Kraja identitete: ko lahko postanete »dropper«, ne da bi to sploh vedeli | Tečaj kibernetske varnosti in izobraževanje zaposlenih po ZinfV

Kraja identitete: ko lahko postanete »dropper«, ne da bi to sploh vedeli

Znanje

• INFORMACIJSKA VARNOST • KIBERNETSKA VARNOST • INFORMACIJSKI POOBLAŠČENC • ZVOP • GDPR • KRAJA IDENTITETE •

Kraja identitete je ena najhitreje rastočih oblik spletnega kriminala, pri kateri storilci zlorabijo osebne podatke posameznika za pridobitev koristi ali za prikrivanje kaznivih dejanj. Ena od nevarnejših posledic tovrstnih zlorab je, da žrtev lahko nehote postane t. i. »money mule« – posrednik za prenos nezakonito pridobljenega denarja. V vzhodnoevropskem kontekstu se takim posrednikom pogosto reče »dropperji«, bančni računi, odprti z ukradeno identiteto, pa so znani kot »drop računi«.

Kibernetski kriminalci uporabljajo vedno bolj sofisticirana orodja za zlorabo osebnih dokumentov in zaobid KYC postopke (»Know Your Customer«), ki jih izvajajo spletne banke in neobanke. Če imajo kakovostno kopijo vašega osebnega dokumenta, lahko v vašem imenu odprejo račun in ga uporabijo za pranje denarja ali druge goljufije. Prav zato je varovanje osebnih dokumentov – še posebej biometričnih osebnih izkaznic – izjemno pomembno. Takšne izkaznice vsebujejo čipe z občutljivimi podatki, zato jih je treba hraniti v zaščitnih RFID ovojnicah, podobno kot brezstične plačilne kartice, saj lahko nepridipravi z ustrezno opremo podatke pridobijo tudi brez fizičnega stika.

Posebno pozornost je treba nameniti situacijam, kjer svoje osebne dokumente predajamo drugim, na primer v hotelih ali apartmajih, kjer je ob prijavi obvezno predložiti osebni dokument. V takih primerih ne dovolite, da osebje fotografira ali skenira vašo osebno izkaznico. Namesto tega pripravite kopijo, na katero lastnoročno napišite »FOTOKOPIJA« čez celoten dokument – tako bodo podatki vidni in uporabni za registracijo, vendar kopija ne bo primerna za zlorabo pri postopkih preverjanja identitete.

Informacijski pooblaščenec Republike Slovenije v svojih smernicah za preprečevanje kraje identitete opozarja, da je kopiranje osebnih dokumentov dovoljeno le v primerih, ki jih izrecno določa zakon, in da morajo biti kopije ustrezno označene z opozorilom o prepovedi uporabe v druge namene. Prav tako je prepovedano hranjenje kopij osebnih dokumentov v elektronski obliki, razen če zakon določa drugače.

Zaradi digitalizacije poslovanja, množičnega turističnega prometa in razširjene uporabe biometričnih dokumentov se tveganja za zlorabe osebnih podatkov povečujejo. Z nekaj osnovne previdnosti – zaščito dokumentov pred kopiranjem, uporabo RFID zaščite, rednim nadzorom bančnih izpiskov in zavračanjem posredovanja osebnih podatkov neznanim osebam ali spletnim obrazcem – lahko bistveno zmanjšamo možnost, da postanemo žrtev kraje identitete in nenamerni sodelavec v kriminalnih dejavnostih.

Zato velja osnovno pravilo: osebna izkaznica je ključ do vaše identitete – ravnajte z njo, kot bi ravnali s ključi svojega doma.

V Sloveniji varovanje osebnih podatkov in identitete ureja več zakonov in podzakonskih aktov, ki posameznikom zagotavljajo visoko raven zaščite pred zlorabami. Ključni pravni okvir predstavlja Zakon o varstvu osebnih podatkov (ZVOP-2), ki velja od januarja 2023 in dopolnjuje evropsko Splošno uredbo o varstvu podatkov (GDPR). Ti predpisi določajo, da se osebni podatki lahko zbirajo, obdelujejo in hranijo le za zakonite, jasno opredeljene namene ter v najmanjšem obsegu, ki je potreben za dosego teh namenov. To pomeni, da nobena organizacija – bodisi podjetje, hotel ali spletna storitev – ne sme kopirati ali shranjevati vašega osebnega dokumenta brez pravne podlage ali vašega izrecnega soglasja.

GDPR in ZVOP-2 posameznikom zagotavljata pravico do obveščenosti, vpogleda, popravka, izbrisa in omejitve obdelave osebnih podatkov. Če denimo ugotovite, da je hotel ali najemodajalec brez dovoljenja kopiral vaš osebni dokument, imate pravico zahtevati izbris kopije in prenehanje nadaljnje obdelave. V primeru, da upravljavec podatkov vaše zahteve ne spoštuje, se lahko obrnete na Informacijskega pooblaščenca Republike Slovenije (IP-RS), ki ima pooblastila za inšpekcijski nadzor in izrek glob. Globe za kršitve ZVOP-2 so lahko zelo visoke – od nekaj tisoč evrov za manjše organizacije do več sto tisoč evrov za večje gospodarske subjekte.

Pomembno vlogo pri zaščiti identitete ima tudi Zakon o osebni izkaznici (ZOIzk-1), ki določa, da se osebna izkaznica lahko uporablja samo za namen, za katerega je bila izdana, in da je prepovedano kopiranje, fotografiranje ali drugačna reprodukcija osebne izkaznice, razen če je to izrecno dovoljeno z zakonom. To pomeni, da hoteli, nepremičninske agencije ali spletne platforme ne smejo samovoljno izdelovati kopij vaših dokumentov, če za to ni zakonske podlage (na primer prijava gosta pri policiji ali preverjanje identitete po zakonu o preprečevanju pranja denarja).

Poleg tega Zakon o preprečevanju pranja denarja in financiranja terorizma (ZPPDFT-2) določa natančne postopke preverjanja identitete (KYC) pri bankah in finančnih institucijah. Zakon zahteva, da se kopije osebnih dokumentov hranijo le toliko časa, kolikor je to nujno potrebno za izvajanje zakonskih obveznosti, nato pa se morajo uničiti. Vsaka uporaba teh kopij v druge namene (npr. za trženje, profiliranje ali odpiranje računov brez vednosti posameznika) pomeni kršitev zakona.

Skupaj ti zakoni ustvarjajo razmeroma močan pravni okvir, ki ščiti posameznika pred krajo identitete in zlorabo osebnih podatkov. V praksi pa ostaja ključnega pomena ozaveščenost posameznikov – da znajo prepoznati, kdaj je uporaba osebnega dokumenta upravičena, in da v primeru suma zlorabe nemudoma ukrepajo, z obvestilom banki, prijavo Informacijskemu pooblaščencu ali policiji.

Hoteli pogosto med najbolj tveganimi

Izkušnje kažejo, da so hoteli pogosto med najbolj tveganimi kraji za krajo identitete. Zaradi velikega števila gostov, rutinskih postopkov prijave in pogosto nezadostno usposobljenega osebja se osebni dokumenti gostov (fotokopije, skenirani obrazci, evidence) v praksi pogosto obdelujejo na način, ki ni skladen z zakonodajo. V mnogih primerih osebni dokumenti ostanejo shranjeni v fizični ali digitalni obliki brez jasne pravne podlage ali brez ustrezne zaščite, kar odpira vrata zlorabam in morebitnim incidentom kraje identitete.

Hotelsko vodstvo se mora zavedati, da takšne prakse predstavljajo resno tveganje, ne le z vidika varstva osebnih podatkov, temveč tudi za ugled celotnega podjetja. Po GDPR in ZVOP-2 je hotel kot upravljavec osebnih podatkov odgovoren za zakonito, varno in sorazmerno obdelavo teh podatkov. To vključuje tudi vzpostavitev tehničnih in organizacijskih ukrepov, kot so: omejitev dostopa do osebnih dokumentov, varno uničenje kopij po prijavi gosta, vodenje evidence obdelav in redno izobraževanje osebja o pravilnem ravnanju z osebnimi podatki.

Če do kršitve pride, lahko Informacijski pooblaščenec (IP) hotelu izreče visoke globe – te lahko po GDPR dosežejo tudi do 20 milijonov evrov ali 4 % letnega prometa podjetja. Še hujša posledica pa je izguba zaupanja gostov, ki lahko zaradi enega samega incidenta močno poškoduje ugled hotela in povzroči dolgoročno poslovno škodo.

Zato je za hotelsko panogo ključnega pomena, da pristopi k varstvu osebnih podatkov proaktivno in sistematično – z uvedbo internih pravilnikov, imenovanjem pooblaščene osebe za varstvo podatkov (DPO), izvajanjem rednih notranjih preverjanj skladnosti ter sodelovanjem z zunanjimi strokovnjaki za informacijsko varnost in skladnost z zakonodajo. S tem hotel ne izpolnjuje le zakonskih obveznosti, temveč tudi krepi zaupanje gostov in svoj ugled kot odgovoren ponudnik storitev.

Smernice za preprečevanje kraje identitete Kaj pomeni razkritje naših osebnih podatkov in kako ravnati?

Za pomoč nudimo: