Επισκεφθείτε μας: Κέντρο Αθήνας, Σταθμός Λαρίσης, Οδός Χωματιανού 31 (Πλησίον Μετρό) --- info@ziamparas.gr --- Καλέστε μας: 210 82 18 945 ή 6975 127 045

ΝΕΟΣ ΝΟΜΟΣ 2023 ΓΙΑ ΕΥΘΥΝΗ ΤΡΑΠΕΖΑΣ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΑΠΑΤΗ

Ο νέος νόμος του 2023 προέβλεψε τον περιορισμό της ευθύνης των καταθετών που πέφτουν θύματα ηλεκτρονικής απάτης στα 1.000€. Τα τελευταία χρόνια το φαινόμενο του «phishing» (ηλεκτρονικού «ψαρέματος») έχει λάβει μεγάλη έκταση λόγω της εμφάνισης της ηλεκτρονικής τραπεζικής (όπως χρεωστικών, πιστωτικών και προπληρωμένων καρτών, παγίων εντολών, τραπεζικών και ταχυδρομικών επιταγών, e-banking, e-wallet, paypal). Τράπεζες και καταθέτες είναι όλοι τους απροετοίμαστοι για την ασφάλεια τέτοιων συναλλαγών. Ενόψει της ανάγκης προστασίας του καταναλωτικού κοινού, ο νέος νόμος 5019/2023 προέβλεψε τον περιορισμό της ευθύνης των καταθετών που διενεργούν πράξεις πληρωμής, δηλαδή, πράξεις διάθεσης, μεταβίβασης ή ανάληψης χρηματικών ποσών (εφεξής καταθέτες) σε περίπτωση που πέσουν θύματα «phishing».

Τι είναι το «phishing»;

Phishing ή ηλεκτρονικό ψάρεμα ή μη εγκεκριμένες πράξεις πληρωμής είναι οι πρακτικές εξαπάτησης με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις, με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταθετών για διαδικτυακές συναλλαγές και προβαίνουν σε μεταφορές χρημάτων από τους λογαριασμούς τους.

Ποιούς αφορά η προστασία από το «phishing»;

Αφορά τους καταθέτες, δηλαδή, τα φυσικά ή νομικά πρόσωπα τα οποία διατηρούν λογαριασμό πληρωμών και επιτρέπουν εντολή πληρωμής από το λογαριασμό αυτό ή, εάν δεν υπάρχει λογαριασμός πληρωμών, το φυσικό ή νομικό πρόσωπο που δίνει εντολή πληρωμής.

Ποια είναι τα μέτρα για την προστασία των καταθετών;

Με το προηγούμενο νομοθετικό καθεστώς ο καταθέτης είχε ευθύνη για όλες τις ζημίες από το phishing που οφείλονταν σε δόλο ή βαριά αµέλεια. Με το νέο νόμο οι βασικές ρυθμίσεις για την ευθύνη του πληρωτή διατηρούνται σε ισχύ, θεσπίζονται, όμως, και περιπτώσεις περιορισμού της ευθύνης του, όταν δεν υφίσταται πρόθεση. Ιδίως, προβλέπεται ότι:

  1. Ο καταθέτης ευθύνεται μέχρι του ανώτατου ποσού των πενήντα ευρώ (50€) για τις ζημίες από το phishing, οι οποίες προκύπτουν από τη χρήση απολεσθέντος, κλαπέντος ή υπεξαιρεθέντος μέσου πληρωμών (π.χ. χρεωστική κάρτα)
  2. Ο καταθέτης δεν ευθύνεται για τις ζημίες από το phishing, εφόσον η απώλεια, κλοπή ή υπεξαίρεση του μέσου πληρωμών δεν ήταν δυνατό να εντοπιστεί από τον πληρωτή πριν από τη διενέργεια πράξης πληρωμής ή η ζημία προκλήθηκε από πράξεις ή παραλείψεις ιδίως υπαλλήλου ή υποκαταστήματος ενός παρόχου υπηρεσιών πληρωμών (π.χ. πιστωτικού ιδρύματος)
  3. Ο καταθέτης που είναι καταναλωτής ευθύνεται μέχρι του ανώτατου ποσού των χιλίων ευρώ (1.000 €), εφόσον οι ζημιές από το phishing οφείλονται σε βαριά αμέλεια
  4. Ο καταθέτης ευθύνεται για όλες τις ζημίες από το phishing, αν ο πάροχος υπηρεσιών πληρωμών εφαρμόζει υπέρτερα, από τα απαιτούμενα για την ισχυρή ταυτοποίηση των συναλλαγών, μέτρα ασφάλειας (π.χ. τηλεφωνική επιβεβαίωση) στις συναλλαγές που μπορούν να προκαλέσουν ζημία άνω των χιλίων ευρώ (1.000€)
  5. Ο καταθέτης ευθύνεται για όλες τις ζημίες που σχετίζονται με το phishing, εφόσον αυτές προκλήθηκαν από δόλο του
  6. Ο καταθέτης ευθύνεται για όλες τις ζημίες από το phishing, εφόσον αυτός με δόλο αθέτησε τις υποχρεώσεις που προβλέπει ο νόμος για τους χρήστες υπηρεσιών πληρωμών (π.χ. υποχρέωση άμεσης ειδοποίησης του πιστωτικού ιδρύματος για την απώλεια της πιστωτικής κάρτας).

Η ισχύς της ρύθμισης για τον περιορισμό της ευθύνης των πληρωτών θα αρχίσει από την 1η Σεπτεμβρίου 2023.

Περιορισμός της ευθύνης του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής (phishing);

Σύμφωνα με την αιτιολογική έκθεση, σκοπός της νέας διάταξης είναι η προστασία του καταναλωτή σε περίπτωση περιπτώσεων «phishing», δηλαδή πρακτικών εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταναλωτών για διαδικτυακές συναλλαγές και μεταφορές χρημάτων.

Το πέμπτο εδάφιο της παρ. 1 του άρθρου 74 της Οδηγίας (ΕΕ) 2015/2366 επιτρέπει στα κράτη-μέλη να περιορίσουν το όριο της ευθύνης του πληρωτή σε περίπτωση που δεν υφίσταται δόλος/πρόθεση, καθιστώντας δυνατό τον νομοθετικό περιορισμό της ευθύνης του πληρωτή σε περίπτωση βαριάς αμέλειας, το οποίο ωστόσο δεν επιλέχθηκε στον ν. 4537/2018 (Α’ 84).

Λαμβάνοντας υπόψη την εμπειρία άλλων κρατών που έχουν προβλέψει νομοθετικό ποσοτικό περιορισμό της ευθύνης του καταναλωτή σε περίπτωση βαριάς αμέλειας (Σουηδία, Δανία και Νορβηγία), αλλά και την ανάγκη προστασίας του καταναλωτικού κοινού, ενόψει της έκτασης του φαινομένου «phishing», κρίνεται απαραίτητη πλέον η εισαγωγή της προτεινόμενης διάταξης.

Σημειώνεται ότι, σε κάθε περίπτωση, το καθήκον επιμέλειας του παρόχου επιτάσσει την υποχρέωση συνεπούς εποπτείας και ασφάλειας στο σύστημα και το λογαριασμό για τη διασφάλιση των συναλλαγών.

Αν ο πάροχος έχει εφαρμόσει μέτρα αυξημένης ασφάλειας και προσοχής, τα οποία είναι υπέρτερα από αυτά που απαιτούνται από τις διατάξεις για την ισχυρή ταυτοποίηση των συναλλαγών, τότε, κατ’ εξαίρεση, δεν εφαρμόζεται ο προτεινόμενος περιορισμός της ευθύνης του παρόχου σε περίπτωση βαριάς αμέλειας.

Είναι αποτελεσματικός ο νέος νόμος για τις ηλεκτρονικές απάτες;

Έγινε νέα προσθήκη πριν την ψήφιση του νέου νόμου 5019/2023, η οποία είναι άκρως επαχθής για τους καταναλωτές και ακυρώνει τελείως την ευθύνη των τραπεζών, αφού αφήνει στη διακριτική τους ευχέρεια να αποδείξουν ότι διαθέτουν και εφαρμόζουν εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, πράγμα που δεν δύναται να ελέγξει  ο καταναλωτής. Στην ουσία καθίσταται πρακτικά μη εφαρμόσιμη η αίτηση του  καταναλωτή για αποζημίωση και ως εκ τούτου δεν θα είναι προς όφελος του καταναλωτή με κίνδυνο να υπονομεύσει δυσανάλογα το οικονομικό του συμφέρον. Τη ζημία θα πρέπει να  αναλάβει η τράπεζα ως έχουσα την ευθύνη για τη υιοθέτηση επαρκών και αποτελεσματικών μέτρων ασφάλειας στα συστήματά της και μόνο σε περίπτωση δόλου να ευθύνεται ο καταναλωτής.

Η όλη προσέγγιση των τραπεζών δεν συνάδει επίσης στο πνεύμα της πρότασης αναθεώρησης της Ευρωπαϊκής Οδηγίας για τις Υπηρεσίες Πληρωμών PSD2 (ν. 4537/2018 «Ευθύνη του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής»), στην οποία οι εθνικές αρχές καλούνται να υιοθετήσουν μια συντονισμένη προσέγγιση για τη ρύθμιση της ευθύνης και της κατανομής ζημιών, όπου τα μεγαλύτερα μέρη της ζημίας μετά από διαδικτυακή οικονομική απάτη θα πρέπει να κατανέμεται από τους καταναλωτές στα χρηματοπιστωτικά ιδρύματα.

Τι έχουμε διαπιστώσει στις περιπτώσεις απάτης:

  • Νομοθετικές ελλείψεις ως προς τη μετακύληση των ζημιών στον πελάτη υπό το πρίσμα της ύπαρξης ή μη βαριάς αμέλειας.
  • Κενά και ανεπαρκής τραπεζική ασφάλεια. Οι τράπεζες δεν έχουν καμία εσωτερική διαδικασία για τις εν λόγω περιπτώσεις ούτε κάποια πολιτική διαχείρισης περιστατικών ασφάλειας.
  • Οι καταναλωτές αισθάνονται ευάλωτοι, εκτεθειμένοι και θυμωμένοι.
  • Μη ενημέρωση για τις επόμενες ενέργειες που θα ήταν σκόπιμο να προβεί άμεσα ο καταναλωτής που έπεσε θύμα απάτης (π.χ. αίτηση αμφισβήτησης στην τράπεζα, μήνυση κατά αγνώστου και κατάθεση της μήνυσης στη Δ/νση Ηλεκτρονικού Εγκλήματος,  φραγή του τραπεζικού λογαριασμού και αλλαγή κωδικών κλπ.)
  • Οι περισσότεροι καταναλωτές δεν είναι εξοικειωμένοι με τις ηλεκτρονικές συναλλαγές και ως εκ τούτου θα πρέπει η τράπεζα να τους ενημερώνει επαρκώς ώστε να μην εκτίθενται σε κίνδυνο.
  • Στις περισσότερες περιπτώσεις οι τράπεζες δεν αποζημιώνουν τα θύματα απάτης.
  • Αδιαφορία εκ μέρους των τραπεζών για να σταματήσουν οι ύποπτες δραστηριότητες και αποτυχία ενεργοποίησης του One-Time Password (OTP), που θα απαιτούσε από τους πελάτες τους να εξουσιοδοτήσουν τις συναλλαγές με έναν κωδικό.
  • Σε όλες τις περιπτώσεις, οι καταναλωτές που αντιλήφθηκαν την απάτη επικοινώνησαν με την τράπεζα για να ακυρώσουν τις συναλλαγές και το προσωπικό της τράπεζας τους παρέπεμπε να επικοινωνήσουν την επόμενη ημέρα.
  • Μη χρήση ισχυρών κωδικών ταυτοποίησης από τις τράπεζες.