Rozwój przestępczości w obszarze danych osobowych – kradzież tożsamości

Marek Blim

Autor odnosi się do groźnych skutków kradzieży oraz fałszowania tożsamości osób fizycznych i prawnych w działalności przedsiębiorcy zajmującego się ochroną osób i mienia oraz systemami alarmowymi. Wskazuje na różne zdarzenia, a także omawia ich potencjalne negatywne skutki dla firmy i jej pozycji na rynku.
Artykuł stanowi rozwinięcie problematyki zasygnalizowanej w pierwszej części cyklu opublikowanej w ostatnim numerze „Systemów Alarmowych” (6/2016).

Prawna ochrona danych osobowych ma na celu uporządkowanie wszelkich czynności zmierzających do ochrony osób fizycznych przed pochopnym ujawnieniem czy utratą ich danych stanowiących tożsamość w świecie e-biznesu. Ale jak przedsiębiorca, zajmujący się systemami alarmowymi w fizycznej i technicznej ochronie osób i mienia, może to wykorzystać w swojej praktyce zawodowej? Odpowiedź brzmi: skutecznie, zwłaszcza że świadczy usługi dla mikroprzedsiębiorstw sygnowanych nazwiskiem właściciela (np. firma „Cerber – Jan Nowak”, adres firmowy jest adresem domowym właściciela), a użytkownicy systemów nagminnie używają swoich danych osobowych do tworzenia haseł dostępowych. Odrębną kwestią jest ochrona dostępu do wybranych urządzeń (np. depozytory kluczy) z zasady realizowana w dużych firmach za pośrednictwem imiennych kart dostępowych (dane osobowe, a także elementy biometrii danej osoby fizycznej).

Pożądane jest więc wdrażanie mechanizmów zwiększających ochronę prywatności, przede wszystkim zalecanych w nowym rozporządzeniu Parlamentu i Rady Europejskiej (tzn. privacy by design – na etapie projektowania; privacy by default
– jako ustawienia domyślne), w odniesieniu do danych osób fizycznych będących użytkownikami tychże systemów ochronnych.

Przedsiębiorca w systemach ochronnych
a kwestia fałszywej tożsamości
Przedsiębiorca prowadzący firmę usługową z zakresu ochrony obiektu (systemy alarmowe, ochrona fizyczna i techniczna) jest swego rodzaju powiernikiem wiedzy w zakresie działalności zawodowej (projektowanie, montaż, eksploatacja, obsługa bieżąca czy konserwacja) w odniesieniu do chronionych zasobów (mienie, wartości, informacje, zasoby ludzkie). Sytuacja ta nakłada na niego obowiązek szczególnej wnikliwości wobec wszelkich oddziaływań zewnętrznych i wewnętrznych związanych z wykonywanymi zleceniami i kontraktami, w ocenie prawdziwości tożsamości osób nawiązujących kontakty zawodowe (wywiad gospodarczy, konkurencja) lub informacyjno-handlowe (pseudodziennikarze, środowiska przestępcze) przy okazji licznych wystaw i targów zawodowych.

Odrębną kwestią dla wizerunku firmy i jej pozycji na rynku staje się nadzór nad pracownikami własnymi i wynajętymi (zachowanie tajemnic firmy), potwierdzenie ich wiarygodności i poprawności działania (casus: napad dokonany przez ochroniarzy banku 3 marca 2001 r. na placówkę Kredyt Banku w Warszawie)1).
Wymagania ochrony wynikają z ogólnie znanych faktów związanych z działaniami o charakterze szpiegostwa gospodarczego i przestępczego typu:
– pośrednik (zwykle z fałszywą tożsamością) z podstawionymi zleceniami, rozpoznający potencjał osobowy firmy (działanie bardzo często związane z headhuntingiem);
– pseudozamówienie i oferta z SIWZ mająca na celu rozpoznanie potencjału czy możliwości organizacyjno-technicznych oraz osobowych (uprawnienia zawodowe pracowników);
– wyłudzenie istotnych informacji zawodowych od pracownika przez „fałszywego dziennikarza” pod pozorem wywiadu dla czasopisma branżowego (działanie prowadzone na ogół przy okazji targów i wystaw specjalistycznych).

Wszystkie te działania mają charakter oszustwa (fraud) i są realizowane „pod przykryciem” fałszywej tożsamości osób fizycznych (zamawiający, dziennikarz, dociekliwy interesant) lub prawnych (oferty i zapytania e-mailowe z witryn publicznych itp.), często są poparte dodatkowymi czynnościami socjotechnicznymi (tzw. oswajanie ofiary) przez oszukującego.

Zabezpieczenie podstawowe polega na ustanowieniu w firmie/przedsiębiorstwie stanowiska uprawnionego do kontaktów zewnętrznych (osoba przeszkolona i w pełni świadoma potencjalnych szkodliwych skutków w przypadku ujawnienia istotnej wiedzy), będącego filtrem informacyjnym dla otoczenia zewnętrznego, przy jednoczesnym przeszkoleniu i uświadomieniu całego personelu o potencjalnych szkodliwych dla firmy działaniach w jej otoczeniu.
Identyfikacja potencjalnych ataków umożliwia na ogół skuteczną ochronę przed nimi oraz ew. podjęcie przez zagrożonego nimi przedsiębiorcę działań administracyjno-prawnych przeciwko sprawcom.

Kradzież lub przejęcie tożsamości osoby fizycznej i jej potencjalne skutki dla firmy
Współcześnie pojęcie kradzieży tożsamości osoby fizycznej wiąże się nie tyle z utratą dokumentów papierowych (portfel z dowodem osobistym, paszportem, kartami kredytowymi, przepustkami itp.), ile z przechwyceniem danych z tych dokumentów (dane osobowe, PESEL, PIN itp.) identyfikujących i uwierzytelniających, którymi dana osoba posługuje się w kontaktach elektronicznych (e-business, e-payment, e-health itd.). Dane osoby uzyskane w nielegalny sposób mogą stać się elementem oszustwa finansowego, szantażu zawodowego lub prywatnego bądź kompromitacji w środowisku czy życiu prywatnym. Zagrożenie ujawnieniem danych osobowych na dużą skalę2) powoduje komplikacje i wymuszone działania sprawdzające osób oraz instytucji (m.in. szturm na międzybankową bazę dokumentów zastrzeżonych)3).

Poszkodowany przedsiębiorca
Mówiąc o przedsiębiorcy poszkodowanym z racji nieuprawnionego ujawnienia (w postaci przejęcia lub kradzieży danych osobowych), nie odnosimy się do niego jako osoby fizycznej, której dane osobiste zostały przechwycone i z tego tytułu poniosła ona indywidualne straty. W rozumieniu treści artykułu przedsiębiorca, właściciel firmy, jej kierownik to osoby, które z mocy prawa (uodo)4) są odpowiedzialne za ochronę wszystkich danych osobowych przetwarzanych w przedsiębiorstwie, firmie, organizacji jako ustawowy administrator danych osobowych (ADO), w tym także za ich upoważnione przetwarzanie.
Jeżeli dojdzie do ich ujawnienia, to właśnie administrator musi mieć świadomość odpowiedzialności:
– karnej – na podstawie rozdz. 8 art. 47–54 ustawy o ochronie danych osobowych (tekst jednolity: Dz.U. z 2016 r., poz. 922 z późn. zm.),
– cywilnej – w postępowaniu odszkodowawczym na podstawie art. 415 i/lub art. 429 kodeksu cywilnego z 23 kwietnia 1964 r. tekst jednolity: Dz.U. z 2016 r., poz. 380 z późn. zm.)
wszczętym przez osobę, której dane ujawniono, i jest ona z tego tytułu poszkodowaną, ponieważ wg rozdz. 5 uodo, art. 36, ust. 1 to właśnie ADO jest obowiązany zastosować środki zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy i zmianą, utratą, uszkodzeniem lub zniszczeniem zarówno u siebie, jak i w przypadku ich powierzenia usługodawcy (outsoucerowi, procesorowi) w ramach zleconej usługi.

Zatem wszelkie nieuprawnione działania skierowane przeciw zbiorom danych osobowych posiadanym przez przedsiębiorcę mogą się stać podstawą do strat i szkód w majątku firmy oraz penalizacji działań wobec jej osób funkcyjnych. Przedsiębiorstwo, firma, organizacja może także stać się ofiarą oszustwa z wykorzystaniem fałszywej tożsamości kontrahenta. Bezpieczeństwo osób poszkodowanych oraz obrotu gospodarczego zależy od powszechnego przeciwdziałania wyłudzeniom z użyciem cudzej tożsamości.
Poszkodowany pracownik
Pracownik, podejmując pracę, ma obowiązek podania pracodawcy swoich danych osobowych zgodnie z ustawą z 5 maja 1974 r. – Kodeks pracy (tekst jednolity: Dz.U. z 2014 r., poz. 1502 z późn. zm.).
Zmiany dotyczące zakresu danych osobowych pracownika wprowadzono w 2003 r., dodając poniższy artykuł:
art. 22 § 1. Pracodawca ma prawo żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko; 2) imiona rodziców; 3) datę urodzenia; 4) miejsce zamieszkania (adres do korespondencji); 5) wykształcenie; 6) przebieg dotychczasowego zatrudnienia.
§ 2. Pracodawca ma prawo żądać od pracownika podania, niezależnie od danych osobowych, o których mowa w § 1, także:
1) innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
2) numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
§ 3. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą. Pracodawca ma prawo żądać udokumentowania danych osobowych osób, o których mowa w § 1 i § 2.
§ 4. Pracodawca może żądać podania innych danych osobowych niż określone
w § 1 i § 2, jeżeli obowiązek ich podania wynika z odrębnych przepisów.
§ 5. W zakresie nieuregulowanym w § 1–4 do danych osobowych, o których mowa w tych przepisach, stosuje się przepisy o ochronie danych osobowych.

Należy jednak pamiętać, że to od przyszłego pracownika zależy, w jaki sposób, gdzie, kiedy i komu te dane zostaną przez niego przekazane. Nieprzemyślane udostępnianie własnych danych w trakcie aplikacji o zatrudnienie stwarza okazję do oszustw. Powołana 15 września 2016 r. Komisja Kodyfikacyjna Prawa Pracy być może będzie w stanie opracować podczas zaplanowanych osiemnastu miesięcy tekst kodeksu nowej, odpowiadającej rzeczywistym stosunkom prawnym, konstytucji zatrudnienia5).
Odrębnym problemem są działania socjotechniczne różnego rodzaju akwizytorów, oferentów czy konsultantów podejmowane wobec konkretnych osób w firmie i obliczone na pozyskanie danych osobowych i zawodowych pracowników planowanych do ew. przejęcia przez konkurencję („łowcy głów” – headhunting).
Jedynym sposobem przeciwdziałania są szkolenia uczące, czego można się po takich „gościach” spodziewać i jak temu zjawisku zapobiegać, aby nie dać się sprowokować do mimowolnego ujawnienia chronionych danych (często nie tylko osobowych)6).

Poszkodowany klient
Działalność przedsiębiorcy zajmującego się projektowaniem, montowaniem, eksploatacją oraz konserwacją systemów ochronnych (alarmowych, ochrony fizycznej i technicznej) jest reakcją na potrzeby rynku, na którym klienci oczekują tego typu usług w trosce o swoje dobra (mienie, wartości, informacje). Sytuacja, w której „posiadacz dóbr” czasem o znacznej wartości szuka oszczędności przy instalowaniu alarmów do ich ochrony, nie należy do rzadkości, a to w ostatecznym rachunku skutkuje często stratami, nie tylko materialnymi.

Kradzież i przejęcie tożsamości osoby prawnej i jej potencjalne skutki dla firmy
Przedsiębiorca w XXI wieku, w epoce e-społeczności i e-biznesu, realizując płatności za pośrednictwem metod typu
e-payment i e-banking, powinien pamiętać, że przestępcy dokonujący kradzieży tożsamości stosują coraz bardziej urozmaicone sposoby pozyskiwania informacji poufnych, takie jak wirusy komputerowe, robaki, konie trojańskie oraz tzw. techniki inżynierii społecznej (techniki wykorzystujące naiwność i niewiedzę innych użytkowników internetu) w odniesieniu zarówno do osoby prywatnej, jak i do uprawnionego przedstawiciela firmy.
Ponadto przedsiębiorca funkcjonujący w ramach transakcji homebankingu w swojej firmie powinien mieć świadomość, że od 2007 r. rozwijają się techniki oparte na złośliwym oprogramowaniu, takim jak Mebroot czy ZEUS, które wykradają dane wpisywane do poprawnego serwisu transakcyjnego czy strony banku. Programy tego typu ewoluują, obecnie umożliwiają nawet zmianę numeru konta docelowego w momencie dokonywania transakcji, w wyniku czego środki trafiają bezpośrednio na konto przestępcy.

Obecnie – mimo stosowania różnych metod zabezpieczeń chroniących przed przestępcami, takich jak loginy, hasła, kody jednorazowe, tokeny, hasła SMS-owe, podpisy elektroniczne – nie można czuć się w pełni bezpiecznie. Żadna ze wskazanych metod nie gwarantuje stuprocentowego bezpieczeństwa i zidentyfikowania osoby, która dokonuje transakcji bankowych. Bank również nie jest w stanie stwierdzić, kto dokonuje weryfikacji tożsamości: czy to klient, czy inna osoba. Dotyczy to osoby zarówno fizycznej (użytkownika prywatnego), jak i prawnej (firmy, przedsiębiorstwa, organizacji). Zawsze bowiem znajdzie się ktoś czyhający na chwilę nieuwagi, aby przejąć dane prywatne czy firmowe. Należy więc zachować szczególną ostrożność i dochować należytej staranności w ochronie danych poufnych przy korzystaniu m.in. z bankowości internetowej w ramach legalnych działań transakcyjnych.

Kodeks karny odnosi się bezpośrednio do stwierdzonego przestępstwa kradzieży tożsamości (art. 190a § 2, art. 267, art. 268, art. 269a, art. 269b, art. 270, art. 275). Ochronie podlega pewność obrotu prawnego, wiarygodność występujących w nim dokumentów stwierdzających tożsamość danej osoby, porządek prawny w zakresie obowiązku posiadania dokumentu tożsamości związany z posługiwaniem się dokumentami stwierdzającymi tożsamość oraz sam dokument stwierdzający toż-
samość.

W obowiązujących przepisach „dokument stwierdzający tożsamość” nie jest zdefiniowany. Zgodnie z art. 275 kk za taki dokument można uznać każdy dokument, także w formie elektronicznej, który poświadcza tożsamość7).

Definicję dokumentu wskazano w art. 115
§ 14 kk (Dz.U. z 1997, nr 88, poz. 553 z późn. zm.). To każdy przedmiot lub zapis na komputerowym nośniku informacji, z którym jest związane określone prawo albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne. Na tej podstawie można więc stwierdzić, że dokument da się sfałszować również w systemie teleinformatycznym, np. zmieniając treść e-maila. Sąd Najwyższy uznał, że dokument jest podrobiony, jeżeli nie pochodzi od osoby, w której imieniu został sporządzony8). Orzeczenie to jest zatem podstawą do karania za tworzenie e-maili łudząco podobnych do rozsyłanych, np. przez banki, firmy oferujące usługi itp.

Pseudofirma („krzak”, „słup”, fałszywe zakupy)
Są sytuacje, w których przedsiębiorca prawidłowo funkcjonujący na rynku styka się bezpośrednio, choć niekoniecznie w sposób zamierzony, z działaniami szarej strefy, np. rynku usług ochroniarskich. Towarzyszące temu zjawiska czasami wzbudzają wątpliwości, np.
– zamieszczona w ramach ogłoszeń na specjalistycznych portalach polskich oferta sprzedaży w konkurencyjnych cenach sprzętu ochroniarskiego średniej światowej klasy okazała się próbą wprowadzenia na rynek polski, za pośrednictwem doraźnie utworzonej firmy typu „krzak”, materiałów oraz urządzeń z okradzionej kilka tygodni wcześniej hurtowni niemieckiej (sic!);
– nagminne jest wykorzystywanie danych konkretnych osób (firma-słup) nieposiadających materialnego zabezpieczenia do realizacji ryzykownych transakcji materiałowych czy usługowych kończących się przepadkiem kwot wpłaconych a conto lub na faktury pro forma, na podstawie adresowanych imiennie do przedsiębiorców superofert o wyjątkowo korzystnych cenach sprzętu czy materiałów instalacyjnych, miejscu i czasie dostawy (np. loco magazyny firmy) itp. bonusach, m.in. 30-procentowy upust pod warunkiem wpłaty 10% wartości zamówienia (typowy fraud).

Przejęcie domeny, strony firmowej (domain slamming)
Oszustwo domenowe to łatwy zarobek dla sprytnych wyłudzaczy, którzy na jednej domenie zarabiają rocznie 100, 200 czy 300 zł, a nawet więcej. Niby to niewiele, ale mając kilkudziesięciu czy kilkuset oszukanych w ten sposób klientów, domain slamming może być dla nieuczciwych firm lub osób sposobem na łatwy i duży zarobek.
Oszustwo domenowe, za granicą znane jako domain name selling scam, już trafiło do Polski i ma się tu dobrze.
Schemat jest bardzo prosty. Załóżmy, że prowadzimy firmę, której domena to costam.pl. Nagle dzwoni telefon. Pani przyjemnym głosem przedstawia się, mówiąc, że dzwoni z firmy internetowej z pytaniem, czy osoba, do której dzwoni, jest właścicielem domeny costam.pl. Po potwierdzeniu ta miła pani zaaferowanym głosem informuje, że właśnie ktoś stara się wykupić domeny: costam.com.pl, costam.net.pl itd., ale wiedząc, że już wersja .pl należy właśnie do nas, również te domeny może dla nas zamówić.
W obawie przed nieuczciwą konkurencją wyrażamy zgodę, faktura pro forma po tej rozmowie zostaje wysłana w ciągu pół godziny i niezwłocznie zostaje opłacona. Firma uratowana… Ale okazuje się, że faktura za domenę wyniosła 199 zł + VAT. Nie za drogo? Tak, ok. 20 razy, gdyż w promocji można tę domenę kupić za ok. 10 zł.
Firma sprzedająca domeny na ogół istnieje i rzeczywiście je kupiła, tyle że nie dla klienta, ale dla siebie. Klient ma umowę, że od tej firmy ją dzierżawi. W przekazywanych klientom fakturach pokrętnie napisano, że opiewają one za usługi zamówienia domeny. Takie firmy nie mają akredytacji NASK ani ICANN. Niestety naiwność ludzi przyczynia się do pomnażania ich majątku, na jednej domenie mogą zarobić ok. 180 zł. Ten proceder jest powtarzany w kolejnych latach. By się przed tym ustrzec, w bazach whois.pl oraz whois.org warto sprawdzić, kto jest właścicielem oferowanych domen9).

Jak ma sobie z tym poradzić przedsiębiorca?10) Musi przede wszystkim zgłosić oszustwo policji i NASK. Nieuczciwa firma musi dokonać cesji domeny (wówczas w rejestrze NASK zostanie wpisany właściciel uprawniony do danej domeny). Często zaufane, dobre i tanie firmy, w których można bezpiecznie i uczciwie zarejestrować domenę, nie są bezpośrednim partnerem NASK, a jedynie współpracują z partnerami NASK (tak robi większość firm oferujących hosting). Zazwyczaj na swoich stronach internetowych podają one, z którym partnerem NASK współpracują, np. firma Masternet.

Osoby, które w jakikolwiek sposób zostały oszukane w związku z nazwami domen, mogą kierować sprawy do sądu polubownego lub powszechnego. Są to:
• Sąd Polubowny ds. Domen Internetowych przy Polskiej Izbie Informatyki i Telekomunikacji,
• Sąd Arbitrażowy przy Krajowej Izbie Gospodarczej w Warszawie,
• The World Intellectual Property Organization Arbitration and Mediation Center.
Na podstawie orzeczeń sądów NASK dokonuje zmian abonentów domen internetowych.

Doraźne działania krytyczne w obszarze ochrony danych osobowych w firmie
Działania w obszarze ochrony danych osobowych w firmie mają punkty krytyczne. Problemem nr 1 są sytuacje, w których dochodzi do ujawnienia na terenie firmy lub poza nią istotnych danych osobowych pracownika (pensja, kwalifikacje, awans, informacje na temat zdrowia itp.), powodujące dodatkowe zamieszanie i plotki oraz przypuszczenia co do działań kierownictwa oraz osób funkcyjnych, szczególnie gdy osoba ta zaczyna uważać się za poszkodowaną i dochodzi swoich praw za pośrednictwem GIODO11).

Problemem nr 2 dla każdego ADO (administratora danych osobowych w rozumieniu wymagań ustawowych) są sytuacje, kiedy trzeba realizować zapisy danych pracowników, klientów lub osób trzecich (kurier, listonosz, konserwator itp.) w związku z zaistniałym na terenie firmy wypadkiem z uszczerbkiem na zdrowiu. Są to kwestie protokołów powypadkowych (bhp, ppoż. i inne), a także pierwsza pomoc i ratownictwo przedlekarskie12) związane z pomocą przedmedyczną oraz obowiązkiem posiadania w firmie osób przeszkolonych (informacja przy każdej apteczce) w udzielaniu doraźnej pierwszej pomocy osobom poszkodowanym. Informacje o stanie zdrowia należą do zbioru danych wrażliwych, stąd konieczność szczególnego nadzorowania ich przetwarzania i udostępniania (wymagania ustawowe: art. 27 uodo).

Za problem nr 3 należy uznać funkcjonowanie na terenie firmy różnych usługodawców zatrudnionych w ramach out-
sourcingu zadań własnych firmy, takich jak sprzątanie, usługi żywieniowe, wywózka śmieci, konserwacja sprzętu. Wiążą się one pośrednio z poznawaniem danych osobowych personelu macierzystego firmy, a nie są (niestety) dostatecznie zabezpieczone i nadzorowane.
Nagminny jest brak odpowiednich klauzul w umowach, nie dba się o szkolenia i oświadczenia o zachowaniu w poufności informacji uzyskanych w trakcie realizacji prac, często wykonawca umowy (procesor) wprowadza na teren firmy pracownika swojego podwykonawcy, nie informując o tym zleceniodawcy.

Uwagi końcowe
Przestępczość w obszarze pozyskiwania danych osobowych rośnie lawinowo, szczególnie w sieci. Dane musimy chronić przede wszystkim sami, dlatego warto dokładnie sprawdzić, kto np. jest nadawcą e-maila. Na ogół poważna firma ma adres z własną domeną i nie musi korzystać z bezpłatnych skrzynek. Jeśli strona www tej firmy istnieje, jej właściciela można sprawdzić w bazie whois.org czy dns.pl. Dane ukryte sugerują, że takiej firmie nie można ufać.

Może się zdarzyć, że dane będą fałszywe – w grę może wtedy wchodzić skradziona tożsamość. Sprawdzając wpis w bazie whois.org, można też dowiedzieć się, ile czasu domena istnieje – jeżeli kilka dni, należy zachować szczególną ostrożność, gdyż w przypadku kradzieży tożsamości to właśnie czas istnienia domeny ma duże znaczenie.

Nie należy wierzyć w zbyt dobre oferty, tym bardziej gdy oferent towaru chce zapłaty nie na konto, ale przy użyciu serwisu, np. Western Union czy Escrow Service – na 99,9 proc. oznacza to, że mamy do czynienia z oszustem. Innym sygnałem oszustwa jest pośpiech.

Gdy firma-oferent jest lokowana w Polsce, można i należy sprawdzić jej dane w GUS pod adresem www.stat.gov.pl/regon/. W przypadku oferenta – osoby fizycznej należy skorzystać z możliwości „Systemu DOKUMENTY ZASTRZEŻONE” (system DZ). Mają do niego dostęp nie tylko podmioty z sektora bankowego, ale także wszystkie instytucje, które w ramach prowadzonej działalności identyfikują osoby na podstawie dokumentów umożliwiających stwierdzenie tożsamości. Warunkiem korzystania jest podpisanie umowy przez firmę. W imieniu Związku Banków Polskich obsługą Systemu DZ zajmuje się Centrum Prawa Bankowego i Informacji Sp. z o.o. (www.cpb.pl).

Zasada postępowania jest prosta. Zawsze licz na siebie, czyli wierz i sprawdzaj! Każdy sam musi bowiem zadbać o powodzenie prowadzonej przez siebie działalności.