בעקבות איומי הסייבר ההולכים וצוברים תאוצה ברחבי העולם, הרשות להגנת הצרכן ולסחר הוגן ("הרשות") יחד עם מערך הסייבר הלאומי ("המערך") פרסמו הנחייה לאחרונה (14.08.2022), לפיה חובה לפרסם גילוי נאות לצרכנים בטרם ירכשו מוצרי IOT.
"האינטרנט של הדברים" (IOT), הוא שם כולל למוצרים המסוגלים לבצע פעולות שונות, כדוגמת איסוף מידע מהסביבה, אחסון ועיבוד מידע, תקשורת עם מוצרים אחרים באמצעות תקשורת וביצוע פעולות בעולם הפיזי. מדובר למעשה במה שאנחנו מכירים כמוצרים "חכמים" כדוגמת טלוויזיות חכמות, מזגנים, דודים חשמליים, מצלמות אבטחה ביתיות ועוד.
מאחר שמוצרי IOT מחוברים לאינטרנט, הם גם חשופים לסיכוני סייבר ואבטחת מידע. סיכונים אלו יכולים לפגוע במשתמש, החל מפגיעה בפרטיות ודליית מידע אישי ועד נזק פיזי למוצר או אדם. הדברים הללו מקבלים משמעות רחבה שעה שהמשתמש אינו נדרש להחליף את הסיסמה למוצר החכם.
סעיף 2 לחוק הגנת הצרכן, התשמ"א-1981 ("החוק") קובע איסור על הטעיית צרכן. סעיף 4 לחוק זה, קובע חובות גילוי ספציפיות. ברשות מאמצים סעיפים אלו מתוך החוק ומעירים, כי הוראות אלו חלות גם על שירות ולא רק על נכס. ומכאן, ניתן לומר כי בכל הנוגע למוצרי IOT מדובר בתכונה או מוצר, המחייב החזקה או שימוש בדרך מיוחדת, על מנת שלא יפגע הצרכן.
על כן, לשיטת הרשות והמערך, במוצרי IOT, אם הצרכן אינו מחליף את שם המשתמש והסיסמה הגנריים המסופקים עם המוצר כברירת מחדל, וכן אם היצרן אינו מפרסם עדכוני אבטחה מעת לעת וככל שהמוצר אינו כולל אפשרות מנדטורית מובנית לשנות סיסמה, או שהיצרן אינו צפוי לפרסם עדכוני אבטחה למוצר, אזי מדובר בפגם או איכות נחותה בנכס או בשירות וגם זאת יש לגלות לצרכן במפורש בטרם עשיית עסקה. ברשות אף מדגישים, כי הגילוי חייב להיעשות בטרם עשיית העסקה ובכל שלבי העסקה, כגון בשלב השיווק ואף בשלב הפרסום. כמו כן הגילוי חייב להיות בולט וברור.
לעמדתם של הרשות והמערך קמה חובה לגלות לצרכן בטרם רכישה של מוצר IOT מאחר ומדובר במוצר שעלול להיות מנוצל לרעה על ידי גורם זדוני לצורך ביצוע תקיפת סייבר.
- ככל שיש במוצר IOT מנגנון מנדטורי מובנה להחלפת סיסמה, מתגבשת החובה לגלות לצרכן את החשיבות של החלפת סיסמה ראשונית וכן לגלות איך ניתן להחליף את הסיסמה באופן ברור ומפורט.
- קמה חובה לציין בפני הצרכן אם היצרן צפוי לפרסם עדכוני אבטחה לגבי המוצר, משך הזמן שבו היצרן צפוי לפרסם עדכוני אבטחה למוצר (END OF LIFE) ואם עדכוני האבטחה לא מתעדכנים בצורה אוטומטית, יש לציין איך ניתן להתקין את עדכוני התוכנה באופן ברור ומפורט.
ברשות מדגישים, כי הפרה של הנחיה זו, תחשב כהפרה של הטעיית הצרכן לפי סעיפים 2 ו-4 לחוק.