Zastrzeżenie PESEL-u a telekomy

[Remington]

Jakość stanowienia prawa pokazuje właśnie przepadek zastrzegania PESEL. Brylujący w mediach minister cyfryzacji pilotował te przepisy mniej więcej na zasadzie:
- SIM swap be, bo było tego dużo i głośno w mediach
- branie przez słupa telefonów na raty jest cacy, bo skala zbyt mała by zaprzątać sobie głowę i media o tym nie krzyczały.

Nie wspominając o rejestracji numerów na czyjeś dane przez przestępców i w różnych niecnych calach. Ale cała ta rejestracja od początku jest dziurawa jak durszlak i przez 8 lat nie podjęto żadnej próby poprawy tych przepisów.

[babciagienia1p]

...Nie wspominając o rejestracji numerów na czyjeś dane...

Tutaj nawet nie potrzeba wiele zachodu. Wielokrotnie była opisywana niefrasobliwość kurierów i liche procedury. Można próbować zamówić kartę na dane, które są ogólnie dostępne, np. w wyszukiwarce KRS. Widać tam imiona i nazwiska oraz numery PESEL członków władz spółek.
https://wyszukiwarka-krs.ms.gov.pl/

Ciekawe czy udałoby się skorzystać z danych prezesa Premium Mobile Sp. z o.o. przy zamawianiu karty z a2?

[HappyBoy]

Ale co Ci z takiej karty ? Przecież do jakiego randomowego numeru nie jest podpięte żadne konto bankowe czy inne 2FA.
Długów nie narobisz bo to prepaid. Jak chcesz umowę to Cię PESEL nie puści (chyba, że będzie odblokowany).

[Remington]

Ale co Ci z takiej karty ?

Wiele można z taką kartą zrobić - sprzedać oszustom czy innym złym ludziom, a oni już zrobią z tego użytek, będą sami korzystać z tych numerów lub np. użyją ich do dokonywania różnych złych rzeczy.

[babciagienia1p]

@HappyBoy
Mnie nic z tego nie przyjdzie, ale psikus w a2 byłby niezły, żeby pokazać luki w ich procedurach. Myślę, że ktoś znający numer prezesa mógłby pokusić się o przeniesienie jego numeru przez infolinię, podając inny numer do kontaktu i deklarując, ze karta jest w urządzeniu nie odbierającym SMS-ów. Chociaż tutaj jest jeszcze zabezpieczenie w postaci SMS-a od dotychczasowego operatora i numer może być na firmę a nie na nazwisko prywatne...

Zresztą to nie dotyczy tylko a2.

[IC_Current]

Widzieliście wiadomość od Vikingów w kwestii procedury wnioskowania o duplikat SIM?

Oni są kompletnie niepoważni - chcą by komplet danych, które umożliwiają prawie całkowite przejęcie tożsamości (nie ma tylko wystawcy dowodu i imion rodziców) wysyłać do nich w jednym emailu. SIM wyślą potem kurierem, któremu można okazać przecież przygotowany wcześniej dowód "kolekcjonerski".

[Remington]

Kliknijcie w wymianę SIM w webowym Mój Orange . Działa dobrze muszę przyznać.

@IC_Current,
wklej tu może tego maila.

[IC_Current]

Co daje Vikingowi zastrzeżenie PESEL-u?

Wolimy bardziej vikingowe maile niż ten, ale safety first.

​
Dlatego przekazujemy Ci ważną informację. Od 1 czerwca 2024 przy wydawaniu duplikatu karty SIM weryfikujemy, czy Twój PESEL nie został zastrzeżony.

​Dotyczy to następujących przypadków wymiany:

​SIM → SIM
SIM → eSIM
eSIM → eSIM
eSIM → SIM
​

Zmiana została wprowadzona w Ustawie o Prawie Telekomunikacyjnym (na 244 strony…), więc to nasz święty obowiązek. Szczegóły sprawdzisz we fragmencie oznaczonym jako Art. 60c.

Jak to u nas działa?

​Wymiana karty SIM/eSIM odbywa się wyłącznie na podstawie prośby przesłanej mejlem (z adresu powiązanego z Kontem Vikinga), w którym podajesz następujące dane:

imię i nazwisko
PESEL
nr dowodu osobistego
dane adresowe do przesyłki
numer telefonu dla kuriera (w przypadku karty SIM)

Po otrzymaniu tych danych, sprawdzamy na stronie gov.pl, czy Twój PESEL jest na ten moment zastrzeżony.

PESEL nie jest zastrzeżony? No to procesujemy wymianę karty SIM/eSIM.​

PESEL jest zastrzeżony? Albo rejestr zastrzeżeń numerów PESEL jest czasowo niedostępny? Wtedy odmawiamy wymiany. Zamykamy zgłoszenie, więc jeśli chcesz ponownie złożyć zamówienie, to potrzebne jest nowe zgłoszenie.

​

Masz zastrzeżony PESEL i chcesz zamówić duplikat karty SIM/eSIM? Cofnij zastrzeżenie PESEL-u. Uzbrój się w cierpliwość - sam proces może być kłopotliwy, gdy zależy Ci na czasie, bo np. zgubiłeś kartę na wakacjach.

Jak zastrzec lub cofnąć zastrzeżenie PESEL-u?
Zrobisz to w apce mObywatel 2.0 lub w serwisie mObywatel oraz w urzędzie gminy.

Bezpiecznego rejsu! 🛟
załoga Vikingów

PS Chcemy Ci szczerze powiedzieć, że zastrzeżenie PESEL-u wspomaga bezpieczeństwo, ale nie eliminuje całkowicie ryzyka nadużyć. Zawsze chroń swoje dane, a będzie Ci… dane.

[Remington]

Druciarstwo na potęgę.

Zupełnie nie rozumiem po co im nr dowodu.

[Ciupaga]

Nie rozumiem.

Do wydania duplikatu nie możemy mieć zastrzeżonego peselu.

Do przeniesienia numeru pesel może być zastrzeżony i numer się przeniesie.

Gdzie tu logika??

[Remington]

Cieszyńskiego pytaj, a nie nas .

Chciał widocznie ograniczyć tylko SIM swap.

[babciagienia1p]

@Remington
I nie można zmienić rozporządzenia tego Cieszyńskiego? Ja Cię nie mogę... Ale on ma długie ręce...

[Remington]

Czasem powalasz doświadczeniem, a czasem naiwnością. Jakie rozporządzenie? Toż to ustawa przecież, która wyszła z jego resortu i takie on przyjął założenia.

Była konsultowana i procedowana przez ponad pół roku, a później miała chyba 7 czy 8 miesięcy okresu przejściowego na dostosowanie - w sumie wyszło 1,5 roku. Obecny minister musiałby wyjść z inicjatywą zmiany (a wcześniej wpaść na pomysł) i przeprowadzić przez całą ścieżkę włącznie z daniem czasu operatorom na dostosowanie - czyli krócej, ale kolejny około rok. Dlatego takie zmiany zbiera się w paczki, a nie robi pojedynczo - zbieranie trwa czasem latami. Ale o czym my mówimy, skoro przez 8 lat nie poczyniono nic w celu uszczelnienia zasad rejestracji prepaidów.

[babciagienia1p]

@Remington
1) Eeee tam... Grubsze rzeczy zmienia się... uchwałami...

2) Tak poważnie. Wystarczyłaby tylko zmiana (dodanie kilku słów) w Art. 5.
https://sip.lex.pl/akty-prawne/dzu-dzie ... w-21856968

Obecny minister musiałby wyjść z inicjatywą zmiany (a wcześniej wpaść na pomysł) i przeprowadzić przez całą ścieżkę włącznie z daniem czasu operatorom na dostosowanie - czyli krócej, ale kolejny około rok.

Dostosowanie nie trwałoby tak długo, bo tym razem nie dotyczyłoby wielu procedur, instytucji i podmiotów, tylko jednej czynności przeprowadzanej przez operatorów. Największy problem to... wpadnięcie na pomysł.
Zasada "lepiej nic nie robić, bo jak się robi, można coś sp..." wiecznie żywa...

PS. Zdarza się, że naiwność ma pozytywny aspekt w niektórych dziedzinach. Od nauki po działalność gospodarczą. Ogólnie - we wprowadzaniu zmian. Warto czasami wyłączyć niedasizm.

---------Edycja_1-------------
Nie ma przepisu, który zabraniałby operatorom-biorcom nie rozpoczynać procedury przeniesienia, jeśli PESEL jest zastrzeżony. Podobnie, w okresie przejściowym, żaden podmiot nie wychylił się (również banki) i wszyscy czekali do 1 czerwca 2024, mimo że mogli sprawdzać zastrzeżenie wcześniej.
Wielu operatorów potrafi wymagać numeru dowodu osobistego przy przeniesieniu, chociaż brak jest przepisu, który narzuca taki wymóg.

[Remington]

Przeceniasz polskich polityków. Żaden z 560 parlamentarzystów nie zgłosił propozycji objęcia tym przenosin numeru, ani nie zrobiła tego żadna z opiniujących instytucji, szczególnie UKE. To właśnie UKE powinno pukać do drzwi ministra, bo jako wykwalifikowany podmiot zna się na tym najlepiej. Pozostawiono więc oszustom lukę.

W najbardziej pozytywnym scenariuszu za jakieś 2 lata powstanie opracowanie omawiające skutki ustawy i sugerowane rozwiązania na przyszłość. I może ministerstwo widzie z inicjatywą.

Choć spodziewam się raczej indolencji jak w przypadku prepaidów.

[Remington]

Uzasadnienie do projektu PKE w zakresie weryfikacji zastrzeżeń PESEL:

Art. 297
Weryfikacja tożsamości przy wydaniu duplikatu karty lub urządzenia.

Projektowane przepisy nakładają na przedsiębiorcę telekomunikacyjnego obowiązek weryfikowania istnienia zastrzeżenia numeru PESEL, przed wydaniem duplikatu karty SIM, jeśli zawarcie umowy o świadczenie usług komunikacji elektronicznej następuje z osobą fizyczną posiadającą nadany numer PESEL. Możliwość uzyskania duplikatu karty SIM rodzi poważne konsekwencje związane z możliwością zmiany kanału autoryzacji w bankowości elektronicznej, a tym samym uzyskanie przez oszusta kontroli nad aktywami zgromadzonymi w banku.

W projekcie przewidziano analogiczne rozwiązania, jak w przypadku innych przepisów, dotyczące ewentualnej niedostępności systemu teleinformatycznego, w którym prowadzony jest rejestr zastrzeżeń numerów PESEL, pozostawiając dostawcy usług możliwość odmowy wydania duplikatu karty SIM (lub jej odpowiednika) albo dokonania tych czynności po uprzedniej należytej weryfikacji tożsamości osoby. Regulacje dotyczące weryfikacji dokonywanej przed wydaniem karty wykorzystywanej w publicznej sieci telekomunikacyjnej, w tym ruchomej publicznej sieci telekomunikacyjnej dotyczą w szczególności wydawanych kart SIM zawierających numer IMSI i numer SSN. Jednocześnie należy wskazać, że jest to najpopularniejszy standard identyfikacji użytkownika w momencie projektowania regulacji, jednakże rozwój sektora komunikacji elektronicznej może przewidywać nowy standard identyfikacji użytkownika sieci, dlatego też nie wskazywano w ustawie na jeden konkretny standard.

Regulacje dotyczące karty SIM odniesiono także do urządzeń sieciowych zapewniających identyfikację abonenta oraz ich cyfrowych odwzorowań (nie fizycznych). Z uwagi na zjawisko SIM swappingu, który rodzi negatywne konsekwencje także w obszarze działalności zawodowej podmiotowo regulacją objęci zostali wszyscy abonenci, nie tylko abonenci będący konsumentami.

Konieczność zapewnienia weryfikacji dokonanej przed wydaniem kopii albo wtórnika karty albo urządzenia sieciowego wynika z konieczności zapewnienia regulacji możliwe najlepiej neutralnej technologicznie. Obecnie wykorzystywane w ruchomej publicznej sieci telekomunikacyjnej są urządzenia, które potrafią się zidentyfikować z wykorzystaniem numeru IMSI. Obecne wykorzystanie numeru IMSI wynika co do zasady z rekomendacji ITU-T E.212 (09/2016) oraz specyfikacji 3GPP 23.002 (v. 17.0.0 z 30.03.2021). Z rekomendacji ITU wynika, że urządzenie końcowe może posiadać wbudowaną kartę (SIM) a co za tym idzie może identyfikować się samodzielnie z wykorzystaniem przypisanego numeru IMSI i powiązanego tylko z tym urządzeniem. Obecnie, co do zasady, nie jest to powszechnie stosowane rozwiązanie, jednakże projektując przepisy prawa należy zadbać, aby były one możliwe do realizacji również w sytuacji zmieniającego się otoczenia technologicznego.

Analogicznie jak w przypadku kart lub urządzeń identyfikujących się w sieci ruchomej, należy zadbać o ochronę abonenta w sieci stacjonarnej. W takim przypadku, przed wydaniem kopii albo wtórnika urządzenia umożliwiającego samodzielną identyfikację w sieci stacjonarnej, tj. takiego który został oznaczony po stronie dostawcy usług telekomunikacyjnych w tablicy abonentów, konieczne jest dokonanie weryfikacji określonej w przepisach. W przypadku wydawania kopii albo wtórnika urządzenia, które nie może samodzielnie identyfikować się w publicznej sieci telekomunikacyjnej (np. router bez przypisanego numeru IMSI z miejscem na kartę SIM) nie zachodzi konieczność weryfikacji opisanej w ustawie. Jednakże w przypadku wydawania kopii albo wtórnika urządzenia, które w momencie wydania może samodzielnie zostać zidentyfikowane w sieci telekomunikacyjnej (ruchomej lub stacjonarnej) i które w momencie wydawania zostało ustalone jako możliwe do zidentyfikowania przez dostawcę usług telekomunikacyjnych jako urządzenie powiązane z konkretnym abonentem, taki obowiązek zachodzi.

[KC-KARLOS]

Ale te alerty o weryfikacji numeru PESEL z aplikacji mObywatel są irytujące. Wystarczy jedynie przejrzeć zakładkę z kartami SIM czy kodem PUK w aplikacji Mój T-Mobile i już wszczynany jest alert. PESEL zastrzeżony.

[Remington]

Powiadomienia są OK. Pretensje i to całkiem uzasadnione należą się TM dlaczego sprawdza zastrzeżenie PESEL wbrew przepisom - powinno się to odbywać dopiero przy próbie uzyskania duplikatu, a tu jest tylko pasywne przeglądanie strony.

[KC-KARLOS]

Po wyłączeniu zastrzeżenia już po wejściu na zakładkę z kartami od razu wyskoczył monit o weryfikacji + pojawił się odnośnik do wymiany na eSIM.
W Play nic się takiego nie dzieje.
Co ten Cieszyński zrobił? Nie tak to powinno działać.

[Remington]

Cieszyński nie wprowadził przepisu wymuszającego weryfikację zastrzeżenia PESEL w celu samego sprawdzenia możliwości wymiany SIM, a coś takiego TM zaimplementował.

Weryfikacja ma być przed wydaniem duplikatu. Równie dobrze mogliby PESEL weryfikować przy każdym logowaniu, bo a nuż klient zechce wyrobić duplikat . Niezrozumiała implementacja, a wręcz zła skoro generuje nadmiarowe zapytania do rejestru zastrzeżeń. Zapytanie powinno zostać wysłane najwcześniej w momencie, gdy użytkownik rozpocznie proces wymiany.