Iako je online prodaja fenomenalna stvar, nije mali broj slučajeva prijavljeni krađa identiteta, kao npr. predstavljanje u naše ime prilikom kupnje telekom paketa usluga i najskupljih mobilnih uređaja.
 
Imamo i drugačiji primjer krađe identiteta:
 
Kontaktni centar zaprima poziv osobe koja se predstavlja kao korisnik telekom usluga i traži izmjenu email adrese na koju želi primati daljnje račune za usluge. Agent kontaktnog centra mora provjeriti identitet osobe prema pisanoj proceduri operatora. Pita ga za OIB i adresu stanovanja, dobiva točne odgovore i mijenja email adresu za primanje računa. Pri tom telekom operator ne šalje korisniku obavijest na dosadašnji email o izvšenju zahtjeva.
 
Nakon mjesec dana javlja se stvarni korisnik stare email adrese koji je i stvarni korisnik telekom usluga da nije primio račun i potvrđuje da nije dao nikakav zahtjev za promjenom email adrese.
 
Odakle prevarantu podaci o imenu, prezimenu, OIB-u, adresi stanovanja, telekom uslugama koje koristi?
 
Odgovor je jednostavan, zar ne? S ispisanog računa kojeg je pravi i ekološki osviješten korisnik bacio u kantu za razvrstavanje papirnatog otpada.
 
EDPB je stava da otkrivanje podataka iz računa telekom operatora može uzrokovati visok rizik za korisnika jer podaci o uslugama i njihovom korištenju mogu otkriti privatne aspekte života korisnika i obitelji, životne navike i njegove kontakte te da može dovesti do materijalne štete korisniku praćenjem njegovog kretanja ili čak i ulaskom u račun na portalu operatora ili saznati detalje za prijavu na druge portale istog korisnika.
 
Stoga je operator obvezan obavijestiti AZOP o ovoj povredi podataka i stvarnog korisnika da isti može brzo reagirati, promijeniti svoje lozinke i pratiti stanje ugovorenih usluga ili bankovnog računa.
 
No, ovaj slučaj ukazuje na bitnu stvar - propust je učinjen u postupku identifikacije podnositelja zahtjeva i mora se pod hitno unaprijediti.
 
Identifikacija podnositelja zahtjeva ne može se provoditi na podacima koji su javno dostupni ili im se može pristupiti. Tu spada i provjera identiteta putem pitanja o npr. imenu psa, prve učiteljice ili mjestu rođenja.
 
Za identifikaciju treba koristiti podatak koji znaju samo podnositelj zahtjeva i operator, ili koristiti višestruku autorizaciju slanjem emaila na stari email i traženje potvrde za izvršenje zahtjeva.
 
 
Izvor: EDBP javna rasprava o Smjernicama u vezi obavještavanja o povredama podataka
 
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en