Απόφαση - σταθμός για απάτες phishing: Φέρουν ευθύνη οι τράπεζες!

Ορόσημο στη νομολογία για την αντιμετώπιση των ηλεκτρονικών απατών τύπου "phishing" και την αντικειμενική ευθύνη των τραπεζών αποτελεί πρόσφατη δικαστική απόφαση (43542/2025 του Πολυμελούς Πρωτοδικείου Θεσσαλονίκης). Το Δικαστήριο έκανε δεκτή την αγωγή πελατών κατά τράπεζας που είχαν χάσει 400.000 ευρώ και την υποχρέωσε να καταβάλει αποζημίωση 356.672,63 ευρώ, αλλά και να πληρώσει σε καθέναν από τους πελάτες αποζημίωση 10.000 ευρώ για ηθική βλάβη.

Νομικοί τονίζουν ότι η απόφαση είναι εξαιρετικά σημαντική γιατί αναγνωρίζεται με σαφήνεια η αντικειμενική ευθύνη των πιστωτικών ιδρυμάτων για ηλεκτρονικές απάτες εις βάρος πελατών τους, οι οποίες αυξάνονται συνεχώς αυτή την περίοδο, παράλληλα με την ανάπτυξη των ηλεκτρονικών συναλλαγών.

Σύμφωνα με πρόσφατη έρευνα του Ινστιτούτου της ΕΣΕΕ για τη Visa, το phishing (δηλαδή το ηλεκτρονικό «ψάρεμα» προσωπικών στοιχείων για να χρησιμοποιηθούν σε συναλλαγές) παραμένει η κυρίαρχη μέθοδος ηλεκτρονικής απάτης. Σχεδόν 6 στους 10 συμμετέχοντες στην έρευνα δηλώνουν ότι έχουν στοχοποιηθεί μέσω αυτής της τεχνικής. Παγκοσμίως, έχει υπολογισθεί ότι στέλνονται καθημερινά πάνω από 3,4 δισεκατομμύρια ηλεκτρονικά μηνύματα για «ψάρεμα» στοιχείων.

Στις απάτες τύπου "phishing" κατά κανόνα οι τράπεζες δεν αναγνωρίζουν δική τους ευθύνη, δεδομένου ότι τα προσωπικά στοιχεία «διαρρέουν» σε επιτήδειους κατόπιν εξαπάτησης του πελάτη. Το δικαστήριο έκρινε, όμως, οι τράπεζες έχουν την υποχρέωση να αναγνωρίζουν ασυνήθιστες συναλλαγές και να προστατεύουν τους πελάτες τους.

Το ιστορικό της απάτης: Πώς χάθηκαν 400.000 ευρώ

Το περιστατικό που εξετάσθηκε από το δικαστήριο έλαβε χώρα στις 28 Απριλίου 2022. Άγνωστος δράστης, προσποιούμενος ότι τηλεφωνεί από το λογιστικό γραφείο των εναγόντων, απέσπασε τηλεφωνικά από την πρώτη ενάγουσα:

• Τον αριθμό της χρεωστικής κάρτας που ήταν συνδεδεμένη με τον κοινό λογαριασμό.

• Εξαψήφιους κωδικούς (SMS-OTP) που έλαβε στο κινητό της. Οι κωδικοί αυτοί αφορούσαν σε επαναφορά κωδικού πρόσβασης (Password Reset), είσοδο στο e-banking και αίτηση εγγραφής νέας συσκευής.

Χρησιμοποιώντας τα στοιχεία αυτά, ο δράστης εντός περίπου 35 λεπτών πραγματοποίησε μια σειρά ενεργειών:

1. Αλλαγή κωδικών πρόσβασης στο web-banking της ενάγουσας.

2. Εγγραφή νέας συσκευής κινητού τηλεφώνου** (με διαφορετική IP διεύθυνση)** και ενεργοποίηση της υπηρεσίας Push Notifications σε αυτήν, ώστε οι κωδικοί έγκρισης συναλλαγών να λαμβάνονται πλέον από τον ίδιο.

3. Καταχώριση του λογαριασμού τρίτου ως «φιλικού».

4. Μεταφορά του συνολικού ποσού των $400.000$ ευρώ με μία μόνο συναλλαγή.

Η τράπεζα επέτρεψε τη συναλλαγή, παρά τον ασυνήθιστο και ύποπτο χαρακτήρα της και αρνήθηκε αρχικά να αποκαταστήσει τη ζημία.

Η νομική βάση της απόφασης

Η απόφαση βασίστηκε κυρίως στις διατάξεις του Ν. 4537/2018 (που ενσωμάτωσε την Οδηγία PSD2) και του Ν. 2251/1994 (για την προστασία των καταναλωτών), καθώς και στις αρχές του Αστικού Κώδικα (ΑΚ) περί καλής πίστης ($288$ ΑΚ) και αδικοπραξίας ($914,932$ ΑΚ).

Το Δικαστήριο επισήμανε ότι:

• Η τράπεζα φέρει το βάρος απόδειξης ότι η συναλλαγή ήταν γνήσια και εγκεκριμένη από τον χρήστη, καθώς και ότι δεν επηρεάστηκε από τεχνική βλάβη ($72$ παρ. $1$ Ν. 4537/2018).

• Η απλή χρήση του μέσου πληρωμής (δηλαδή η καταχώριση κωδικών) δεν αρκεί για να τεκμηριώσει έγκριση του χρήστη, ειδικά σε περίπτωση απάτης ($72$ παρ. $2$ Ν. 4537/2018). Η βούληση του νομοθέτη είναι να προστατεύσει τον χρήστη από πληρωμές που δεν ανταποκρίνονται στη βούλησή του.

Το δικαστήριο έκρινε ότι η τράπεζα παραβίασε σοβαρές υποχρεώσεις:

1. Παραβίαση Υποχρέωσης Πρόνοιας και Ασφάλειας: Η τράπεζα δεν διέθετε ασφαλές και λειτουργικό σύστημα ηλεκτρονικών πληρωμών, ικανό να εντοπίσει και να αποτρέψει την κακόβουλη παρέμβαση.

2. Παραβίαση Ισχυρής Ταυτοποίησης και Ελέγχου Κινδύνου: Η τράπεζα όφειλε να εφαρμόζει «ισχυρή ταυτοποίηση» (Strong Customer Authentication - SCA) και να εντοπίσει ως «ασυνήθιστη και ύποπτη» τη δραστηριότητα. Συγκεκριμένα:

   • Η αλληλουχία ενεργειών μέσα σε 35 λεπτά (αλλαγή κωδικών, εγγραφή νέας συσκευής, ενεργοποίηση Push Notifications, καταχώριση «φιλικού» λογαριασμού, μεταφορά $400.000$) ήταν ασυνήθιστη και έπρεπε να ενεργοποιήσει αυστηρότερη ταυτοποίηση (π.χ. τηλεφωνική κλήση).

   • Η μεταφορά του σχεδόν συνολικού διαθέσιμου ποσού ($400.000$ ευρώ) με μία συναλλαγή ήταν πρωτοφανής για τον συγκεκριμένο λογαριασμό.

3. Αδικοπραξία και Βαριά Αμέλεια: Η παράλειψη της τράπεζας να λάβει ολοκληρωμένα μέτρα προστασίας και να προειδοποιήσει επαρκώς τους πελάτες της για τον κίνδυνο απάτης συνιστά παράνομη και υπαίτια παράλειψη, που θεμελιώνει ευθύνη και από αδικοπραξία ($914$ ΑΚ).

Ο ρόλος του πελάτη: ελαφρά αμέλεια

Η τράπεζα ισχυρίστηκε συντρέχον πταίσμα της ενάγουσας (99.9%) λόγω της γνωστοποίησης των κωδικών. Το Δικαστήριο απέρριψε την ένσταση αυτή, κρίνοντας ότι η συμπεριφορά της ενάγουσας ήταν προϊόν πλάνης (θεωρούσε ότι μιλούσε με τον λογιστή της για κρατική επιδότηση) και συνιστούσε μόνο ελαφρά αμέλεια.

Σύμφωνα με το άρθρο 74 Ν. 4537/2018, ο πληρωτής ευθύνεται για όλες τις ζημίες μόνο αν ενήργησε με δόλο ή βαριά αμέλεια. Αν η αμέλεια είναι ελαφρά, ο πελάτης ευθύνεται μόνο για το ανώτατο ποσό των $50$ ευρώ (άρθρο 74 παρ. 1) - ποσό που αφαιρέθηκε από την τελική αποζημίωση.

Το διατακτικό της απόφασης

Το Δικαστήριο υποχρέωσε την τράπεζα σε:

1. Αποζημίωση για την περιουσιακή ζημία: Να καταβάλει στους ενάγοντες, εις ολόκληρον, το ποσό των $356.672,63$ ευρώ (το ποσό των $400.000$ μείον τα $43.277,37$ που είχε ήδη επιστραφεί και μείον τα $50$ ευρώ ευθύνης του πελάτη).

2. Χρηματική ικανοποίηση λόγω ηθικής βλάβης: Να καταβάλει $10.000$ ευρώ σε έκαστο των τριών εναγόντων.

3. Δικαστική Δαπάνη: Να καταβάλει μέρος των δικαστικών εξόδων των εναγόντων ύψους $15.725$ ευρώ.

Η σημασία της απόφασης

Η απόφαση αυτή επιβεβαιώνει τη δραστική μετατόπιση του κινδύνου των ηλεκτρονικών απατών από τους καταναλωτές-πληρωτές στα πιστωτικά ιδρύματα, σύμφωνα με το πνεύμα της ευρωπαϊκής Οδηγίας PSD2.

Τονίζει την υποχρέωση των τραπεζών να διατηρούν σύγχρονα και αποτελεσματικά συστήματα ασφαλείας που υπερβαίνουν την απλή τυπική χρήση κωδικών, ειδικά όταν παρατηρείται μια σειρά από ύποπτες και ασυνήθιστες ενέργειες στον λογαριασμό του πελάτη. Η τράπεζα, ως επαγγελματίας του χώρου, φέρει τη βαριά ευθύνη να προστατεύει τα κεφάλαια των πελατών της από προβλέψιμους κινδύνους όπως το phishing.