Šiuolaikinė visuomenė vis labiau tampa priklausoma nuo asmeninės informacijos, skirtos įvairiose situacijose identifikuoti asmenis. Tokia informacija gali būti naudojama prisijungti prie elektroninių banko sistemų, gauti e. valdžios paslaugas ir pan. Kaip tapatybės siejasi su identifikavimu?
Visų pirma reikia paminėti, jog tapatybė neatskiriama nuo individualumo. Tapatybė gali būti nustatoma naudojant identifikatorius: biometrinius identifikatorius (pvz., pirštų atspaudai, balsas), rašytinius identifikatorius (pvz., vairuotojo pažymėjimas), finansinius identifikatorius (pvz., banko sąskaita).
Tapatybė sietina ir su asmens duomenimis. 1981 m. Europos Tarybos konvencijoje „Dėl asmenų apsaugos, susijusios su automatizuotu asmens duomenų apdorojimu“ asmens duomenys apibrėžiami kaip bet kokia informacija, susijusi su identifikuotu ar identifikuotinu asmeniu. Taigi, bet kokia konkretų fizinį asmenį identifikuojanti informacija sudaro tapatybės elektroninėje erdvėje turinį.
Tarptautinių žodžių žodyne tapatybė sutapatinama su identitetu. Identitetas (identitas (kilm. identitatis)) – tapatybė, ko nors apibrėžtumas, individualumas. Lietuvių kalbos žodynas tapatybę apibrėžia kaip objekto lygybę pačiam sau arba kitam objektui, tolygumą, vienodumą. Identifikavimas suprantamas kaip tapatybės pripažinimas, nustatymas; sutapatinimas.
Taip pat būtina pabrėžti, kad tapatybė fizinėje erdvėje yra visiškai kitokia nei elektroninėje erdvėje. Fizinėje erdvėje savo tapatybę asmuo patvirtina vienu iš privalomų elementų – asmens dokumentu. Elektroninėje erdvėje tapatybę gali atstoti vardas ir slaptažodis. Vardas – kokio nors objekto sutartinis, tą objektą vienareikšmiškai identifikuojantis pavadinimas. Jis sistemoje turi būti unikalus. Slaptažodis – ženklų seka, žinoma tik paslaugos teikėjui ir jos vartotojui, pagal kurią paslaugos teikėjas patikrina į jį besikreipiančiojo tapatybę. Iš sąvokų matyti, kad elektroninėje erdvėje tapatybė sutapatinama su prisijungimo vardu ir slaptažodžiu ir visos saugumo užtikrinimo priemonės, pavyzdžiui skaitmeniniai sertifikatai ir kt., iš esmės atitinka asmens tapatybę elektroninėje erdvėje.
Elektroninėje erdvėje dažniausi tapatybės nustatymo būdai yra šie:
- slaptažodžio valdymas vartotojų kompiuteryje;
- tapatybės nustatymas interneto paslaugų „proxy“ serveryje;
- tapatybę nustato trečioji šalis (naudojami specialūs protokolai);
- tapatybę nustato šalis, kuri yra viena iš pasitikėjimo grupės narių (EDS sistema Lietuvoje, pasitikėjimo šalis – bankas, identifikuojantis vartotoją elektroninėje erdvėje).
Pažymėtina, kad tapatybės nusikaltimai dažnai susiję su asmens suklastotos tapatybės naudojimu. Manoma, kad suklastota tapatybė gali būti susijusi su fiziniu arba juridiniu asmeniu. Gali būti naudojama ir fiktyvi, nerealaus asmens tapatybė.
Ekonominio bendradarbiavimo ir plėtros organizacijos (EBPO) elektroninio identifikavimo rekomendacijoje identifikavimas suprantamas kaip vartotojo tapatybės nustatymas informacinėje sistemoje . Taigi, tapatybės elektroninėje erdvėje nustatymo procesas gali būti laikomas asmens identifikavimu.
Tapatybės vagystės būdai ir formos
Tapatybės vagystė elektroninėje erdvėje yra sudėtingas reiškinys. Dažniausiai ji įvykdoma naudojant skirtingus veiksmus.
Tapatybės vagystė dažniausiai yra tokių nusikaltimų kaip nelegali imigracija, terorizmas ir šnipinėjimas, šantažas, finansinių nusikalstamų palengvinimo priemonė. Ne visais atvejais motyvas yra finansinės priežastys, tai gali būti asmens persekiojimas, troškimas būti kitu. Tačiau suklastotos tapatybės kūrimas pats savaime yra nusikalstama veika.
Nusikaltimas gali prasidėti suklastojus tapatybę, kuri tampa būsimų nusikaltimų pradžia. Tapatybės vagystė neapsiriboja tik apsimetimu kitu asmeniu. Ji taip pat apima melagingos dokumentacijos naudojimą, teigiantį neegzistuojantį ryšį su teisėtomis kompanijomis, neegzistuojančiomis korporacijomis ar sukčiavimui naudojamomis organizacijomis. Suklastotos, netikros tapatybės naudojamos įkuriant teisiškai tvarkingas kompanijas. Sukurtos netikros tapatybės – klastotės, vėliau padeda išvengti atsakomybės, kilusios dėl neteisėtos tokių kompanijų veiklos.
Praktikoje tapatybės vagystės būdai evoliucionavo į atskirą sukčiavimų sritį, kuri dažniausiai skirstoma į:
- tradicinius sukčiavimus, atliekamus fizinėje erdvėje;
- moderniųjų technologijų sukčiavimus, atliekamus elektroninėje erdvėje.
Dažniausiai pasitaiko nusikaltimai pasitelkiant modernias technologijas:
- Įsibrovimas (angl. hacking). Dažniausiai sukčius apeidamas sistemos slaptažodžius, saugumo priemones, patenka į sistemą. Ypač stengiamasi pasinaudoti saugumo spragomis, neapsaugotais bevieliais, intraneto tinklais, taip pat ieškoma sistemų, kuriose dauguma apsaugos funkcijų yra išjungtos.
- Šnipinėjimo programa (angl. spyware). Tai programinė įranga, kuri be asmens žinios renka ir siunčia jo asmeninius duomenis nurodytu adresu. Dažniausiai pažeidinėjami privatumo lygiai. Renkami ir fiksuojami asmens naršymo įpročiai, dažnai lankomų svetainių adresai. Rinkodaros kompanijos kasmet išleidžia milijonus dolerių bandydamos nustatyti naudotojų išlaidų įpročius. Naršymo įpročiai paprastai nusiunčiami reklamos kompanijai, kuri ateityje pateikia tuos įpročius atitinkančią reklamą.
- Slaptažodžio žvejyba (angl. phishing, Password phishing). Pasinaudojant nepageidaujamomis elektroninio pašto žinutėmis ar netikrais internetiniais tinklalapiais bandoma išgauti prisijungimo prie informacinių sistemų slaptažodžius, kitus asmeninius duomenis. Dažniausiai tokių sukčiavimo aukos būna banko klientai, siekiama sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis. Gauta informacija gali būti panaudota pasipelnymo tikslais vykdant nusikalstamas veikas, neteisėtus prisijungimus prie informacinių sistemų, vagystes iš sąskaitų ar elektroninėje erdvėje atsiskaitant už prekes svetimomis mokėjimo kortelėmis. Taip pat egzistuoja trumpųjų žinučių sukčiavimai (angl. Smishing), internetinės balso telefonijos sukčiavimai (angl. vishing), apgaulingas laiškas (angl. scam). Tai nėra baigtinis sukčiavimų sąrašas, kiti būdai ir metodai labai panašūs į ką tik aptartuosius.
- Trojos arklys (angl. trojans). Programa, sprendžianti kokį nors naudingą uždavinį, tačiau iš tikrųjų atliekanti kitą darbą. Naikina, sugadina kompiuteryje esančius duomenis, programas. Dažniausiai trojos arkliai skirstomi į kirminams artimas programas, jos platina savo kopijas kompiuterių tinkluose. Kita rūšis – nuotolinio valdymo programos, tai įprastos programos, kurias naudoja nuotoliniam sistemų administravimui. Pavojingiausios programos pasisavina informaciją, ją persiunčia tretiems asmenims, dažnai net naudoja paprastą el. paštą ar svetaines.
- Apgaulinga IP taktika (angl. pharming). Siekiama nukreipti vienos svetainės srautą į kitą. Tai gali būti atliekama pakeitus pagrindinio kompiuterio nustatymus arba pasinaudojus sričių vardų serverių (DNS) eksploatavimo pažeidimais. Pažeisti sričių vardų serveriai vadinami užnuodytais (angl. dns cache poisoning).
- Pakartojimo ataka (angl. replay attack) – mėginama prisijungti prie kompiuterio tinklo, siekiant pakartotinai išsiųsti vartotojo informaciją. Jeigu informacija koduojama, galima pakartoti tą patį duomenų siuntimą tikintis, kad serveris patikės, jog tai tas pats vartotojas.
Pasaulyje egzistuoja daugelis kitų metodų, bet visi jie veikia panašiai, išnaudodami tinklų, sistemų saugumo ar technologines spragas.
Atsirandantys nauji metodai verčia informacinių technologijų gamintojus keisti saugumo, duomenų perdavimo ar apsikeitimo standartus. Vienintelis galimas būdas užtikrinti tapatybę elektroninėje erdvėje – galinga kriptografija. Būtent kriptografijos metodas labai sumažina tapatybės vagystės riziką.
Tapatybės vagystės elektroninėje erdvėje samprata
Šiuo metu visuotinai priimtina tapatybės vagystės elektroninėje erdvėje samprata nėra galutinai susiformavusi, netgi pačios veikos pavadinimas skiriasi. Tai sunkina kovą su šiuo pavojingu reiškiniu.
JAV, Kanadoje, Korėjoje vartojama tapatybės vagystės (angl. id theft) sąvoka, o ES šalyse tapatybės sukčiavimo (angl. identity fraud) arba tapatybės nusikaltimo (angl. identity crime) sąvokos kaip sinonimai. Prancūziškai kalbančiose valstybėse vartojamos tapatybės vagystės (pranc. vol d`identile) arba apsimetimo (pranc. usurpation d`identile) sąvokos.
Pasak Europolo 2006 metų ES organizuoto nusikalstamumo grėsmių įvertinimo dokumento (angl. EU Organized Crime Threat Assessment („OCTA“)), tapatybės vagystė ir tapatybės sukčiavimas yra sudedamosios tapatybės nusikaltimo dalys.
Tapatybės vagystė yra laikoma tapatybės sukčiavimo subkategorija, nes tapatybės vagystė apsiriboja kito asmens tapatybės vagyste, o tapatybės sukčiavimas yra susijęs su kito asmens tapatybės naudojimu sukčiavimo tikslais.
Jungtinių Tautų tarpvyriausybinės ekspertų grupės parengtoje sukčiavimo ir tapatybės klastojimo studijoje tapatybės vagystė ir sukčiavimas taip pat laikomi tapatybės nusikaltimo (t. y. visų neteisėtų veikų, susijusių su tapatybe) sudedamosiomis dalimis. Studijoje išskiriamos tapatybės vagystės ir tapatybės sukčiavimo veikos apibrėžiamos taip:
- tapatybės vagystė (angl. identity theft) – tokia veika, kai su tapatybe susijusi informacija (kuri gali būti esminė identifikuojanti informacija arba tam tikrais atvejais – kita asmeninė informacija, pvz. , asmens duomenys yra pavagiama / pasisavinama, įskaitant ir nematerialios informacijos vagystę / pasisavinimą;
- tapatybės sukčiavimas (angl. identity fraud) – identifikuojančios informacijos naudojimas padaryti kitiems nusikaltimams arba siekiant, kad išvengti nustatymo ar baudžiamojo persekiojimo.
Taigi, sukčiavimo terminas studijoje siejamas su vėlesniu pavogtos / pasisavintos tapatybės informacijos panaudojimu, siekiant apgauti kitus asmenis, t. y. įvykdyti nusikaltimą/(-us).
Jungtinėje Karalystėje tapatybės vagystė apibrėžiama kaip „veika, kurios metu gaunama pakankamai informacijos apie tapatybę, siekiant įvykdyti tapatybės sukčiavimą“. Taigi, tapatybės vagystė yra suprantama kaip parengiamieji veiksmai įvykdyti sukčiavimą.
EBPO tapatybės vagystės elektroninėje erdvėje 2008 metų ataskaitoje siūloma tokia tapatybės vagystės samprata: „Tapatybės vagystė įvykdoma, kai asmuo neteisėtai įgyja, siunčia, valdo ar naudoja kito asmens asmeninę informaciją, ketinant įvykdyti ar vykdant sukčiavimą ar kitus nusikaltimus“. Identiška samprata pateikiama EBPO 2009 metų dokumente dėl tapatybės vagystės elektroninėje erdvėje, čia taip pat pažymima, kad kol kas nėra visuotinai priimtinos tapatybės vagystės elektroninėje erdvėje sampratos. Panašios nuomonės laikosi ir Europos Komisija, komunikate dėl elektroninių nusikaltimų pateikdama tokią tapatybės vagystės sampratą: „asmenį identifikuojančios informacijos naudojimas kaip priemonės įvykdyti kitus nusikaltimus“.
Baudžiamoji atsakomybė už tapatybės vagystę elektroninėje erdvėje
Tapatybės vagystės elektroninėje erdvėje sudėtingumas lemia nevienodą praktiką vertinant šią pavojingą veiką. Vis dažniau kyla diskusijos dėl baudžiamosios atsakomybės už tapatybės vagystę elektroninėje erdvėje. Atsižvelgdamos į tapatybės vagystės keliamas grėsmes, tiek Europos Komisija, tiek Ekonominio bendradarbiavimo ir plėtros organizacija kelia tapatybės vagystės elektroninėje erdvėje veikos kriminalizavimo klausimą. EBPO laikosi nuomonės, kad valstybės narės turi kriminalizuoti tapatybės vagystę kaip atskirą nusikaltimą. Europos Komisijos komunikate dėl elektroninių nusikaltimų nurodoma, kad yra lengviau įrodyti tapatybės vagystės nusikaltimą nei sukčiavimą, dėl to tapatybės vagystės kriminalizavimas visose valstybėse narėse pageidautinas ir tai padėtų užtikrinti geresnį teisėsaugos institucijų bendradarbiavimą.
Beje, tapatybės vagystė elektroninėje erdvėje kaip savarankiška pavojinga veika jau kriminalizuota JAV, Honkonge, Indijoje ir kai kuriose kitose valstybėse. Pavyzdžiui, JAV pagal federalinius ir valstijų įstatymus, tapatybės vagystė yra specifinis kriminalinis nusikaltimas, kuris įvyksta, kai „kas nors žinomai siunčia, laiko, naudoja, neturėdamas teisės, kitą asmenį identifikuojančią informaciją, siekdamas įvykdyti įstatymų uždraustą veiką. Kitose valstybėse tapatybės vagystė elektroninėje erdvėje neišskiriama kaip savarankiškas nusikaltimas ir laikoma sudedamąja kitų pavojingų veikų dalimi (pvz., sukčiavimo, klastojimo ir kt.).
Tam tikrose valstybėse vyksta tapatybės vagystės elektroninėje erdvėje kaip savarankiškos veikos kriminalizavimas. Pavyzdžiui, Kanados vyriausybė pateikė projektą, pagal kurį tapatybės vagystė elektroninėje erdvėje laikoma savarankišku nusikaltimu. Nors kai kurios su tapatybės vagyste elektroninėje erdvėje susijusios veikos Kanados baudžiamajame kodekse jau kriminalizuotos (pvz., klastojimas), šiuo projektu siekiama kriminalizuoti parengiamuosius veiksmus (pvz., tapatybės informacijos laikymą sukčiavimo tikslais), kurie iki šiol nėra kriminalizuoti.
Tačiau, pavyzdžiui, Prancūzijoje pateiktas įstatymo projektas, kuriuo ketinta kriminalizuoti tapatybės vagystę kaip atskirą veiką, Prancūzijos teisingumo ministro buvo sukritikuotas ir atmestas kaip perteklinis, nes Prancūzijos įstatymų tam tikromis normomis jau numatyta atsakomybė už tapatybės vagystę.
Jungtinėje Karalystėje tapatybės vagystė elektroninėje erdvėje nelaikoma savarankišku nusikaltimu. Vis dėlto pagal Jungtinės Karalystės 2006 metų Sukčiavimo įstatymą, kuris įsigaliojo nuo 2007 metų, sukčiavimas kaip savarankiška pavojinga veika apima ir sukčiavimą elektroninėje erdvėje. Šioje šalyje buvo kriminalizuotos ir kitos naujos veikos: „nesąžiningas paslaugų gavimas“, „sukčiavimas internete naudojant kreditines korteles“, „kenkiančių kompiuterių programų naudojimas“ ir kt. Australijoje tapatybės vagystė elektroninėje erdvėje taip pat nelaikoma savarankišku nusikaltimu.
Taigi, priešinga nuomonė – tapatybės vagystė kaip tokia nėra atskiras pažeidimas, o kai kurie tapatybės vagystės epizodai traktuojami kaip privatumo, saugumo ar finansiniai pažeidimai arba kaip pasikėsinimas padaryti tokius pažeidimus.
Pagal galiojantį Lietuvos Respublikos Baudžiamąjį kodeksą tam tikri tapatybės vagystės elektroninėje erdvėje elementai galėtų būti vertinami kaip pavojingos veikos. Atskiros normos, kriminalizuojančios tapatybės vagyste Lietuvos Respublikos Baudžiamasis kodeksas nenumato.
Tapatybės vagystė elektroninėje erdvėje yra visuotinė problema, todėl ypač svarbi užsienio teisėsaugos institucijų pagalba. Tačiau tai, kai užsienio valstybės neturi vienodų įstatymų, kriminalizuojančių tapatybės vagystę elektroninėje erdvėje, labai varžo informaciją renkančios valstybes galimybės rinkti tapatybės vagystės elektroninėje erdvėje įrodymus atitinkamoje užsienio valstybėje. Būtų tikslinga suvienodinti tapatybės vagystės elektroninėje erdvėje kriminalizavimo praktiką visose valstybėse, šią pavojingą veiką įvardijant savarankišku nusikaltimu.
Dr. Darius Štitilis, docentas
Elektroninio verslo katedra, Mykolo Romerio universitetas
Marius Laurinaitis, lektorius
Bankininkystės ir investicijų katedra, Mykolo Romerio universitetas