Materiały nie wyrażają poglądów redakcji. Różnorodność celowa. Oceny i wnioski pozostawiamy Czytelnikom.
A A A

Jak odmłodzić się o 20 lat, posiąść apartamenty nad Bałtykiem i rozrzucać pieniądze na wyspach Bahama. Profil zaufany EPUAP daje możliwość wyrobienia dowodu osobistego na dane innej osoby. Pozwala na ingerencję w rozliczenia innej osoby (w tym również prowadzącej działalność gospodarczą) z  urzędem skarbowym czy ZUS. O  sprawie poinformowaliśmy premiera, ministra finansów, Ministerstwo Cyfryzacji, rządowy Centralny Ośrodek Informatyczny, Generalnego Inspektora Ochrony Danych Osobowych. Panie premierze, dane 2,5 miliona Polaków są zagrożone! A suweren nie ma połączenia z rządem.

 

Profil z ograniczonym zaufaniem Państwo

polskie jest bardzo dumne z  tego badziewia, jakim jest system EPUAP. ZUS, administracja celna, a przede wszystkim administracja podatkowa zachęcają, byśmy rejestrowali się w EPUAP. Mając profil zaufany, mamy coś w rodzaju elektronicznego podpisu.

Możemy rozliczać się z podatków, wskazać urzędowi skarbowemu, na jakie konto ma nam zwrócić nadpłatę zaliczki na podatek dochodowy albo wyrobić nowy dowód osobisty.

Siedząc w domu przy komputerze, wypełniamy wniosek, wysyłamy go drogą elektroniczną, a za jakiś czas idziemy po odbiór nowego dowodu. EPUAP to bardzo wygodne narzędzie. Najwygodniejsze dla oszustów.

Jak ustaliłem, nieznana liczba całkowicie przypadkowych osób w Polsce ma dostęp do profili zaufanych innych osób.

Moja rozmówczyni wyrobiła sobie nowy dowód osobisty. Wniosek przyjęto, dowód przygotowano. Dopiero przy jego odbiorze moja rozmówczyni zorientowała się, że na dowodzie jej są wyłącznie zdjęcie, imię oraz nazwisko.

Wszystkie pozostałe dane należały do kogoś innego. Na potwierdzenie tej opowieści otrzymałem stosowne materiały. Gdy usiłowałem weryfikować tę kwestię, usłyszałem, że jest to niemożliwe.

Swój profil zaufany mam w EPUAP od  kilku lat. Ostatnio logowałem się tam na przełomie roku. Za cholerę nie wiem dlaczego. Pewnie brakło wódki. Chciałem zamówić flaszkę i pomyliłem funkcjonujące w internecie nocne pogotowie zakupowe ze swoim profilem zaufanym.

Kolejny raz postanowiłem użyć swojego profilu zaufanego już nie do kupowania napojów wyskokowych, lecz do sprawdzenia, czy ja też mogę zafundować sobie dowodzik innego nieboraka.

W poniedziałek 7 maja spróbowałem wyrobić sobie nowy dokument tożsamości. System zaakceptował mój login oraz hasło, otworzył mój profil zaufany i  powróciłem do  czasów młodości.

Odmłodnieć o 20 lat

Co  prawda w  czasach smarków pod nosem nie było czegoś takiego jak internet, a  tym bardziej profil zaufany EPUAP. Jednak ten informował mnie radośnie, że  jestem młodszy równo o 20 lat. I jak tu się nie cieszyć?

Tym bardziej że byłem również znacznie bogatszy niż dzień wcześniej. Mój profil zaufany EPUAP powiadomił mnie, że już nie pracuję u Urbana, lecz utrzymuję się z wynajmowania luksusowych apartamentów nad morzem. Mam też inny PESEL.

Jeśli nadal chcę złożyć wniosek o wydanie nowego dowodu osobistego, to będzie na nim numer PESEL innej osoby, młodszej ode mnie o wspomniane 20 lat, będącej właścicielem luksusowych apartamentów nad morzem. Być może pod te apartamenty chciałbym wziąć kredyt? I kupić ferrari albo porsche?

Profil zaufany mnie młodszego o lat 20 umożliwił mi logowanie się w systemie administracji podatkowej. Pewnie mogłem wskazać urzędowi skarbowemu nowe konto do rozliczeń, czego już nie próbowałem, gdyż byłoby to przestępstwo.

Następnie profil zaufany poprowadził mnie do ZUS. Tam również mogłem namieszać, nie mówiąc już o tym, że mogłem sprawdzić, czy jako właściciel luksusowych apartamentów regularnie płacę wszystkie składki.

Zabawa w głuchy telefon

I  wtedy popełniłem kardynalny błąd. Zamiast złożyć wniosek o wydanie nowego dowodu osobistego, odebrać go z nie swoimi danymi, a następnie wziąć pokaźny kredyt gotówkowy, wyjechać na Bahamy i wygodnie tam żyć przez następne lata, zachowałem się jak uczciwy dupek.

Postanowiłem zaalarmować instytucje państwowe. Nie wiem, dlaczego zacząłem od  ZUS. Infolinia ZUS powiadomiła mnie, że ze względu na kolejkę chętnych do rozmowy przewidywany czas oczekiwania na połączenie wynosi 57 minut.

Niepowodzeniem zakończyła się również próba kontaktu z kimś z ZUS poprzez czat. W oczekiwaniu na to, aż ktoś się po drugiej stronie objawi, zdążyłem zjeść obiad.

Infolinia Krajowej Administracji Skarbowej poinformowała mnie z kolei, że jestem 48. w kolejce.

Skoro infolinia KAS nie chce ze mną rozmawiać, to  może porozmawia minister.

W sekretariacie ministra finansów telefon odebrała miła pani.

–  Trzeba wyłączyć EPUAP. Dane Polaków są  w  niebezpieczeństwie! – oznajmiłem.

Zostałem wysłuchany i  odesłany do Ministerstwa Cyfryzacji. To ten resort odpowiedzialny jest za system EPUAP.

– Gdzie mam dokładnie zadzwonić? – spytałem. Pani chwilę pomyślała i odrzekła:

– No, chyba też do gabinetu ministra. Minister cyfryzacji i  jego sekretarka nie odebrali telefonu. Być może idą spać równo z czatem administracji skarbowej. Czuwało jednak biuro prasowe ministerstwa. A w nim pan Karol Manys.

– Co prawda nie do państwa mnie skierowano, lecz bezpośrednio do gabinetu ministra, ale nikt tam nie odbiera.

– Też czasami nie odbieram telefonu, ale to nie znaczy, że nie pracuję.

Trzeba dbać o własny interes

Pan Karol wysłuchał mojej relacji. Nie bardzo chciał mi uwierzyć.

– Nie wydaje mi się możliwe, żeby ktoś mógł posługiwać się pana profilem zaufanym albo pan czyimś profilem zaufanym. Takiej możliwości nie ma.

–  Czyli dobrze, że  alarmuję, skoro państwo uważają, że taka sytuacja nie może mieć miejsca?

–  Nie może mieć miejsca. Nie jest możliwe, żeby Jan Kowalski numer jeden posługiwał się profilem zaufanym Jana Kowalskiego numer dwa. I na odwrót.

–  Pan mi  nie wierzy. Mogę panu podać moje dane logowania albo prześlę zdjęcia.

Wreszcie pan Karol zaczął zadawać prawidłowe pytania:

– Ta osoba ma takie samo imię i nazwisko jak pan?

– Właśnie.

– I pan się dostał na jej profil na swoje hasło i na swój identyfikator?

–  Właśnie. Inaczej nie dzwoniłbym ani do  biura ministra finansów, ani do biura ministra cyfryzacji.

–  Zakładam, że  nie mamy do  czynienia z  jakimś żartem czy nieporozumieniem.

– Już panu wysyłam fotokopie tego, co widzę.

– Nie chcę od pana fotokopii.

– Przynajmniej wiedziałby pan, czy ma pan do czynienia z żartem.

–  Ale nie jestem w  stanie ani nic sprawdzić, ani przedsięwziąć. Nie mam takich możliwości technicznych.

Karol Manys doradził mi  również, abym na wszelki wypadek unieważnił profil zaufany dzielony z inną osobą.

– To przecież jest odpowiednik pana podpisu – wyjaśnił.

– Ale jeśli ja teraz unieważnię ten profil zaufany, to unieważnię go komuś.

– A co to pana obchodzi? Pan dba o swoje interesy

Zostałem poinstruowany, by o sprawie poinformować Centralny Ośrodek Informatyki. Przyjmuje on zgłoszenia o tzw. incydentach związanych z działaniem rządowych systemów cyfrowych.

–  Dzień dobry. W  czym można pomóc?

– Dzień dobry. Trzeba natychmiast wyłączyć EPUAP, ponieważ ta usługa służy przestępcom.

Chwila milczenia.

–  To  nie ode mnie zależy, tylko od Ministerstwa Cyfryzacji.

–  Dzwoniłem do  Ministerstwa Cyfryzacji. Stamtąd mnie odesłano do państwa.

Krótsza chwila milczenia.

– Dobrze. I w jaki sposób mam wyłączyć system, z którego w tym momencie korzysta 2,5 miliona ludzi?

–  No właśnie. I  dane wielu z  tych 2,5  miliona ludzi być może wyciekły. Myślę, że o tej sprawie powinien zadecydować premier. Skoro jednak odesłano mnie z  Ministerstwa Cyfryzacji do państwa, z tym problemem dzwonię do pana.

– Od razu panu mówię, że taka możliwość nie istnieje z naszej strony, żeby wyłączyć system EUAP.

– Być może od pana to nie zależy. Natomiast natychmiast należy podjąć działania zapobiegawcze.

–  A  dlaczego pan sądzi, że  dane są zagrożone?

– Na tej podstawie, że zalogowałem się do EPUAP i wyświetliły mi się dane innej osoby.

Dłuższe milczenie.

– Na jaki login pan się zalogował?

–  Na  swój. Podałem swoje hasło. Wydawałoby się, że  jest rzeczą niemożliwą, żeby się wyświetlił inny profil, prawda?

– Zgadza się.

– I w Ministerstwie Cyfryzacji powiedziano mi, że to jest niemożliwe.

Błąd systemu, czyli masakra

Rozmowa przeszła na kwestie techniczne. Wspólnie zalogowaliśmy się do EPUAP.

– Widzi pan? Mój login, moje imię, moje nazwisko, tu mój e-mail, a tu nie mój e-mail i  nie mój PESEL, numer telefonu i tak dalej. W historii logowania kilka różnych IP (numery identyfikacyjne komputera). Dziś widać moje IP. W kwietniu, marcu czy styczniu nie wchodziłem do EPUAP. A są tu odnotowane wejścia z  IP, którego nie znam. Moim zdaniem system zmieszał ze sobą 2 profile zaufane. No to chyba będziemy wyłączać ten EPUAP?

–  To  nie ode mnie zależy. Hmm, faktycznie musiała jakaś zbieżność wystąpić...

–  Mój komputer takich cudów nie potrafi. A  pan ze  mną rozmawiał jak z wariatem.

– Dlatego, że pan tak zaczął rozmowę, jak gdyby to ode mnie zależało.

–  Jeśli zadzwoniłem do  ministra, stamtąd mnie odesłano do  drugiego ministra, a  ostatecznie odesłano mnie do pana, to znaczy, że pan jest ważniejszy.

– Ja jak ja, ale administrator systemu.

Dorzuciłem drobną informację na swój temat.

–  Widzi pan PESEL? Zaczyna się od 87.

– A pana jak się zaczyna?

– Jestem starszy o 20 lat.

– Rozumiem – tym razem głos był lekko drżący.

Następnie zaprosiłem do wspólnego rozważenia skutków tej sytuacji.

– Wie pan, co to oznacza? Osoba nieuczciwa może wziąć kredyty na inną osobę.

– Kredytu nie weźmie – zaoponował pan z COI.

–  Jak to  nie? Przecież za  pomocą EPUAP mogę wyrobić dowód osobisty.

–  Właściwie tak –  pan przyznał mi  rację. –  W  dodatku z  danymi tej osoby.

– Dlatego nie żartowałem, gdy mówiłem o konieczności wyłączenia systemu. Sądzę, że pan nie chciałby, żeby pana dane hulały sobie nie wiadomo gdzie?

–  Oczywiście, że  nie. Masakra – stwierdził mój rozmówca. – Tak jakby były 2 konta z tym samym identyfikatorem, co nie powinno się zdarzyć. Błąd systemu.

– Może błąd, a może czyjaś zła wola. Może ktoś stworzył w tym systemie furtki do wyprowadzania danych? – zacząłem się zastanawiać.

Incydent 552546

Moje zgłoszenie zostało zarejestrowane jako „Incydent nr 552546”. Ktoś miał się ze mną kontaktować – w tym celu poproszono mnie o podanie numeru telefonicznego. Mojego numeru. Ale ponieważ czas mijał, nikt nie dzwonił, a ja dalej mogłem bruździć mojemu drugiemu ja, podjąłem kolejną próbę zainteresowania organów państwa polskiego problemem dotyczącym około 2,5 miliona obywateli załatwiających rozmaite sprawy urzędowe poprzez EPUAP.

–  Sekretariat biura prezesa Rady Ministrów, słucham.

– Chodzi o system EPUAP. Z nikim innym tej sprawy nie mogę załatwić. Trzeba ten system wyłączyć.

– Proszę pana, bardzo proszę, chwileczkę. Ja  pana spróbuję połączyć z wydziałem, który zajmuje się obsługą tego typu spraw.

Oczami wyobraźni ujrzałem drągali w białych kitlach i siebie w kaftanie bezpieczeństwa.

– Co to za wydział?

– Cent... To jest wydział... Sekundkę...

– Jeśli chce mnie pani odesłać do biura prasowego, to informuję, że jestem po rozmowie z przedstawicielem biura prasowego w  Ministerstwie Cyfryzacji. Stamtąd odesłano mnie do COI. Tam z kolei powiedziano mi, że chodzi o dane 2,5 miliona ludzi. Chyba biuro prasowe nie podejmie w  tej sprawie żadnej decyzji?

–  Na  chwilę obecną nie potrafię panu powiedzieć, kto się merytorycznie tą sprawą zajmie.

–  Zastanówmy się więc wspólnie, co możemy teraz zrobić, żeby ta informacja dotarła do pana premiera. Przecież jeśli wyrobiłbym dowód osobisty na tamtą osobę, wziął kredyt, nie spłacił i uciekł, to do więzienia poszłaby inna osoba. Jeśli dałbym zlecenie o zwrocie nadpłaconego podatku dochodowego przez tamtą osobę na wskazane przeze mnie konto, to tak by się stało.

– No, podejrzewam, że tak. Tak, tak...

– Nie mówiąc o wielu innych sposobach wykorzystania profilu zaufanego.

–  Proszę zaczekać na  linii. Ja  się spodziewam, że  pan premier osobiście tą sprawą nie będzie się zajmował. Muszę to uzgodnić i natychmiast pana z kimś połączę.

Po chwili: – Halo. Sekretariat biura prezesa Rady Ministrów.

– Znowu się słyszymy.

– O, wróciło do mnie. Próbowałam pana połączyć z Departamentem Spraw Obywatelskich, ale, niestety, dochodzi godzina osiemnasta. Nie wiem, czy mają dyżur. Nikt nie odpowiada.

–  Na  pewno kontaktowałbym się wcześniej, tylko próbowałem interweniować, korzystając wpierw z przeróżnych infolinii, np. w ZUS.

– No tak, tak. Do ZUS-u trudno się dodzwonić.

Wreszcie pani podała mi następujący adres Kancelarii Premiera: kontakt@ kprm.gov.pl.

–  Myślę, że  pana e-mail zostanie szybko załatwiony. Jest to adres do  Departamentu Spraw Obywatelskich do  pilnych zgłoszeń. Tam będą musieli panu na mail coś odpowiedzieć. Powinien być tam jakiś dyżur i  ktoś maile powinien czytać.

Na pewno pan otrzyma jakąś odpowiedź. Tak mi się przynajmniej wydaje, że powinno być. Co więcej panu mogę poradzić?

Tyle pani z sekretariatu premiera. Gdy już przestała odsyłać mnie do wariatkowa, okazała się całkiem miła, acz, niestety, niezorientowana w sposobie funkcjonowania Kancelarii Premiera i innych urzędów państwowych.

Postąpiłem, jak mi doradziła. W tym samym dniu zgłosiłem jeszcze sprawę Generalnemu Inspektorowi Danych Osobowych. Wcześniej oczywiście COI zarejestrował „incydent”.

* * *

Nazajutrz po południu nadal mogłem wyrabiać dowód osobisty na zupełnie inną osobę. Nikt do mnie nie oddzwonił ani nie odpisał. Przestrzegam, że pan premier ma takie samo imię jak ja. Być może za tydzień będę mógł wejść na profil zaufany należący do niego.

MATEUSZ CIEŚLAK "NIE" nr 19/2018

Dodaj komentarz

Kod antyspamowy
Odśwież

CoalaWeb Social Links

Opublikuj: