienić (chociażby w przypadku zmiany płci), ale nie jest to częsta sytuacja.
Dowody kolekcjonerskie
Jeżeli, więc ktoś wejdzie w posiadanie naszego dowodu - możemy mieć spore problemy.
Może spróbować wziąć przy jego pomocy kredyt na nasze dane osobowe.
Teoretycznie widnieje tam nasze zdjęcie.
No ale przecież przestępca może kłamać - mówiąc, że schudł albo przytył, albo po prostu ubrał okulary i zmienił fryzurę.
Czyli zgubienie fizycznego dokumentu jest problematyczne.
Ale warto też zwrócić uwagę, kto wykonuje kopie takiego dokumentu.
Mając skan dowodu przestępca posiada wszystkie nasze dane.
Na ich podstawie w Internecie może wykonać kolekcjonerską wersję
dowodu osobistego ze swoim zdjęciem.
Istnieją firmy, które przygotowują plastik przypominający wyglądem dowód osobisty.
Jest on pozbawiony niektórych zabezpieczeń istniejących w oryginalnym dokumencie.
Tylko, że to niczego nie zmienia.
Dokument zazwyczaj weryfikują szeregowi pracownicy banku.
Trzeba sobie zadać pytanie: jaką wiedzę na temat zabezpieczeń i prawdziwości tych dokumentów oni posiadają?
Czy Ty drogi słuchaczu byłbyś w stanie rozróżnić oryginalny dowód od tego kolekcjonerskiego?
Czy w ogóle słyszałeś, że istnieją takie "podróbki"?
Teoretycznie posługiwanie się takim dokumentem jest karalne - no ale czy taka kara powstrzyma przestępcę?
Metody oszustw
Mając fałszywy dowód możemy spróbować założyć konto w banku.
Takie konto może być potem wykorzystywane do prania brudnych pieniędzy.
Więcej na ten temat opowiadałem w odcinku – Jak nie zostać słupem? Metody oszustw.
Mając konto - możemy próbować wziąć szybki kredyt na parę tysięcy złotych.
Aplikacje bankowe często proponują takie szybkie oferty promocyjne.
Wystarczy parę kliknięć i już - dodatkowe pieniądze lądują na naszym koncie.
Ale to nie wszystko.
U operatora telekomunikacyjnego można na tej podstawie wyrobić duplikat karty SIM.
Jest to tak zwany atak SIM Swap.
Możliwości jest wiele.
Ktoś może wypożyczyć samochód na nasze dane, a gdy zostanie on skradziony i nie oddany w terminie - to do nas zapuka Policja z prośbą o złożenie dodatkowych zeznań.
Jak zapobiec kradzieży
Wiemy, że kradzież tożsamości to realne ryzyko.
Jak można mu zatem zapobiec?
Niestety, odpowiedź na to pytanie nie jest taka prosta.
- Nie istnieje jeden sposób na ochronę swoich danych.
Istnieje kilka firm, które oferują zbliżone do siebie usługi.
Warto jednak pamiętać, że żadna z nich nie daje nam stuprocentowej gwarancji ochrony.
Zatem w ostatecznym rozrachunku to Ty drogi słuchaczu musisz przemyśleć wszystkie za i przeciw i zastanowić się, czy chcesz korzystać z którejkolwiek z tych usług.
Centralna Informacja o rachunkach
Na początek rozwiązanie rządowe – Centralna Informacja o rachunkach.
Jest to rozwiązanie umożliwiające dostęp do informacji o rachunkach osób zmarłych oraz o „zapomnianych” rachunkach osób fizycznych.
Umożliwia zatem posiadaczowi rachunku będącemu osobą fizyczną oraz członkowi SKOK – odszukanie własnych rachunków bankowych oraz imiennych rachunków członka SKOK.
W prostych słowach: przy pomocy tej usługi możemy sprawdzić w których bankach istnieją konta założone na nasze dane osobowe.
Na początek musimy złożyć wniosek w dowolnym wybranym przez siebie banku lub SKOK-u.
Nie musi być to instytucja w której już posiadamy konto. Może to być dowolny bank.
Usługa ta jest płatna i banki pobierają za nie opłatę zgodnie z własną tabelą prowizji i opłat.
Zatem jednym z czynników wyboru może być właśnie wysokość opłaty jaka zostanie od nas pobrana.
Dalej następuje weryfikacja wniosku i naszych danych.
I tutaj również wygląda to różnie.
Jedne instytucje wymagają formy pisemnej, inne notarialnego potwierdzenia.
Warto zatem wcześniej sprawdzić w jaki sposób wygląda procedura składania dokumentu w wybranym przez nas miejscu.
Dalej nasze zapytanie jest przesyłane do wszystkich banków i SKOKów, które muszą na nie odpowiedzieć w przeciągu trzech dni roboczych.
Na tej podstawie generowana jest informacja zbiorcza, z której dowiemy się które podmioty prowadziły lub prowadzą rachunek na nasze dane - wraz z jego numerem.
Jeżeli zatem ktoś założył konto na nasz dowód - dowiemy się w którym banku i jaki numer konta on posiada.
Minusy tego rozwiązania?
- Nie jest ono proaktywne.
Nie otrzymamy powiadomienia w momencie, gdy zostanie założone nowe konto w nowym banku.
Zwracana informacja to stan na dzień dzisiejszy.
Zatem, żeby taka weryfikacja miała sens - teoretycznie powinniśmy ją wykonywać raz na jakiś czas.
W idealnym scenariuszu dobrze byłoby, gdyby ta informacja była udostępniana za darmo przez portal e-obywatel.
Czy tak się stanie? Zobaczymy.
Plusy rozwiązania?
W systemie na dzień 18.11.2019 uczestniczy ponad 550 podmiotów.
Za jednym wnioskiem zatem sprawdzamy sporą liczbę podmiotów - w tym nie tylko duże komercyjne banki ale również te mniejsze, mające siedziby w małych miastach.
E-sąd
W Polsce od paru lat działa E-Sąd.
Sąd elektroniczny zajmuje się prowadzeniem spraw, w których strona powodowa (np. bank ) składa pozew przy użyciu elektronicznego formularza.
Podaje tam podstawę roszczenia, jego wartość i uzasadnienie.
Problem w tym, że e-sąd wydaje nakaz zapłaty nie weryfikując prawdziwości twierdzeń.
Mówiąc inaczej: wierzy na słowo, że sytuacja opisana jest stanem faktycznym, a następnie wysyła żądanie na adres wskazany w pozwie.
A ten może być nieaktualny.
Strona pozwana może złożyć sprzeciw do nakazu z e-sądu, a wtedy sprawa trafia do zwykłego sądu, gdzie można udowodnić swoją rację.
Problem w tym, że aby złożyć sprzeciw trzeba wiedzieć, że ktoś wniósł roszczenie.
A jeżeli pismo trafi na nieprawidłowy adres - nie będziemy o tym wiedzieli.
Listonosz dwa razy zostawi w skrzynce awizo i po upływie 14 dni - doręczanie jest traktowane jako skuteczne.
Nakaz z e-sądu się uprawomocni i można go przekazać do komornika.
Ten na tej podstawie może wszcząć egzekucję i zablokować nasze pieniądze.
Czyli jeżeli ktoś wziął na nasze dane kredyt i przestał go spłacać - firma windykacyjna wyśle wniosek do e-sądu, który zatwierdzi żądanie.
Potem już tylko komornik i pieniądze znikają z naszego konta.
Stąd też warto stworzyć konto w systemie e-sąd.
W przypadku wniesienia pozwu - otrzymamy od razu powiadomienie na adres e-mail i będziemy mogli odpowiednio zareagować - nawet jeżeli fizycznie zostanie ono wysłane na zły adres pocztowy.
Jedna uwaga: niech nie zwiedzie Cię to, że sąd w nazwie ma nazwę miejscowości Lublin.
Pomimo tego, rozpatruje on sprawy z całego kraju, nie tylko z Lublina.
BIK
Chodzi o BIK - czyli Biuro Informacji Kredytowej.
BIK gromadzi i udostępnia dane o historii kredytowej klientów banków, SKOK-ów i firm pożyczkowych.
Według informacji na stronie - w programie uczestniczy ponad 70 największych firm pożyczkowych.
Idea systemu jest prosta.
Kiedy składasz wniosek o kredyt, bank sprawdza Twoją historię kredytową w BIK.
Tam znajdują się informacje o Twoich obecnych i starych zobowiązaniach, a także o tym jak terminowo je spłacałeś.
Na podstawie tych danych system wystawia ocenę liczbową - porównując Cię z innymi klientami.
Ten wskaźnik jest pewną dodatkową informacją dla banku, pomagającą wyliczyć ryzyko całej transakcji.
Mówiąc w prostych słowach: jak prawdopodobne jest, że spłacisz zaciągnięty kredyt.
Ale żeby cały ten system działał prawidłowo, BIK musi posiadać aktualną i historyczną listę zobowiązań.
Tych danych dostarczają mu banki, które biorą udział w całym projekcie.
Na pierwszy rzut oka wydaje się zatem, że jest to system przeznaczony bardziej dla instytucji finansowych niż dla klientów indywidualnych.
Ale BIK oferuje usługę Alerty BIK
.
Bank za każdym razem gdy przygotowuje dla Ciebie ofertę kredytową wysyła zapytanie do bazy o informacje o Twojej osobie.
Jeżeli posiadasz konto w systemie - BIK wie, że bank pyta właśnie o Ciebie i poinformuje Cię o tym zapytaniu przesyłając SMSa i email.
Ta informacja wysyłana jest praktycznie w czasie rzeczywistym.
Dowiesz się z niej jaki podmiot pyta o Twoje dane.
Ta usługa działa proaktywnie.
A wiec dowiesz się, że właśnie teraz - w tym momencie - ktoś próbuje składać wniosek kredytowy na Twoje dane.
Jeżeli to Ty sam - możesz spać spokojnie - po prostu sprawdziłeś, że system działa prawidłowo.
W innym przypadku - otrzymujesz cenną informację.
Możesz wtedy zareagować - bo wiesz, że coś niepokojącego dzieje się z Twoimi danymi.
W ramach alertów BIK, możemy również skorzystać z systemu zastrzeżenia kredytowego.
Po zalogowaniu na nasze indywidualne konto jednym kliknięciem możemy włączyć lub wyłączyć zastrzeżenie.
W ten sposób informujemy firmy kredytowe, że nie wyrażamy zgody na udzielanie pożyczek na nasze dane.
Teoretycznie, jeżeli zatem partnerzy systemu zapytają o Twoje dane - otrzymają informację zwrotną, że nie chcesz obecnie brać kredytu.
Równocześnie warto pamiętać, że jeżeli chcemy wnioskować o kartę kredytową lub kredyt - musimy wyłączyć tą funkcję.
Oprócz alertów, możliwe jest również wykupienie dodatkowej usługi - tak zwanego raportu.
W dokumencie tym otrzymasz historię wszystkich i obecnych zobowiązań kredytowych, które posiada system na Twój temat.
Ta usługa działa jednak na tu i teraz - a więc dostajemy informację na dzień wygenerowania raportu.
Jeżeli ktoś wyrobił kartę kredytową na Twoje dane - będziesz o tym wiedział.
Jeżeli gdzieś jest niespłacony kredyt o którym zapomniałeś - również się o tym dowiesz.
Ta usługa jest dodatkowo płatna. Płacimy za każdy wygenerowany raport bądź też kupujemy pakiet raportów w niższej cenie.
W przeszłości BIK raz na pół roku umożliwiał pobranie za darmo tak zwanej bezpłatnej informacji ustawowej
.
Na chwilę obecną, zmieniono nazwę tej usługi na kopia danych RODO.
Można o nią wnioskować składając wniosek osobiście, pocztą, emailem uwierzytelnionym podpisem kwalifikowanym bądź też przy pomocy formularza kontaktu dostępnego po zalogowaniu na portalu.
Bazując na informacjach znalezionych w Internecie przygotowanie takich danych trwa około 30 dni.
Znajdziemy tam okrojone informacje znajdujące się w pełnym, płatnym raporcie.
Jest to dobra alternatywa dla osób, które za darmo raz na pół roku chciałyby zapoznać się z informacjami jakie na ich temat posiada BIK.
Weryfikacja tożsamości
Aby skorzystać z usług portalu musimy założyć konto i potwierdzić nasze dane.
W formularzu podajemy numer dowodu osobistego oraz numer PESEL.
Plusem jest to, że nie potrzebujemy przesyłać skanu dokumentu.
Firma weryfikuje nasze dane na podstawie internetowego przelewu identyfikacyjnego.
Całość jest prosta i szybka.
Strona przekierowuje nas do naszego banku gdzie przy pomocy szybkich płatności przelewamy na konto firmy 1 zł.
I już - od tego momentu jesteśmy zweryfikowani.
Jakie zatem minusy posiada BIK?
Po pierwsze - jest to usługa płatna, chociaż na chwilę obecną alerty BIK + zastrzeżenie kredytowe to koszt rzędu 24 złotych na rok.
Po drugie - z systemu tego korzysta tylko określona liczba banków.
Jeżeli przestępcy wykorzystają taki, który nie jest podłączony do tego systemu - sprawdzenie naszych danych nic nam nie da.
Plusem jest natomiast proaktywna ochrona. Otrzymujemy informację gdy coś rzeczywiście się dzieje.
Dalej jednak musimy sami na nią odpowiednio zareagować - a to nie jest takie proste.
Bezpieczny PESEL
Kolejny system to Bezpieczny PESEL, który powstał przy udziale Polskiego Związku Instytucji Pożyczkowych.
Oferuje on usługę prewencyjnego zastrzeżenia numeru PESEL, w sytuacji w której nie jesteś zainteresowany wzięciem pożyczki.
Jest to zatem usługa podobna do zastrzeżenia w BIK - tym razem jednak całkowicie darmowa.
Inną różnicą będzie zapewne liczba i ilość podmiotów, które uczestniczą w obu systemach.
Ciężko jednak znaleźć informacje o konkretnych firmach, które biorą udział w projektach.
Zastrzeżenie odbywa się poprzez formularz na stronie internetowej.
I tutaj pierwszy zgrzyt. Formularz wymaga numeru PESEL oraz obu stron zeskanowanego dowodu osobistego lub oświadczenia notarialnego.
Na stronie możemy wyczytać, że skan dowodu osobistego powinien zawierać wyłącznie informacje o imieniu (imionach) i nazwisku, serii i numerze dowodu osobistego oraz numerze PESEL.
Pozostałe informacje zawarte w dowodzie osobistym należy usunąć (zasłonić), tak aby nie były widoczne na dołączonym skanie dowodu osobistego.
Ja osobiście nie jestem fanem przesyłania takich informacji przez Internet.
Specjalnie dla takich klientów w przeszłości dostępna była alternatywna opcja, o której można się było dowiedzieć czytając regulamin usługi.
Był to punkt 9 - nazwany Zastrzeżenie – prewencja za pośrednictwem „wypłaty na Poczcie z weryfikacją tożsamości"
.
Całość składała się z kilku etapów.
Najpierw na specjalny numer SMS wysyłaliśmy nasz numer PESEL.
Dalej musieliśmy przesłać 21 złotych brutto na podany w regulaminie numer konta bankowego.
Następnie, udawaliśmy się do placówki Poczty Polskiej i korzystaliśmy z usługi: wypłaty na Poczcie z weryfikacją tożsamości
.
Pracownik sprawdzał wtedy nasz dowód osobisty i wypłacał nam 1 zł - z przelanych wcześniej 21 złotych.
Na tej podstawie system potwierdzał naszą tożsamość i zastrzegał nasz numer PESEL.
Szkoda, że opcja ta znikła z oferty serwisu.
Po zastrzeżeniu dokumentu otrzymujemy specjalny kod weryfikacyjny.
Na jego podstawie możemy cofnąć zastrzeżenie - kiedy będziemy potrzebowali kredytu.
Chroń PESEL
chronpesel.pl opiera się na danych z Krajowego Rejestru Długów.
Usługa jest płatna i podobnie jak BIK pozwala na monitorowanie i sprawdzanie naszych danych.
W opcji monitorowania - otrzymujemy informację, gdy ktoś używa lub dopisuje nas do rejestru długów.
Możemy również sprawdzić nasz bieżący status w KRD oraz historyczne zapytania.
Co robić po fakcie
Wiemy już jak się chronić. Co jednak w sytuacji, gdy ktoś wykorzystał nasze dane?
Poradnik krok po kroku opublikował Polski Związek Instytucji Pożyczkowych.
Ja postaram się opisać najważniejsze elementy.
1. Po pierwsze: warto zastrzec dowód osobisty w systemie Dokumenty Zastrzeżone
Wystarczy zgłosić się do swojego banku.
Można to zrobić osobiście lub w niektórych przypadkach telefonicznie.
Wtedy informacja o takim dokumencie znajdzie się w systemie, z którego korzysta sporo instytucji finansowych.
2. Zgłosić oszustwo na policji
Jeżeli doszło do wyłudzenia danych i zaciągnięcia na ich podstawie pożyczki, mamy do czynienia z przestępstwem, które jak każde, niezwłocznie należy zgłosić na policję.
Policja nie ma prawa odmówić przyjęcia zgłoszenia o możliwości popełniania przestępstwa. Jeżeli tak się stanie, ofiara powinna napisać zażalenie oraz skontaktować się z prawnikiem.
Potwierdzenie przyjęcia zgłoszenia trzeba zarchiwizować, a kopię przesłać do wierzyciela.
3. Zgłaszamy utratę dowodu przez Internet przy pomocy profilu zaufanego bądź tez osobiście w urzędzie oraz wyrabiamy nowy dokument
4. Zastrzegamy numer PESEL w BIK i bezpieczny PESEL
5. Uzyskujemy jak najwięcej informacji o naszych zobowiązaniach
Oprócz firm, które opisałem wyżej, istnieją jeszcze co najmniej 3 inne instytucje, świadczące podobne usługi:
Podsumowanie
Po pierwsze, gdybym mógł coś zmienić w działalności niektórych serwisów - to sposób weryfikacji tożsamości.
Wysyłanie skanu dowodu, aby chronić dowód - nie wydaje się być najlepszym pomysłem.
A można to spróbować zrobić lepiej - chociażby weryfikacja przez przelew czy też kwalifikowany podpis elektroniczny.
Po drugie, szkoda, że Państwo nie jest zainteresowane rozwiązaniem tego problemu.
Można by było stworzyć jeden rządowy system i ustawą wprowadzić wymóg korzystania z niego przez wszystkie instytucje finansowe.
A tak - mamy rozdrobnienie usług na wiele różnych podmiotów.
Jak widzisz temat nie jest prosty - więc lepiej zapobiegać niż leczyć.