Mamy złą wiadomość. Przejęcie cudzej korespondencji jest tak proste, jak wypełnienie jednego formularza i odebranie jednego telefonu. Przekonał się o tym nasz Czytelnik, Xts, który odebrał sporo korespondencji adresowanej do pewnej spółki. My nie dowierzaliśmy w to co się stało, więc sami postanowiliśmy “ukraść” komuś przesyłki. I zadziałało. Listy polecone z PIT-ami przesłane na adres wybranej ofiary trafiły w nasze ręce. Wszystko dzięki “usłudze dosyłania”.

Usługa dosyłania może nawet przechwycić kota

Nie każdy wie, że Poczta Polska ma usługę dosyłania, czyli przekierowania listów. Dzięki temu przesyłki adresowane do Ciebie mogą trafiać na zupełnie inny adres np. do Twojego nowego miejsca zamieszkania albo gdzieś, gdzie musisz tymczasowo przebywać. Przekierowaniu podlegają wszelkie przesyłki z wyjątkiem:

przesyłek pocztowych nadanych na zasadach specjalnych w trybie np.: kpa, kpc, kpk, Ordynacji podatkowej;

przesyłek pobraniowych, na warunkach szczególnych, Pocztex, Paczki+, PACZKI24, PACZKI48;

paczek z zawartością pszczół i piskląt ptactwa domowego oraz próbek z mlekiem (wygląda na to, że kota da się przekierować — dop. red.)

Nawet pomimo tych ograniczeń nieautoryzowane przekierowanie korespondencji może być niebezpieczne. W lutym do wielu ludzi docierały listy z PIT-ami, w zwykłych listach przesyłane są także pełne danych osobowych informacje z ZUS. Także niektóre OFE znane są z przesyłania wielu danych w listach zwykłych lub poleconych. Bo większość ludzi zakłada, że przesyłki polecone to w miarę bezpieczny sposób przesyłania różnych dokumentów.

Przechwyć “zadanie dosłania”

Usługę dosyłania (przekierowania) można zamówić przez formularz elektroniczny na stronie Poczty Polskiej. W formularzu podajemy następujące dane: nazwisko, nr dokumentu tożsamości, telefon, e-mail, datę obowiązywania przekierowania oraz dwa adresy (ten z którego i ten na który dosyłamy).

Wypełnienie formularza zajmuje chwilę, ale to nie wystarcza do uruchomienia usługi. Po pewnym czasie na wskazany numer telefonu oddzwania pracownik Poczty Polskiej. Zadaje pytania “kontrolne” np. prosi o podanie numeru dowodu i adresu, z którego przesyłki mają być dosyłane. Na tym etapie powinno być jasne, co umknęło uwadze Poczty. Otóż podanie tych danych nie stanowi przecież żadnego problemu dla kogoś, kto wcześniej wypełnił formularz. Co ważne: Poczta Polska nie weryfikuje, czy dana osoba ma prawo do przekierowania korespondencji. Weryfikowany jest tylko numer telefonu kogoś, kto zamówił usługę. A numer ten może być dowolny, czyli również kupiony anonimowo przez internet u zagranicznego operatora VoIP.

Pytamy Pocztę Polską

Tematem interesujemy się od listopada ubiegłego roku. Najpierw postanowiliśmy spytać o bezpieczeństwo usługi biuro prasowe Poczty Polskiej. 4 grudnia 2017 roku dostaliśmy taką odpowiedź.

Panie Redaktorze, zlecenie dosyłania przesyłek, czyli przekierowanie ich na nowy adres – wskazany przez zleceniodawcę, czyli adresata – może złożyć adresat. Przekierowana przesyłka poza zmianą miejsce doręczenia, jest doręczana adresatowi, wskazanemu przez nadawcę. Osoba adresata nie zmienia się. Nie ma opcji dokonania zmiany osoby adresata przez adresata, którego wcześniej wskazał nadawca. Zlecenie składane w formie elektronicznej wymaga podania przez adresata własnych danych adresowych, danych kontaktowych, nr. dokumentu tożsamości oraz adresu, z którego będą przekierowywane przesyłki i adresu, na który będą dosyłane. Po wypełnieniu i złożeniu zlecenia przez adresata, następuje weryfikacja danych i kontakt operatora ze zleceniodawcą w celu weryfikacji. W przypadku pozytywnej weryfikacji zlecenie jest przekazywane do realizacji. Bezpieczeństwo przekierowywanych przesyłek nadal jest utrzymane, bowiem istotą właściwego doręczania przesyłek jest doręczenie osobie uprawnionej do odbioru. Doręczenie zastępcze zawsze odnosi się do osób (adresatów) uprawnionych do odbioru.

Ktoś w biurze prasowym zadał sobie trud opisania usługi, ale nie otrzymaliśmy odpowiedzi na podstawowe pytanie. Czy Poczta Polska widzi w usłudze błąd logiczny, pozwalający na przejęcie cudzej korespondencji? Może dochodzi do jakiejś dodatkowej weryfikacji zleceniodawcy, która nam umknęła? Te pytania zadaliśmy poczcie jeszcze w grudniu i odpowiedzi nie otrzymaliśmy do dzisiaj.

Nasz eksperyment przechwycenia korespondencji

Postanowiliśmy więc spróbować działania usługi na własnej skórze. Nasz redaktor zamówił dosyłanie na adres innej osoby. Co ważne, redaktor nie był zameldowany na tym adresie, nie miał żadnego prawa do lokalu, itd. Był to lokal obcej ale zaprzyjaźnionej z redaktorem osoby (dalej OAZZRO). Po pewnym czasie redaktor odebrał telefon od pracownika Poczty Polskiej. Potwierdził podane adresy i numer dowodu. Na efekty nie musiał długo czekać. List zwykły z PGNIG dotarł już na inny adres, adres OZZARO, na którym redaktor nie jest zameldowany, ani nie ma żadnego prawa do lokalu.

List z PGNiG nie zwiera istotnych informacji, ale Poczta przekierowała na nowy adres również dwie przesyłki polecone. Do skrzynki OAZZRO trafiło awizo, a OZZARO udał się do Urzędu Pocztowego i odebrał obie przekierowane przesyłki. Nie został poproszony o dowód na miejscu. Być może to efekt dużego tłoku w placówce. Obie przesyłki polecone zawierały formularze PIT-11.

Nic nie wskazywało na to, aby poczta zweryfikowała zamówienie inaczej niż przez telefon. Owszem, rozmowa telefoniczna została prawdopodobnie nagrana, ale to może być raczej dowód po fakcie. Na tym etapie coraz mocniej podejrzewaliśmy, że usługa zwłaszcza w przypadku zwykłych, niepoleconych listów nie jest wystarczająco dobrze zabezpieczona. Niebawem mieliśmy zyskać więcej pewności co do tego.

Przypadek Czytelnika

Akurat gdy byliśmy w trakcie testowania usługi napisał do nas kolejny Czytelnik, Mateusz.

Kilka dni temu wypełniłem formularz na stronie: https://eformularze.poczta-polska.pl/zadanie-dosylania/ Podając swoje prawdziwe dane, adres pod którym kiedyś mieszkałem, adres pod którym mieszkam teraz. Przeszedłem weryfikację telefoniczną. Przed chwilą listonoszka przyniosła mi listy zaadresowane do właściciela domu (który wciąż tam mieszka). Konsultantka na infolinii obiecała wyjaśnić sprawę i powiedziała, że nie jest to standardowe zachowanie i urząd, który przyjął zlecenie, musiał popełnić błąd. Ciekawe czy jest to odosobniony przypadek?

O ile dobrze zrozumieliśmy, zamiarem Mateusza było otrzymywanie korespondencji kierowanej do niego na stary adres. Problem w tym, że ustawienie przekierowania powoduje po prostu przesłanie korespondencji z jednego adresu na drugi. Potwierdziła to kolejna wiadomość od Mateusza.

W skrzynce znalazłem 10 listów nierejestrowanych, zaadresowanych na sp. z.o., która ma siedzibę pod moim starym adresem

Czy trzeba dodawać więcej? Jeśli macie jakieś wątpliwości to rzućcie okiem raz jeszcze na zrzut formularza do zamawiania usługi. Tam jest nazwisko zgłaszającego, ale nie nazwisko osoby, której korespondencja ma być przekierowana. Skąd poczta wie, jakie przesyłki przekierowywać? Wygląda na to, że po prostu przekierowuje wszystkie.

Pomyślmy co by się stało, gdyby ktoś naprawdę chciał złośliwie wykorzystać usługę dosyłania. Mogłaby to zrobić nawet osoba, która ma jakieś prawa do lokalu pod danym adresem, ale jednak nie powinna otrzymywać całości korespondencji. Oto dobry przykład. Po rozwodzie jeden z małżonków wyprowadza się do nowego partnera, zachowując udział we własności mieszkania, w którym mieszka były mąż/żona. Ta osoba, która się wyprowadziła, mogłaby przejąć znaczną część nowej korespondencji. Jest wiele innych sytuacji rodzinnych, w których przekierowanie korespondencji nie byłoby ani mile widziane ani słuszne. Dokonanie ataku wymaga oczywiście posiadania adresu, na który listy będą przekierowywane. Można sobie wyobrazić wynajęcie na ten cel mieszkania albo wirtualnego biura. I należ mieć nadzieję, że to zbyt duży wysiłek dla osób, które myślą o wykorzystaniu usługi dosyłania do przechwytywania cudzej korespondencji.

Wracamy do rzecznika

28 lutego br. wysłaliśmy do biura prasowego Poczty Polskiej dodatkowe pytania.

1. Czy zdaniem Poczty Polskiej procedura weryfikacji jest wystarczająca? Przecież tak naprawdę potwierdza ona tylko i wyłącznie numer telefonu osoby, która złożyła dyspozycję (czyli potencjalnego złodzieja listów). Taki numer można wykorzystać jednorazowo i da się kupić karty zarejestrowane na inne osoby. 2. Załóżmy, że ktoś ustawił usługę dosyłania z mojego adresu i ja o tym nie wiem. Czy istnieje możliwość sprawdzenia tego w jakiś sposób? 3. Załóżmy, że nie chcę by ktoś ustawiał dosyłania z mojego adresu. Czy mogę jakoś temu zapobiec? 4. Załóżmy, że pod jednym adresem mieszkają 3 dorosłe osoby. Czy ustawienie dosyłania przez jedną z tych osób spowoduje przesyłanie całej poczty (również innych osób) na nowy adres? Nasz Czytelnik twierdzi, że na nowy adres trafiają do niego przesyłki adresowane do różnych osób (ze wskazanego przez czytelnika w formularzu adresu).

9 marca otrzymaliśmy od pani Justyny Siwek następującą odpowiedź.

Panie Redaktorze, usługa dosyłanie polega na przesyłaniu przesyłek pocztowych pod adres wskazany przez adresata i doręczaniu ich pod tym adresem. Doręczanie przesyłek, w tym przesyłek przesyłanych i doręczanych w ramach usługi dosyłanie, odbywa się na zasadach uregulowanych prawem powszechnie obowiązującym. Generalne przepisy w tym zakresie określa ustawa Prawo pocztowe oraz specjalne wobec niej odpowiednio przepisy kpc, kpk, kpa, Ordynacja pocztowa. Przepisy te wskazują katalog osób uprawnionych do odbioru przesyłek pocztowych. Operator pocztowy, doręczając przesyłkę pocztową, w tym także przesyłaną i doręczaną w ramach usługi dosyłanie, jest zobowiązany sprawdzić tożsamość odbiorcy i doręczyć ją osobie uprawnionej do odbioru, wymienionej w katalogu osób uprawnionych. Jeśli odebranie przesyłki pocztowej nastąpi przez osobę nieuprawnioną, osoba taka powinna zwrócić operatorowi pocztowemu przesyłkę, np. bezpośrednio listonoszowi albo w placówce pocztowej. Osoba nieuprawniona nie ma prawa do odbierania przesyłek, a jeśli to robi, czyni to bezprawnie, gdyż nie jest to przesyłka do niej adresowana. Zgodnie z przepisami ustawy Prawo pocztowe, osobą uprawnioną do zlecenia usługi dosyłanie jest wyłącznie adresat przesyłek pocztowych. Składanie oświadczenia woli w imieniu cudzym w sposób bezprawny jest czynem niedozwolonym. Jeśli chodzi o przypadek, o którym Pan pisze, prosimy o przekazanie bliższych, szczegółowych informacji. W szczególności prosimy o przekazanie numeru przesyłki poleconej z PIT, która w ramach usługi dosyłania zleconej przez e-formularze, została doręczona osobie nieuprawnionej oraz numer zlecenia usługi dosyłanie złożonej przez e-formularze. Pozwoli nam to prześledzić sprawę i ustosunkować się do niej. Niezależnie od tego, usługę dosyłania obejmiemy szczególnym monitoringiem, aby wykluczyć ewentualne nieprawidłowości.

Nie jesteśmy pewni czy Poczta Polska zrozumiała na czym polega problem nadużycia usługi doręczania poczty pod inny adres. Powtórzmy więc najprościej jak się da. Sądzimy, że usługę dosyłania może zamówić byle kto i nie jest szczególnie uważnie sprawdzane kto to robi. Ba, usługa przechwytuje korespondencję z całego adresu, a nie tylko tę kierowaną do jednego adresata. Jeśli ktoś będzie miał odpowiednio złe zamiary, prawdopodobnie nie będzie się też przejmował tym co jest lub nie jest zgodne z prawem. A już na pewno sam z siebie nie odda “mylnie doręczonych przesyłek”, bo właśnie po to nadużył usługę “dosyłania”. Zwłaszcza, jeśli dosyłanie wrogo ustawił w celu przechwycenia pakietu aktywującego numer rachunku bankowego albo innej przesyłki weryfikacyjnej.

Zauważcie też, że Poczta nie odpowiedziała nam dwa istotne z punktu przeciętnego Kowalskiego pytania:

2. Załóżmy, że ktoś ustawił usługę dosyłania z mojego adresu i ja o tym nie wiem. Czy istnieje możliwość sprawdzenia tego w jakiś sposób? 3. Załóżmy, że nie chcę by ktoś ustawiał dosyłania z mojego adresu. Czy mogę jakoś temu zapobiec?

Czyli wygląda na to, że aby sprawdzić, czy ktoś nie kradnie Wam listów, musicie sobie wysyłać raz na tydzień (miesiąc?) list testowy do siebie i sprawdzać, czy dociera. Najlepiej polecony, bo na poleconym możecie sobie sprawdzić status, gdzie zauważycie informacje o przekierowaniu:

Odbieram listy — Co robić? Jak żyć?

Poza wysyłaniem testowego listu raz na jakiś czas, aby weryfikować, czy ktoś nie przechwytuje Twojej korespondencji, powinieneś prosić wszystkich, którzy za pomocą Poczty Polskiej wysyłają Ci korespondencję, aby nadawali ją jako przesyłki polecone. Jest szansa, że to utrudni odebranie przesyłki przez złodzieja w przypadku pozostawienia awizo (liczymy jednak, że w większości placówek pracownicy Poczty Polskiej sumiennie weryfikują dokumenty tożsamości przy odbiorze przesyłek). Gorzej, jak polecony dostarczy listonosz. “W drzwiach” z reguły pada zapowiedź “mam przesyłkę do Iksińskiego“, ale Iksiński nie musi pokazywać dokumentu, wystarczy, że się listonoszowi podpisze na blankieciku, a jakże, iksem!

Z opisanego powyżej powodu wynika, że do momentu w którym Poczta Polska nie zmieni zasad usługi “dosyłania” i nie zapewni tej usłudze bezpieczeństwa, najlepiej będzie korzystać z innych sposobów na wysyłkę korespondencji (różnych firm kurierskich jest pod dostatkiem, trzeba tylko uważać na ten kurierski scam).

Naszym zdaniem należałoby uszczelnić procedurę zamawiania usługi. Być może powinna ona obejmować odebranie listu z kodem weryfikacyjnym na starym adresie? Albo automatyczną zmianę statusu każdego z “dosyłanych” listów na polecony i co za tym idzie weryfikację, czy dane adresata zgadzają się z prezentowanym podczas odbioru przesyłki dokumentem. Oczywiście to utrudniłoby ustawienie przekierowania, ale nadal możliwe byłoby zrobienie tego np. przed wyjazdem lub przeprowadzką. Poczta Polska ma też dostęp do bazy PESEL. Mogłaby na etapie składania wniosku weryfikować, czy numer dowodu pasuje do podanego nazwiska. Nie zapobiegnie to atakowi, ale mogłoby podnieść jego trudność (trzeba by było znać numer dowodu ofiary). Co jednak najważniejsze usługa ta powinna obejmować wyłącznie przekierowanie poczty adresowanej do konkretnej osoby, a nie na cały adres.

Mamy nadzieję, że Poczta Polska przynajmniej przemyśli tę sugestię bo odnosimy niestety wrażenie, że od trzech miesięcy, pomimo wymiany korespondencji nasz narodowy operator pocztowy wciąż nie zauważa problemu. Mamy nadzieję, że robi to z powodu niezrozumienia, a nie świadomie.

PS. Wszystkim, którzy wpadną na pomysł wykorzystania ww. luki przypominamy o istnieniu art. 267 Kodeksu karnego, który mówi o bezprawnym zapoznaniu się z cudzą korespondencją i który na takich złodziejów listów nakłada karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.





I artykuł poskutkował. Rzeczniczka Poczty Polskiej ogłosiła na Twitterze, że Poczta wprowadza zmianę w procedurze dosyłania. Przekierowanie od dziś będzie wymagać weryfikacji tożsamości w placówce poczty. Bardzo dobra decyzja. Cieszymy się, że mogliśmy pomóc w jej podjęciu ;)

Przeczytaj także: