2 maja 2019 r. na stronie internetowej Ministerstwa Finansów pojawił się komunikat ostrzegający przed fałszywymi SMS-ami, dotyczącymi autoryzacji PIT. Jak informował resort, wiadomości były próbą wyłudzenia, bo usługi MF Twój e-PIT oraz e-Deklaracje do składania zeznań drogą elektroniczną są bezpłatne. - Administracja skarbowa nie wysyła do podatników żadnych wiadomości SMS w sprawie autoryzacji przelewem złożonych elektronicznie PIT ‒ przypomniało ministerstwo w komunikacie. Resort finansów zapewnił, że nie jest nadawcą wiadomości SMS, które trafiają do podatników i nawołują do autoryzacji płatnym przelewem rocznych PIT-ów złożonych przez internet.
Zobacz: Korekta zeznania podatkowego w PIT >
Nadawca grozi tam również grzywną za niezłożenie podpisu. - Sprawa została zgłoszona do ABW. Przestrzegamy i apelujemy o ostrożność ‒ napisało Ministerstwo Finansów w komunikacie.
Próba wyłudzenia tożsamości i pieniędzy
Ile osób w ślad za tym SMS-em przelało żądaną kwotę 1 zł? Tego na razie nie wiadomo. Ministerstwo Finansów twierdzi, że nie posiada takiej informacji. Prawdopodobnie jednak nie o te złotówki chodziło w całym tym oszustwie.
Zobacz: Ochrona danych osobowych w biurze rachunkowym >
Ekspert ds. bezpieczeństwa, z którym rozmawialiśmy, nie ma wątpliwości, że sprawa musi być poważna, skoro została zgłoszona do ABW. I to zapewne nie tylko z powodu skali potencjalnego oszustwa, bo zagrożeni byli podatnicy rozliczający się z PIT za pośrednictwem internetu, a tych było miliony. Według niego, prawdopodobnie chodziło o uzyskanie dostępu do kont bankowych podatników w celu ich „wyczyszczenia”.
Zobacz: Jaką odpowiedzialność ponosi biuro rachunkowe za naruszenie przepisów RODO? >
Nie masz dostępu do odpowiedzi na to pytanie? Sprawdź, jak go uzyskać >
Dr Przemysław Barbrich, dyrektor zespołu public relations Związku Banków Polskich nie chce komentować samego ataku na systemy informatyczne Twój e-PIT i e-Deklaracje Ministerstwa Finansów. Jak mówi, sektor bankowy nigdy nie żąda od klientów podania danych do logowania, numerów z kart zdrapek czy numerów telefonów. ‒ O tym dobrze już wiedzą przestępcy i dlatego szukają innych sposobów, aby wejść w posiadanie wrażliwych danych klientów, bo dzięki tym danym mogą założyć konto w banku, wziąć kredyt czy pożyczkę, wynająć mieszkanie czy kupić samochód na raty ‒ mówi dr Barbrich.
Jak podkreśla, w tych działaniach chodzi o kradzież tożsamości i o to, by dzięki uzyskanym danym osobowym ‒ o co zapewne chodziło przy okazji przelewu na 1 zł tytułem autoryzacji rozliczenia PIT ‒ stworzyć nową tożsamość. Nie zawsze musi to być działanie natychmiastowe, bo czasami od przejęcia danych do ich wykorzystania może upłynąć kilka miesięcy.
Zobacz również: Skarbówka lubi dostawać donosy >>
Nowe mierniki mają zwiększyć skuteczność kontroli podatkowych >>
Także dr Małgorzata Skórzewska-Amberg z Kolegium Prawa Akademii Leona Koźmińskiego jest zdania, że był to atak okazyjny, za którym stać mogła grupa oszustów, choć równie prawdopodobne jest, że był to pojedynczy haker.
Zobacz: Zgłaszanie naruszeń ochrony danych osobowych organowi nadzorczemu >
‒ Mogła to być próba wyłudzenia danych osobowych w celu odłożonego w czasie dokonania przestępstwa przy ich użyciu albo zebrania bazy wiarygodnych, bo rzeczywiście istniejących, numerów telefonów, na dodatek należących do osób dorosłych. Nie można też wykluczyć, że chodziło o zainstalowanie w telefonach oprogramowania szpiegowskiego, które pozwoliłoby na uzyskanie danych dostępowych do kont bankowych, a kto wie, może był to element wojny informacyjnej, w którym chodziło o podważenie zaufania podatników do urzędów skarbowych ‒ podkreśla dr Skórzewska-Amberg. Według niej, problemem jest to, że wiele osób nie czyta informacji, jakie otrzymuje. Ciągle nie jesteśmy też świadomi zagrożeń, jakie czyhają na nas w sieci.
MF: Wycieku danych nie było
Ministerstwo Finansów twierdzi, że złożenie zawiadomienia do właściwego Zespołu Reagowania na Incydenty Teleinformatyczne prowadzonego przez ABW, było spowodowane otrzymaną informacją o wysyłaniu do podatników fałszywych SMS-ów dotyczących autoryzacji przelewem złożonych elektronicznie PIT-ów. Jednocześnie w odpowiedzi na nasze pytania MF zapewniło, że poprzez usługę Twój e-PIT nie doszło do żadnego wycieku danych.
Zobacz procedurę: Korekta w toku kontroli skarbowej >
Ministerstwo twierdzi, że nie posiada informacji o liczbie osób, które uiściły kwotę, którą podatnicy otrzymali w fałszywym SMS-ie. Zapytaliśmy Urząd Ochrony Danych Osobowych, czy zamierza podjąć kontrolę w Ministerstwie Finansów, by sprawdzić, czy doszło do wycieku danych podatników z systemu Twój e-PIT i ocenić zabezpieczenia systemu. W odpowiedzi rzecznik prasowy UODO Agnieszka Świątek-Druś poinformowała, że prezes UODO nie zna treści SMS-ów, które trafiają do podatników i zachęcają do autoryzacji płatnym przelewem PIT-ów złożonych przez internet. Jej zdaniem, sprawę można więc oceniać jedynie na podstawie komunikatu zamieszczonego na stronie internetowej MF. Na jego podstawie nie można postawić tezy, iż istnieją jakieś luki w zabezpieczeniach uruchomionej przez Ministerstwo Finansów usługi Twój e-PIT.
- Ministerstwo Finansów dokładnie informowało użytkowników usługi Twój e-PIT o sposobach logowania w tym systemie i autoryzacji złożonych za jej pośrednictwem deklaracji. Nigdzie nie wspomina o autoryzacji za pośrednictwem SMS i wykonywaniu przelewów w tym celu. Dlatego każdy, kto otrzyma tego typu SMS, powinien zachować szczególną ostrożność ‒ twierdzi rzecznik prasowy UODO. Według urzędu, podobnych przypadków podszywania się pod różne instytucje w celu wyłudzenia pieniędzy (za rzekome zaległe opłaty, różne wpisy itp.) lub zdobycia czyichś dodatkowych danych jest wiele. Zdaniem Agnieszki Świątek-Druś, każdy, kto SMS-em, e-mailem lub tradycyjną pocztą otrzymuje m.in. jakiekolwiek wezwania do zapłaty, powinien zachować szczególną ostrożność, dokładnie zapoznać się z ich treścią i ewentualnie skontaktować się z daną instytucją, by zweryfikować, czy faktycznie wysyłała ona wezwania czy jakąkolwiek inną korespondencję o określonej treści. Odnosząc się zaś do pytania o bezpieczeństwo danych osobowych przetwarzanych w związku z usługą Twój e-PIT, rzecznik podkreśliła, że zaraz po jej uruchomieniu, w związku z napływającymi do urzędu informacjami o tym, że pracodawcy bądź osoby dysponujące niektórymi danymi podatników, mogą uzyskać dostęp do ich danych w usłudze Twój e-PIT, prezes UODO zwrócił się do resortu finansów o wyjaśnienia w tej sprawie. Postępowanie wyjaśniające jeszcze się nie zakończyło.
POLECAMY: VAT. Komentarz 2019 >
Co mogą zrobić oszukani
‒ Wszystkie osoby, które dokonały tego przelewu, powinny przede wszystkim niezwłocznie zgłosić się na policję powiadamiając, że prawdopodobnie padły ofiarą oszustwa, a jeśli dodatkowo pojawią się jeszcze jakieś niepokojące sygnały, nietypowe zdarzenia, jak chociażby telefon od osoby podającej się za przedstawiciela banku i żądającej podania np. hasła do konta, należy natychmiast skontaktować się z infolinią banku a nawet wręcz zastrzec swoje dokumenty i tożsamość ‒ radzi dr Barbrich.
Zobacz: Zawiadamianie osoby której dane dotyczą o naruszeniu ochrony danych >
Dr Skórzewska-Amberg podkreśla dodatkowo, że najsensowniejszą kampanią, jaką można teraz przeprowadzić jest informowanie ludzi o konieczności zmiany loginów, haseł i przejrzeniu telefonów pod kątem szpiegowskiego oprogramowania.
Więcej przydatnych materiałów znajdziesz w LEX Biuro Rachunkowe:
Kasy fiskalne on-line bronią w walce z oszustwami w VAT >
Biała lista podatników VAT zastąpi czarną listę >
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >
Błędy i zdarzenia po dniu bilansowym trzeba ująć w księgach >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
