Wyciek danych osobowych, takich jak numery PESEL i informacje z dowodów osobistych, może mieć poważne konsekwencje, szczególnie w kontekście zawierania umów pożyczkowych, zarówno z podpisem elektronicznym, jak i w tradycyjny sposób.

ENTRAST pragnie omówić to zagadnienie w kontekście ryzyk i zabezpieczeń związanych z użyciem podpisu elektronicznego.

UWAGA! umowę pożyczki można podpisać za pomocą kwalifikowanego podpisu elektronicznego. W świetle prawa taki podpis ma taką samą moc prawną jak podpis własnoręczny (zgodnie z rozporządzeniem eIDAS – Rozporządzenie UE 910/2014).

Dzięki temu możliwe jest zawarcie ważnej i wiążącej umowy pożyczki w pełni elektronicznie.

A co w przypadku, gdy publikuje się takie informacje:

• https://www.bankier.pl/wiadomosc/Wyciek-danych-osobowych-u-dostawcy-m-in-podpisu-kwalifikowanego-NASK-potwierdza-8877208.html
• https://cyberdefence24.pl/cyberbezpieczenstwo/kolejny-atak-ransomware-wyciek-danych-z-eurocert
• https://niebezpiecznik.pl/post/atak-ransomware-na-eurocert-wyciekly-nawet-wizerunki-klientow/
• https://tvn24.pl/biznes/z-kraju/wyciek-danych-w-eurocert-objal-miedzy-innymi-numery-pesel-st8263527

1. Wpływ wycieku danych na podpisywanie umów pożyczek

Jeśli dane takie jak PESEL, numer dowodu osobistego, czy inne dane osobowe zostaną przejęte przez osoby trzecie, istnieje ryzyko ich wykorzystania do prób wyłudzenia pożyczek w imieniu ofiary. W takich przypadkach:

• Podpis tradycyjny: W przypadku fałszywej umowy podpisanej ręcznie (np. podrobienie podpisu), ofiara musi udowodnić w sądzie, że umowa nie została przez nią zawarta.
• Podpis elektroniczny:
  • Zwykły podpis elektroniczny: Jeśli pożyczkodawca dopuszcza zawieranie umów bez dokładnej weryfikacji tożsamości, dane ofiary mogą zostać wykorzystane do zaciągnięcia pożyczki.
  • Kwalifikowany podpis elektroniczny: Jest znacznie bezpieczniejszy, ponieważ wymaga certyfikatu przypisanego do konkretnej osoby. Wyłudzenie pożyczki z takim podpisem jest praktycznie niemożliwe bez fizycznego dostępu do urządzenia podpisującego (np. tokena) oraz znajomości PIN-u.

2. Dlaczego kwalifikowany podpis elektroniczny jest bezpieczniejszy?

Kwalifikowany podpis elektroniczny różni się od prostszych form podpisu cyfrowego, np. podpisu biometrycznego czy jednorazowego kodu SMS. Jego zalety to:

1. Silna weryfikacja tożsamości:
   • Certyfikat kwalifikowany jest wydawany wyłącznie po weryfikacji tożsamości w akredytowanym centrum certyfikacji.
2. Technologie zabezpieczeń:
   • Urządzenia do podpisywania (np. tokeny USB, karty kryptograficzne) są zabezpieczone fizycznie i logicznie.
   • PIN lub hasło dostępu wymagane do złożenia podpisu.
3. Nieodwracalność podpisu:
   • Po złożeniu kwalifikowanego podpisu nie można go zmodyfikować ani podrobić bez odpowiednich urządzeń i danych.

3. Jak zminimalizować ryzyko przy wycieku danych osobowych?

• Blokada dowodu osobistego: W przypadku podejrzenia wycieku należy niezwłocznie zastrzec dowód osobisty w systemie Dokumenty Zastrzeżone (dostępny w bankach).
• Monitoring tożsamości: Skorzystaj z usług monitorujących użycie Twojego PESEL-u w instytucjach finansowych.
• Weryfikacja aktywnych pożyczek: Regularnie sprawdzaj swój raport kredytowy w Biurze Informacji Kredytowej (BIK).
• Kwalifikowany podpis zamiast zwykłego:
  • Nie używaj prostych form podpisu elektronicznego do ważnych transakcji, jeśli podejrzewasz wyciek danych.
  • Zainwestuj w kwalifikowany podpis elektroniczny – nawet w przypadku wycieku danych, zaciągnięcie zobowiązania w Twoim imieniu będzie niemożliwe.

4. Działania po wycieku danych a podpis elektroniczny

1. Zgłoszenie wycieku danych:
   • Powiadom:
     1. Organy ścigania, – zgodnie z miejsce zamieszkania;
     2. NASK – https://incydent.cert.pl/#!/lang=pl,entityType=notObligatedEntity,easyIncidentType=fraud
     3. UODO (Urząd Ochrony Danych Osobowych) – https://www.biznes.gov.pl/pl/portal/ou889

1. • 1. Swoje banki
     2. Instytucje finansowe (o ile dotyczy).
2. Blokada certyfikatu kwalifikowanego:
   • Jeśli posiadasz kwalifikowany podpis elektroniczny i podejrzewasz, że dostęp do niego został naruszony (np. utrata tokena), natychmiast skontaktuj się z dostawcą usługi w celu jego unieważnienia.
   • Można też to zrobić samodzielnie błędnie podając PIN-y 3 krotnie.
3. Zmiana urządzeń i haseł:
   • Zmień hasła do usług związanych z finansami oraz z podpisem elektronicznym.

5. Rekomendacje

Aby minimalizować ryzyko wyłudzeń:

• Zdaniem ENTRAST należy wprowadzić do obowiązkowego stosowania kwalifikowanego podpisu elektronicznego dla umów o większej wartości.
• Dodatkowe weryfikacje, np. wideoweryfikacja w procesie zawierania umów online.
• Edukacja klientów na temat bezpieczeństwa danych i ochrony przed wyłudzeniami.

Kwalifikowany podpis elektroniczny jest jedną z najbezpieczniejszych metod podpisywania dokumentów, ale w przypadku wycieku danych osobowych ważne jest szybkie podjęcie odpowiednich kroków ochronnych, aby zminimalizować ryzyko nadużyć.

Tłumacząc dalej:

Jak działa kwalifikowany podpis elektroniczny w kontekście umowy pożyczki?

1. Tożsamość podpisującego:
   • Kwalifikowany podpis elektroniczny jest przypisany do konkretnej osoby i potwierdzony przez kwalifikowany urząd certyfikacji.
   • Zapewnia pełną weryfikację tożsamości obu stron (pożyczkodawcy i pożyczkobiorcy).
2. Proces podpisywania umowy:
   • Obie strony otrzymują elektroniczny dokument umowy.
   • Pożyczkobiorca podpisuje dokument swoim kwalifikowanym podpisem elektronicznym.
   • Dokument jest przesyłany do pożyczkodawcy, który również zatwierdza go kwalifikowanym podpisem.
   • Po podpisaniu przez obie strony umowa nabiera mocy prawnej.
3. Wymogi prawne:
   • Zgodnie z polskim prawem cywilnym (Kodeks Cywilny), umowa pożyczki nie wymaga formy pisemnej, jeśli kwota jest niższa niż 1000 zł. Dla wyższych kwot forma pisemna (lub równoważna, jak kwalifikowany podpis elektroniczny) jest konieczna.

Zalety podpisu kwalifikowanego w umowach pożyczkowych

• Bezpieczeństwo prawne: Ma pełną moc prawną i jest akceptowany w sądach.
• Zdalność: Pozwala na podpisanie umowy bez wychodzenia z domu.
• Śledzenie zmian: Dokumenty podpisane kwalifikowanym podpisem są chronione przed manipulacjami.
• Skrócenie czasu: Proces podpisywania i zatwierdzania dokumentów odbywa się w czasie rzeczywistym.

Co jest potrzebne do użycia kwalifikowanego podpisu elektronicznego?

1. Certyfikat kwalifikowany – wydany przez akredytowany podmiot (np. KIR, Asseco, EuroCert w Polsce).
2. Urządzenie do podpisu – np. token USB lub aplikacja mobilna wspierająca podpis.
3. Aplikacja obsługująca podpis elektroniczny – do otwierania i podpisywania dokumentów (np. Adobe Acrobat, aplikacje bankowe).

Podpis kwalifikowany daje dużą elastyczność i bezpieczeństwo w zawieraniu umów, zwłaszcza w zdalnych transakcjach finansowych