Της Αγγελικής Γιοβανίδη,
Το ηλεκτρονικό «ψάρεμα» (ή Phishing) είναι μια μορφή επίθεσης κοινωνικής μηχανικής, στην οποία ο εγκληματίας μιμείται μια αξιόπιστη οντότητα, ζητώντας από το θύμα να αποκαλύψει ευαίσθητες πληροφορίες. Πραγματοποιείται συνήθως με την αποστολή μαζικών spam e-mails, τα οποία υποτίθεται ότι αποστέλλονται από κάποια νόμιμη και υπαρκτή οντότητα (π.χ. τραπεζικό ίδρυμα, υπηρεσία ηλεκτρονικών πληρωμών, ηλεκτρονικό κατάστημα κλπ), ενώ στην ουσία αποστέλλονται από δράστες, οι οποίοι στη συνέχεια αποσπούν πληροφορίες προσωπικών και οικονομικών δεδομένων (π.χ. κωδικούς ασφαλείας) από τα θύματα και στη μετέπειτα χρησιμοποιούν αυτά για την πραγματοποίηση αξιοποίνων πράξεων.
Συγκεκριμένα, τα emails (ή sms) περιέχουν συνήθως οδηγίες και κάποιον υπερσύνδεσμο (link), ο οποίος μεταφέρει τον χρήστη σε περιβάλλον ιστοσελίδας που παρομοιάζει με το επίσημο της εκάστοτε εταιρείας, ενώ παράλληλα περιέχουν και κάποια ψευδή πληροφορία για να πείσουν το υποψήφιο θύμα να καταχωρίσει τα ατομικά του στοιχεία (π.χ. κίνδυνος ασφαλείας, είσπραξη κάποιου ποσού κλπ). Έτσι, το θύμα της απάτης θεωρεί ότι ο αποστολέας είναι πράγματι ο νόμιμος (π.χ. συνήθως η τράπεζα στην οποία διαθέτει λογαριασμό) και προχωράει στην καταχώριση των προσωπικών του στοιχείων, συνήθως των προσωπικών κωδικών σύνδεσης στις παρεχόμενες υπηρεσίες πληρωμής (e-banking).
Το φαινόμενο έχει λάβει πολύ μεγάλες διαστάσεις, καθώς παρατηρούνται δεκάδες τέτοια περιστατικά καθημερινά. Η δυσκολία στην αντιμετώπισή του εν τοις πράγμασι, έγκειται, αφενός στη δυσκολία εντοπισμού των πραγματικών δραστών, καθώς αυτοί είναι ως επί το πλείστον έμπειροι χρήστες υπολογιστικών συστημάτων και δημιουργοί κακόβουλων λογισμικών (hakers), οι οποίοι πολλές φορές βρίσκονται πολύ μακριά από τον τόπο τέλεσης του αδικήματος, αφετέρου στην ευρύτητα των συναλλασσόμενων που χρησιμοποιούν καθημερινά τις ηλεκτρονικές υπηρεσίες πληρωμών και στο διαφορετικό επίπεδο γνώσεων που διαθέτουν γύρω από το ζήτημα, τα κοινωνικά τους χαρακτηριστικά, το μορφωτικό επίπεδο κλπ. Ενδιαφέρον παρουσιάζει, πάντως, το γεγονός ότι, ως θύματα τέτοιων περιστατικών, υποπίπτουν ακόμη και πολύ έμπειροι χρήστες ηλεκτρονικών υπηρεσιών, καθώς η απάτη είναι συνήθως καλοσχεδιασμένη και ιδιαιτέρως αληθοφανής.
Το σημαντικότερο ζήτημα που προκύπτει από τα ανωτέρω περιστατικά είναι αυτό του προσδιορισμού της αποζημιωτικής ευθύνης των τραπεζικών ιδρυμάτων ή παρόχων υπηρεσιών πληρωμών και η βάση αυτής. Από τη μια μεν, η ηλεκτρονική απάτη τελείται εις βάρος του χρήστη της υπηρεσίας και κατόχου του τραπεζικού λογαριασμού από κάποιο άγνωστο και τρίτο πρόσωπο, από την άλλη όμως, υφίσταται ο προβληματισμός του κατά πόσο ο πάροχος -και υποφαινόμενος αποστολέας του απατηλού μηνύματος-, φρόντισε να θωρακίσει όσο καλύτερα μπορούσε τα συστήματα ασφαλείας του και να εξασφαλίσει ότι οι χρήστες των υπηρεσιών και καταναλωτές δε διατρέχουν κίνδυνο χρησιμοποιώντας αυτές. Πολλοί εκ των ζημιωθέντων, έχουν κινηθεί νομικά εναντίον των τραπεζικών ιδρυμάτων διά μέσω των οποίων συντελέστηκε η εγκληματική ενέργεια των μη εγκεκριμένων, κατά τα παραπάνω, πληρωμών από τους δράστες, ζητώντας αποζημίωση, στηριζόμενοι στη βάση της πλημμελούς διαφύλαξης των διαδικασιών πληρωμής.
Η ευθύνη των παρόχων υπηρεσιών- τραπεζών για τη ζημία του καταναλωτή και χρήστη των υπηρεσιών πληρωμών θεμελιώνεται κυρίως στη βάση της υποχρέωσης των πρώτων να διαφυλάσσουν τα συμφέροντα των πελατών τους, ως «ισχυρότερα» μέρη της σύμβασης και να αναλαμβάνουν παρόμοιους κινδύνους. Πράγματι, ανάμεσα στην τράπεζα και τον εντολέα της υφίσταται σύμβαση κατάθεσης χρημάτων, η οποία έχει τα στοιχεία της ανώμαλης παρακαταθήκης κατ’ άρθρο 830 ΑΚ. Παρεπόμενες υποχρεώσεις από τη σύμβαση αυτή, βάσει της αρχής της καλής πίστης αλλά και της σχέσης εμπιστοσύνης που συνδέει τα μέρη είναι και η εκ μέρους της τράπεζας διατήρηση ενός ασφαλούς και λειτουργικού συστήματος ηλεκτρονικών συναλλαγών, η υποχρέωση ενημέρωσης και προειδοποίησης για όλους τους λειτουργικούς κινδύνους που υφίστανται και η προστασία των προσωπικών δεδομένων που διαχειρίζεται (τα οποία μάλιστα είναι ιδιαιτέρως ευαίσθητα).
Όπως προκύπτει και από το Ν. 2251/1994 για την προστασία των καταναλωτών και το άρθρο 8 αυτού, που προβλέπει την ευθύνη των παρόχων υπηρεσιών, σε συνδυασμό και με τις γενικές διατάξεις για την αδικοπρακτική ευθύνη (914, 932 ΑΚ), παρανομία συνιστά και η παραβίαση του γενικότερου καθήκοντος πρόνοιας και ασφάλειας των ατόμων στο πλαίσιο της συναλλακτικής και γενικότερα της κοινωνικής δραστηριότητας, καθήκον το οποίο είναι ιδιαιτέρως σημαντικό στις περιπτώσεις, όπως στις ανωτέρω, όπου το ένα μέρος της συμβατικής σχέσης είναι καταναλωτής.
Ακόμη, ο Ν. 4537/2018 που ενσωμάτωσε την Οδηγία 2015/2366-ΕΕ (PSD 2) για τις υπηρεσίες πληρωμών, προσφέρει ένα επιπλέον πλέγμα διατάξεων από τις οποίες προκύπτει ευθύνη των παρόχων υπηρεσιών για μη εγκεκριμένες πράξεις πληρωμών προς τρίτους, υπό την προϋπόθεση της έγκαιρης προειδοποίησης του για το περιστατικό υποκλοπής στοιχείων από το θύμα της απάτης. Συγκεκριμένα, στο άρθρο 69 παρ. 1 του ν. 4537/2018 ορίζεται ότι «Ο χρήστης υπηρεσιών πληρωμών που έχει δικαίωμα χρήσης του μέσου πληρωμών έχει τις εξής υποχρεώσεις: α) χρησιμοποιεί το μέσο πληρωμών σύμφωνα με τους όρους που διέπουν την έκδοση και χρήση του, οι οποίοι πρέπει να είναι αντικειμενικοί, χωρίς διακρίσεις και αναλογικοί, β) ειδοποιεί χωρίς υπαίτια καθυστέρηση τον πάροχο υπηρεσιών πληρωμών ή τον φορέα που ο τελευταίος ορίζει, μόλις αντιληφθεί απώλεια, κλοπή, υπεξαίρεση του μέσου πληρωμών, ή μη εγκεκριμένη χρήση του».
Ακόμη, σύμφωνα με το άρθρο 71 του Ν. 4537/2018 ορίζεται ότι «1. Ο πάροχος υπηρεσιών πληρωμών αποκαθιστά μία μη εγκεκριμένη ή εσφαλμένα εκτελεσθείσα πράξη πληρωμής στον χρήστη υπηρεσιών πληρωμών, μόνο αν ο τελευταίος ειδοποιήσει χωρίς υπαίτια καθυστέρηση τον πάροχο υπηρεσιών πληρωμών μόλις αντιληφθεί οποιαδήποτε τέτοια πράξη πληρωμής που θεμελιώνει αξίωση αποζημίωσης, περιλαμβανομένης εκείνης του άρθρου 88, και το αργότερο μέσα σε χρονικό διάστημα δεκατριών (13) μηνών από την ημερομηνία χρέωσης, ενώ σύμφωνα με στο άρθρο 72 του ιδίου νόμου τονίζεται ότι η τράπεζα έχει το βάρος απόδειξης της γνησιότητας της πράξης πληρωμής ή της ύπαρξης τεχνικής βλάβης ή άλλης δυσλειτουργίας στις ηλεκτρονικές της υπηρεσίες. Τέλος, το άρθρο 73 ορίζει ότι 1. Με την επιφύλαξη του άρθρου 71, σε περίπτωση μη εγκεκριμένης πράξης πληρωμής, ο πάροχος υπηρεσιών πληρωμών του πληρωτή, ύστερα από διαπίστωση ή ειδοποίηση, επιστρέφει αμέσως και σε κάθε περίπτωση το αργότερο έως το τέλος της επόμενης εργάσιμης ημέρας στον πληρωτή το χρηματικό ποσό της μη εγκεκριμένης πράξης πληρωμής, ενώ κατά το άρθρο 92 μόνο όταν υπάρχουν ασυνήθεις και απρόβλεπτες περιστάσεις, οι οποίες είναι πέρα από τον έλεγχο του μέρους που τις επικαλείται και των οποίων οι συνέπειες δεν θα μπορούσαν να αποφευχθούν παρόλες τις προσπάθειες για το αντίθετο. Ωστόσο, υπό το σύστημα του νόμου αυτού οι λειτουργικοί κίνδυνοι και οι κίνδυνοι ασφαλείας του συστήματος, δεν αποτελούν μη συνήθεις και μη προβλέψιμες περιστάσεις, ώστε η από την επέλευσή τους ζημία των χρηστών βαρύνει τους παρόχους.
Η πρόσφατη νομολογία, τουλάχιστον –μέχρι στιγμής- των πρωτοβάθμιων δικαστηρίων, κάνοντας χρήση των παραπάνω διατάξεων έχει ταχθεί υπέρ της αποζημιωτικής ευθύνης της τράπεζας, απορρίπτοντας μάλιστα τους αντίθετους ισχυρισμούς της περί αποκλειστικής υπαιτιότητας ή συνυπαιτιότητας των χρηστών, στηριζόμενη στην βάση των παραπάνω διατάξεων. Ως εκ τούτου, οι τράπεζες καλούνται βάσει των αποφάσεων αυτών να αποζημιώνουν τα θύματα Phising, αποκαθιστώντας την περιουσιακή τους ζημία και μάλιστα, σε ορισμένες περιπτώσεις καλούνται να καταβάλουν και ένα πρόσθετο ποσό ως χρηματική ικανοποίηση για την ηθική βλάβη αυτών (βλ. ενδ. Αποφάσεις ΕιρΑθ 1769/2023 αδημ., ΕιρΜυτ 24/2023, ΜΠρΡόδου 4/2023, ΕιρΑθ 2564/2022 αδημ., ΕιρΘεσσαλ 2297/2022, ΜΠρΧίου 245/2022). Μένει να δούμε πως θα αντιμετωπισθεί το φαινόμενο και στο μέλλον, ενόψει και των πρόσθετων μέτρων που λαμβάνουν συνεχώς τα τραπεζικά ιδρύματα (π.χ. ισχυρή ταυτοποίηση με βιομετρικά δεδομένα, συνεχής αποστολή προειδοποιήσεων κλπ), συμμορφούμενα τόσο με τις οδηγίες της Τράπεζας της Ελλάδος όσο και της Ευρωπαϊκής Κεντρικής Τράπεζας.
ΕΝΔΕΙΚΤΙΚΕΣ ΠΗΓΕΣ
- Τράπεζα νομικών πληροφοριών NOMOS
- Η. Καραγεωργός, H αξίωση αποζημίωσης του πελάτη της τράπεζας κατ’ αυτής σε περίπτωση ηλεκτρονικής απάτης μέσω e-banking, Νομικό Βήμα τ. 70 αρ. 9, σελ. 2076
