Slovenski inšpektor letoval v davčnih oazah. Trdi, da so mu ukradli identiteto. Je to mogoče?

Inšpektor javne agencije za zdravila in medicinske pripomočke (JAZMP) Janez Obreza je prek kitajske podružnice panamskega podjetja Mossack Fonseca ustanavljal podjetja v davčnih oazah na otokih Samoa in Britanski deviški otoki, poroča današnje Delo. Oktobra 2011 je še eno podjetje ustanovil tudi v Hongkongu, a ga je maja 2014 zaprl.

V davčni oazi na Britanskih deviških otokih je podjetje ustanovila tudi nekdanja inšpektorica JAZMP Tatjana Alfirević, danes samostojna podjetnica za farmacevtsko svetovanje, še piše Delo.

Trditve časnika Obreza in Alfirevićeva zanikata. V uredništvu Dela so ob dokumentih, ki dokazujejo njuno lastništvo podjetij v davčnih oazah, sicer pridobili tudi overjeni kopiji njunih potnih listov, priloženi dokumentom o ustanavljanju in lastništvu podjetij.

Iz odvetniške pisarne Avbreht, Zajc in partnerji, ki zastopa Obrezo, so sporočili, da on ni nikoli registriral nikakršnega podjetja zunaj Slovenije. Kot so še zapisali, je Obreza zaradi zlorabe njegovih osebnih podatkov vložil ovadbo zoper neznanega storilca. V odvetniški družbi so še dodali, da je časopis Delo ugotovil, da podpisi na Obrezovih osebnih dokumentih niso enaki podpisom na ustanovitvenih dokumentih.

Panamski družbi Mossack Fonseca je nekdo, najverjetneje heker, odtujil več kot 11 milijonov dokumentov, ki izdajajo ustanavljanje podjetij v davčnih oazah, pranje denarja in druge finančne goljufije. Foto: Reuters

Obreza in Alfirevićeva se sklicujeta na krajo identitete – v njunem imenu je podjetja v davčnih oazah odpiral nekdo drug, menita. Obreza dopušča tudi možnost, da je podjetje v davčni oazi registriral nekdo z istim imenom in priimkom.

Po mnenju slovenskih strokovnjakov za informacijsko varnost in IT-pravo je za zdaj še nemogoče preveriti, ali je to res. Med dokumenti, ki jih z javnostjo deli Delo, namreč ni izpisov morebitne komunikacije med ustanovitelji podjetij in družbo Mossack Fonseca.

Kaj o domnevni kraji identitete inšpektorju Obrezi in nekdanji inšpektorici Alfirevićevi menita slovenska strokovnjaka

Odvetnik in strokovnjak za IT-pravo Janez Stušek: Morda je nekdo podpisal pooblastilo ali pa našel podkupljivega uradnika Odvetnik Janez Stušek Foto: Facebook

"Z gotovostjo za zdaj ne moremo trditi ne enega ne drugega. V teoriji je vsekakor mogoče, da je v omenjenih primerih res bila zlorabljena identiteta. A glede na izkušnje s pravnimi primeri po pobegih informacij o davčnih oazah v aferah Offshore leaks (2013) in LuxLeaks (2014) lahko dopuščamo tudi možnost, da so informacije v dokumentih Mossack Fonseca resnične," meni Janez Stušek.

"V večini primerov podjetja ne moreš ustanoviti kar tako. Predstavljajte si, da bi jaz pridobil kopijo vašega potnega lista in samo s tem dokumentom v vašem imenu ustanovil podjetje. To je težko. Potreboval bi vsaj vaše pooblastilo, da lahko to storim brez vaše fizične prisotnosti", dodaja Stušek, ki pa ne izključuje možnosti, da bi bilo podjetje v davčni oazi mogoče ustanoviti tudi s pomočjo podkupljivega uradnika.

(V družbi Mossack Fonseca so za Delo pojasnili, da vse njihove nove in morebitne stranke podrobno pregledajo ter da z njimi ne sodelujejo, če jim niso pripravljene dati ustrezne dokumentacije, po kateri jih je mogoče identificirati.)

Gorazd Božič, center SI-CERT: Prevzemi tujih identitet na daljavo so vsekakor mogoči Gorazd Božič je vodja nacionalnega odzivnega centra za posredovanje pri omrežnih incidentih SI-CERT (Slovenian Computer emergency response team). Foto: Ana Kovač

"Kraje oziroma prevzemi tujih identitet so pri poslovanju na daljavo vsekakor mogoči. Kako težko ali lahko izvedljivo je to bilo v konkretnem primeru inšpektorja in nekdanje inšpektorice, pa je odvisno od načina preverjanja identitete strank pri družbi Mossack Fonseca oziroma kako so preverili pristnost potnega lista (Delo piše, da je izvirno kopijo potnega lista Janeza Obreze podpisal in overil uslužbenec Mossack Fonseca Eric Wu, op. p.). Ali je šlo v obeh opisanih primerih res za krajo identitete ali ne, pa bo mogoče ugotoviti samo z ustrezno preiskavo dokumentov in predvsem s poslovanjem povezane elektronske komunikacije."

Kaj je kraja identitete?

Kraja identitete je nezakonito pretvarjanje za drugo osebo z namenom pridobitve premoženjske in informacijske koristi oziroma koristi katere druge vrste, škodovanje ugledu druge osebe ali zakrivanje lastnih sledi pri storitvi drugega kaznivega dejanja.

Storilci potrebne podatke za krajo identitete danes največkrat pridobijo digitalno (e-pošta, družbena omrežja, lažne spletne strani).

Storilci s svojo žrtvijo pogosto navežejo tudi oseben stik in želene podatke od nje izvabijo s spretno komunikacijo. Temu pravimo družbeni inženiring – žrtev se pri tem pogosto ne zaveda, da je sogovorniku posredovala osebne podatke. Foto: Reuters

"Motivi za krajo in zlorabo identitete so različni. Nekateri so tretjim osebam, katerih identiteto uporabljamo, neškodljivi, čeprav gre še vedno za nezakonito dejanje. Uporabimo jih, na primer, da skrijemo svoje pravo ime, svojo preteklost. Med resna kriminalna dejanja, povezana s krajo identitete, pa lahko na primer prištejemo prevzem zdravil v imenu druge osebe, krajo bančnih kartic, izdajanje za dediče in tudi odpiranje podjetij in prevzemanje poslov nekoga drugega," zlorabo identitete druge osebe pojasnjuje Igor Bernik, vodja katedre za informacijsko varnost na Fakulteti za varnostne vede.

Kako lahko preprečite, da bi identiteto kdo ukradel tudi vam?

Tako na spletu kot v resničnem življenju pazite, kje in v družbi koga izdajate osebne informacije. Rojstni datumi, prebivališče, imena družinskih članov, mačke ali psa – vse to so drobci informacij, ki jih lahko družbeni inženir izkoristi za dostop do vaših spletnih računov in s tem najbolj osebnih informacij, tudi skrivnosti.

Osebnih dokumentov v javnosti ne odlagajte nikamor, kjer jih ves čas ne boste mogli imeti na očeh. To velja tudi za vso osebno elektroniko (pametni telefon, tablico, prenosni računalnik). Foto: Reuters

Izogibajte se uporabi javnih brezžičnih dostopnih točk (Wi-Fi). Med dostopno točko in vašo napravo se lahko z ustrezno strojno in programsko opremo postavi heker in prestreže vaš spletni promet.

Zaklenite pametni telefon. To pomeni, da uporabite enega od načinov zaklepanja domačega zaslona, da morebitni tat ali najditelj naprave brez ustreznega vzorca, kode PIN ali prstnega odtisa ne bo mogel dostopati do podatkov na njej.

Na spletu ne shranjujte številke kreditne kartice in je ne pošiljajte po e-pošti. Pri spletnih transakcijah zavrnite pozive spletnih strani, ki vam vljudno ponudijo hranjenje številke vaše kreditne kartice za morebitni naslednji nakup. Saj ne, da bi jo zlorabila trgovina, lahko pa trgovino napade heker in ji ukrade podatke o vseh strankah, tudi vas. Številke kreditne kartice niti ne pošiljajte po e-pošti, saj ne gre za najvarnejšo obliko spletne komunikacije. Če že morate, uporabite šifrirano e-pošto, kot je ProtonMail.

HTTPS, ne HTTP. Prvi pomeni, da je spletna povezava varna, drugi, da ne toliko, kot bi bila s HTTPS. Občutljivih osebnih informacij (e-pošta, gesla, številka kreditne kartice) nikoli ne posredujete spletnim stranem, ki se začnejo s HTTP in ne HTTPS. Foto: Reuters

Pozorni bodite na lažna e-sporočila oziroma spletno ribarjenje. Več o tej temi si preberite v tem, tem in tem prispevku.

Aplikacije na pametne telefone nameščajte samo iz uradnih virov. Neuradni vir pomeni, da ne gre za aplikacijo, ki ji zaupajo Google, Apple ali Microsoft. Ob namestitvi lahko zlonamerna aplikacija brez uporabnikove vrednosti prebrska vse njegove podatke in najbolj zaželene posreduje svojemu razvijalcu.  

Če uporabljate računalnik na javnem mestu, se na koncu odjavite iz vseh uporabniških računov. Če se ne boste, lahko naključni mimoidoči dostopa do vašega Facebooka ali vašega Gmaila in si ju z zamenjavo gesla celo prilasti.  

Uporabljajte protivirusni program in požarni zid. S tem boste računalniku (in mobilnim napravam) omogočili zgodnje zaznavanje poskusov vdorov v sistem in s tem tudi ustrezno ukrepanje.