ΝΕΟΣ ΝΟΜΟΣ 2023 ΓΙΑ ΕΥΘΥΝΗ ΤΡΑΠΕΖΑΣ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΑΠΑΤΗ - Δικηγορικη Εταιρια Ζιαμπαρα Δ & ΣΥΝΕΡΓΑΤΩΝ

Q: Τι πιθανότητες έχω να δικαιωθώ απέναντι στην τράπεζα;

Οι πιθανότητες ενισχύονται όταν αποδεικνύεται ότι η τράπεζα δεν εφάρμοσε ισχυρή ταυτοποίηση πελάτη κατά την οδηγία PSD2, δεν ενεργοποίησε One-Time Password, δεν εντόπισε ύποπτη συναλλαγή σε ασυνήθιστη χώρα ή ώρα ή καθυστέρησε να ανταποκριθεί στην ειδοποίηση του θύματος. Η νομολογία κινείται όλο και περισσότερο υπέρ των καταναλωτών, ιδίως όταν τεκμηριώνονται κενά ασφαλείας στα συστήματα της τράπεζας.

Ο νέος νόμος του 2023 προέβλεψε τον περιορισμό της ευθύνης των καταθετών που πέφτουν θύματα ηλεκτρονικής απάτης στα 1.000€. Τα τελευταία χρόνια το φαινόμενο του «phishing» (ηλεκτρονικού «ψαρέματος») έχει λάβει μεγάλη έκταση λόγω της εμφάνισης της ηλεκτρονικής τραπεζικής (όπως χρεωστικών, πιστωτικών και προπληρωμένων καρτών, παγίων εντολών, τραπεζικών και ταχυδρομικών επιταγών, e-banking, e-wallet, paypal). Τράπεζες και καταθέτες είναι όλοι τους απροετοίμαστοι για την ασφάλεια τέτοιων συναλλαγών. Ενόψει της ανάγκης προστασίας του καταναλωτικού κοινού, ο νέος νόμος 5019/2023 προέβλεψε τον περιορισμό της ευθύνης των καταθετών που διενεργούν πράξεις πληρωμής, δηλαδή, πράξεις διάθεσης, μεταβίβασης ή ανάληψης χρηματικών ποσών (εφεξής καταθέτες) σε περίπτωση που πέσουν θύματα «phishing».

Τι είναι το «phishing»;

Phishing ή ηλεκτρονικό ψάρεμα ή μη εγκεκριμένες πράξεις πληρωμής είναι οι πρακτικές εξαπάτησης με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις, με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταθετών για διαδικτυακές συναλλαγές και προβαίνουν σε μεταφορές χρημάτων από τους λογαριασμούς τους.

Ποιούς αφορά η προστασία από το «phishing»;

Αφορά τους καταθέτες, δηλαδή, τα φυσικά ή νομικά πρόσωπα τα οποία διατηρούν λογαριασμό πληρωμών και επιτρέπουν εντολή πληρωμής από το λογαριασμό αυτό ή, εάν δεν υπάρχει λογαριασμός πληρωμών, το φυσικό ή νομικό πρόσωπο που δίνει εντολή πληρωμής.

Ποια είναι τα μέτρα για την προστασία των καταθετών;

Με το προηγούμενο νομοθετικό καθεστώς ο καταθέτης είχε ευθύνη για όλες τις ζημίες από το phishing που οφείλονταν σε δόλο ή βαριά αµέλεια. Με το νέο νόμο οι βασικές ρυθμίσεις για την ευθύνη του πληρωτή διατηρούνται σε ισχύ, θεσπίζονται, όμως, και περιπτώσεις περιορισμού της ευθύνης του, όταν δεν υφίσταται πρόθεση. Ιδίως, προβλέπεται ότι:

Ο καταθέτης ευθύνεται μέχρι του ανώτατου ποσού των πενήντα ευρώ (50€) για τις ζημίες από το phishing, οι οποίες προκύπτουν από τη χρήση απολεσθέντος, κλαπέντος ή υπεξαιρεθέντος μέσου πληρωμών (π.χ. χρεωστική κάρτα)
Ο καταθέτης δεν ευθύνεται για τις ζημίες από το phishing, εφόσον η απώλεια, κλοπή ή υπεξαίρεση του μέσου πληρωμών δεν ήταν δυνατό να εντοπιστεί από τον πληρωτή πριν από τη διενέργεια πράξης πληρωμής ή η ζημία προκλήθηκε από πράξεις ή παραλείψεις ιδίως υπαλλήλου ή υποκαταστήματος ενός παρόχου υπηρεσιών πληρωμών (π.χ. πιστωτικού ιδρύματος)
Ο καταθέτης που είναι καταναλωτής ευθύνεται μέχρι του ανώτατου ποσού των χιλίων ευρώ (1.000 €), εφόσον οι ζημιές από το phishing οφείλονται σε βαριά αμέλεια
Ο καταθέτης ευθύνεται για όλες τις ζημίες από το phishing, αν ο πάροχος υπηρεσιών πληρωμών εφαρμόζει υπέρτερα, από τα απαιτούμενα για την ισχυρή ταυτοποίηση των συναλλαγών, μέτρα ασφάλειας (π.χ. τηλεφωνική επιβεβαίωση) στις συναλλαγές που μπορούν να προκαλέσουν ζημία άνω των χιλίων ευρώ (1.000€)
Ο καταθέτης ευθύνεται για όλες τις ζημίες που σχετίζονται με το phishing, εφόσον αυτές προκλήθηκαν από δόλο του
Ο καταθέτης ευθύνεται για όλες τις ζημίες από το phishing, εφόσον αυτός με δόλο αθέτησε τις υποχρεώσεις που προβλέπει ο νόμος για τους χρήστες υπηρεσιών πληρωμών (π.χ. υποχρέωση άμεσης ειδοποίησης του πιστωτικού ιδρύματος για την απώλεια της πιστωτικής κάρτας).

Η ισχύς της ρύθμισης για τον περιορισμό της ευθύνης των πληρωτών θα αρχίσει από την 1η Σεπτεμβρίου 2023.

Περιορισμός της ευθύνης του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής (phishing);

Σύμφωνα με την αιτιολογική έκθεση, σκοπός της νέας διάταξης είναι η προστασία του καταναλωτή σε περίπτωση περιπτώσεων «phishing», δηλαδή πρακτικών εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταναλωτών για διαδικτυακές συναλλαγές και μεταφορές χρημάτων.

Το πέμπτο εδάφιο της παρ. 1 του άρθρου 74 της Οδηγίας (ΕΕ) 2015/2366 επιτρέπει στα κράτη-μέλη να περιορίσουν το όριο της ευθύνης του πληρωτή σε περίπτωση που δεν υφίσταται δόλος/πρόθεση, καθιστώντας δυνατό τον νομοθετικό περιορισμό της ευθύνης του πληρωτή σε περίπτωση βαριάς αμέλειας, το οποίο ωστόσο δεν επιλέχθηκε στον ν. 4537/2018 (Α’ 84).

Λαμβάνοντας υπόψη την εμπειρία άλλων κρατών που έχουν προβλέψει νομοθετικό ποσοτικό περιορισμό της ευθύνης του καταναλωτή σε περίπτωση βαριάς αμέλειας (Σουηδία, Δανία και Νορβηγία), αλλά και την ανάγκη προστασίας του καταναλωτικού κοινού, ενόψει της έκτασης του φαινομένου «phishing», κρίνεται απαραίτητη πλέον η εισαγωγή της προτεινόμενης διάταξης.

Σημειώνεται ότι, σε κάθε περίπτωση, το καθήκον επιμέλειας του παρόχου επιτάσσει την υποχρέωση συνεπούς εποπτείας και ασφάλειας στο σύστημα και το λογαριασμό για τη διασφάλιση των συναλλαγών.

Αν ο πάροχος έχει εφαρμόσει μέτρα αυξημένης ασφάλειας και προσοχής, τα οποία είναι υπέρτερα από αυτά που απαιτούνται από τις διατάξεις για την ισχυρή ταυτοποίηση των συναλλαγών, τότε, κατ’ εξαίρεση, δεν εφαρμόζεται ο προτεινόμενος περιορισμός της ευθύνης του παρόχου σε περίπτωση βαριάς αμέλειας.

Είναι αποτελεσματικός ο νέος νόμος για τις ηλεκτρονικές απάτες;

Έγινε νέα προσθήκη πριν την ψήφιση του νέου νόμου 5019/2023, η οποία είναι άκρως επαχθής για τους καταναλωτές και ακυρώνει τελείως την ευθύνη των τραπεζών, αφού αφήνει στη διακριτική τους ευχέρεια να αποδείξουν ότι διαθέτουν και εφαρμόζουν εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, πράγμα που δεν δύναται να ελέγξει ο καταναλωτής. Στην ουσία καθίσταται πρακτικά μη εφαρμόσιμη η αίτηση του καταναλωτή για αποζημίωση και ως εκ τούτου δεν θα είναι προς όφελος του καταναλωτή με κίνδυνο να υπονομεύσει δυσανάλογα το οικονομικό του συμφέρον. Τη ζημία θα πρέπει να αναλάβει η τράπεζα ως έχουσα την ευθύνη για τη υιοθέτηση επαρκών και αποτελεσματικών μέτρων ασφάλειας στα συστήματά της και μόνο σε περίπτωση δόλου να ευθύνεται ο καταναλωτής.

Η όλη προσέγγιση των τραπεζών δεν συνάδει επίσης στο πνεύμα της πρότασης αναθεώρησης της Ευρωπαϊκής Οδηγίας για τις Υπηρεσίες Πληρωμών PSD2 (ν. 4537/2018 «Ευθύνη του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής»), στην οποία οι εθνικές αρχές καλούνται να υιοθετήσουν μια συντονισμένη προσέγγιση για τη ρύθμιση της ευθύνης και της κατανομής ζημιών, όπου τα μεγαλύτερα μέρη της ζημίας μετά από διαδικτυακή οικονομική απάτη θα πρέπει να κατανέμεται από τους καταναλωτές στα χρηματοπιστωτικά ιδρύματα.

Τι έχουμε διαπιστώσει στις περιπτώσεις απάτης:

Νομοθετικές ελλείψεις ως προς τη μετακύληση των ζημιών στον πελάτη υπό το πρίσμα της ύπαρξης ή μη βαριάς αμέλειας.
Κενά και ανεπαρκής τραπεζική ασφάλεια. Οι τράπεζες δεν έχουν καμία εσωτερική διαδικασία για τις εν λόγω περιπτώσεις ούτε κάποια πολιτική διαχείρισης περιστατικών ασφάλειας.
Οι καταναλωτές αισθάνονται ευάλωτοι, εκτεθειμένοι και θυμωμένοι.
Μη ενημέρωση για τις επόμενες ενέργειες που θα ήταν σκόπιμο να προβεί άμεσα ο καταναλωτής που έπεσε θύμα απάτης (π.χ. αίτηση αμφισβήτησης στην τράπεζα, μήνυση κατά αγνώστου και κατάθεση της μήνυσης στη Δ/νση Ηλεκτρονικού Εγκλήματος, φραγή του τραπεζικού λογαριασμού και αλλαγή κωδικών κλπ.)
Οι περισσότεροι καταναλωτές δεν είναι εξοικειωμένοι με τις ηλεκτρονικές συναλλαγές και ως εκ τούτου θα πρέπει η τράπεζα να τους ενημερώνει επαρκώς ώστε να μην εκτίθενται σε κίνδυνο.
Στις περισσότερες περιπτώσεις οι τράπεζες δεν αποζημιώνουν τα θύματα απάτης.
Αδιαφορία εκ μέρους των τραπεζών για να σταματήσουν οι ύποπτες δραστηριότητες και αποτυχία ενεργοποίησης του One-Time Password (OTP), που θα απαιτούσε από τους πελάτες τους να εξουσιοδοτήσουν τις συναλλαγές με έναν κωδικό.
Σε όλες τις περιπτώσεις, οι καταναλωτές που αντιλήφθηκαν την απάτη επικοινώνησαν με την τράπεζα για να ακυρώσουν τις συναλλαγές και το προσωπικό της τράπεζας τους παρέπεμπε να επικοινωνήσουν την επόμενη ημέρα.
Μη χρήση ισχυρών κωδικών ταυτοποίησης από τις τράπεζες.

Βλέπε και άρθρο Ευθύνη Τράπεζας στην Ηλεκτρονική Απάτη
Βλέπε και άρθρο Διερεύνηση Ευθύνης Τράπεζας στην Ηλεκτρονική Απάτη
Βλέπε και άρθρο Δικηγόρος Επενδυτικής Απάτης
Βλέπε και άρθρο Νομικές Βάσεις Ευθύνης Τράπεζας στην Ηλεκτρονική Απάτη
Βλέπε και άρθρο Ηλεκτρονική Τραπεζική και Φαινόμενο Phishing
Βλέπε και άρθρο Προστασία Καταθέτη από Ηλεκτρονική Απάτη
Βλέπε και άρθρο Δικηγόρος για Επενδυτική Απάτη
Βλέπε και άρθρο Συκοφαντική Δυσφήμηση μέσω Facebook
Βλέπε και άρθρο Παιδική Πορνογραφία
Βλέπε και άρθρο Hacking

ΣΥΝΗΘΕΙΣ ΕΡΩΤΗΣΕΙΣ ΓΙΑ ΝΕΟ ΝΟΜΟ 2023 ΚΑΙ ΕΥΘΥΝΗ ΤΡΑΠΕΖΑΣ ΣΤΗΝ ΗΛΕΚΤΡΟΝΙΚΗ ΑΠΑΤΗ

1. Τι αλλάζει για το θύμα phishing με τον νόμο 5019/2023;

Ο νόμος 5019/2023 περιορίζει την ευθύνη του καταναλωτή που πέφτει θύμα ηλεκτρονικής απάτης. Όταν δεν υπάρχει δόλος αλλά απλώς βαριά αμέλεια, η ευθύνη του θύματος δεν ξεπερνά τα 1.000 ευρώ — το υπόλοιπο ποσό βαρύνει την τράπεζα. Σε περίπτωση απλής χρήσης κλεμμένου ή χαμένου μέσου πληρωμής, η ευθύνη περιορίζεται στα 50 ευρώ.

Πριν τον νέο νόμο, ο καταθέτης επιβαρυνόταν με ολόκληρο το ποσό της ζημίας όταν διαπιστωνόταν βαριά αμέλεια. Η ρύθμιση ισχύει για συναλλαγές από την 1η Σεπτεμβρίου 2023 και αποτελεί ισχυρό όπλο διεκδίκησης απέναντι στο πιστωτικό ίδρυμα.

2. Τι μπορώ να κάνω για να πάρω πίσω τα χρήματά μου;

Πρώτο βήμα είναι η άμεση γραπτή αμφισβήτηση της συναλλαγής στην τράπεζα, με αίτημα επιστροφής του ποσού. Παράλληλα υποβάλλεται μήνυση κατά αγνώστου στην Εισαγγελία Πρωτοδικών, η οποία διαβιβάζεται στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος, και ενημερώνεται γραπτώς ο Τραπεζικός Μεσολαβητής.

Αν η τράπεζα αρνηθεί την αποζημίωση, ασκείται αγωγή στο Πολυμελές Πρωτοδικείο για επιστροφή του ποσού και χρηματική ικανοποίηση ηθικής βλάβης. Νομικές βάσεις είναι ο νόμος 4537/2018 (PSD2), ο νόμος 5019/2023, οι διατάξεις προστασίας καταναλωτή και η αδικοπρακτική ευθύνη της τράπεζας λόγω ανεπαρκών μέτρων ασφαλείας.

3. Σε πόσο χρόνο μπορώ να πάρω αποζημίωση από την τράπεζα;

Η αμφισβήτηση της συναλλαγής πρέπει να υποβληθεί στην τράπεζα χωρίς αδικαιολόγητη καθυστέρηση και πάντως εντός 13 μηνών από τη χρέωση. Αν η τράπεζα κρίνει βάσιμο το αίτημα, η επιστροφή γίνεται κατά κανόνα εντός λίγων εβδομάδων.

Όταν το θέμα οδηγείται στα δικαστήρια, η εκδίκαση της αγωγής στο Πρωτοδικείο διαρκεί συνήθως 18 με 30 μήνες, ενώ σε περίπτωση έφεσης ο συνολικός χρόνος μπορεί να φτάσει τα τέσσερα έτη. Η ποινική διαδικασία προχωρά παράλληλα και αυτοτελώς, χωρίς να αναστέλλει τη διεκδίκηση κατά της τράπεζας.

4. Τι έγγραφα χρειάζομαι για τη διεκδίκηση;

Απαραίτητα είναι οι κινήσεις λογαριασμού με τις επίδικες χρεώσεις, στιγμιότυπα οθόνης από το ύποπτο μήνυμα ή ιστοσελίδα, αρχείο SMS ή email του phishing, η αίτηση αμφισβήτησης που υποβλήθηκε στην τράπεζα και η σχετική απάντηση, η μήνυση και η βεβαίωση κατάθεσης στη Δίωξη Ηλεκτρονικού Εγκλήματος.

Χρήσιμα είναι επίσης η σύμβαση e-banking, οι όροι χρήσης της κάρτας, αναλυτικό ιστορικό επικοινωνίας με τη γραμμή εξυπηρέτησης (ώρες κλήσεων, ονόματα υπαλλήλων) και κάθε στοιχείο που τεκμηριώνει ότι ο καταθέτης ενεργοποίησε άμεσα τις προβλεπόμενες διαδικασίες ειδοποίησης.

5. Τι πιθανότητες έχω να δικαιωθώ απέναντι στην τράπεζα;

Οι πιθανότητες ενισχύονται σημαντικά όταν αποδεικνύεται ότι η τράπεζα δεν εφάρμοσε ισχυρή ταυτοποίηση πελάτη (Strong Customer Authentication) κατά την οδηγία PSD2, δεν ενεργοποίησε One-Time Password, δεν εντόπισε ύποπτη συναλλαγή σε χώρα ή ώρα ασυνήθιστη για τον πελάτη ή καθυστέρησε να ανταποκριθεί στην ειδοποίηση του θύματος.

Η νομολογία των ελληνικών δικαστηρίων κινείται όλο και περισσότερο υπέρ των καταναλωτών, ιδίως όταν τεκμηριώνονται κενά ασφαλείας στα συστήματα της τράπεζας. Η κάθε υπόθεση κρίνεται βέβαια στα δικά της πραγματικά περιστατικά και απαιτεί προσεκτική τεχνική και νομική ανάλυση.

6. Ποιος είναι ο ρόλος του δικηγόρου σε υπόθεση phishing;

Ο δικηγόρος αναλαμβάνει τη σύνταξη της αμφισβήτησης προς την τράπεζα με τεκμηριωμένη επίκληση των διατάξεων του νόμου 5019/2023 και της οδηγίας PSD2, την υποβολή μήνυσης κατά αγνώστου στην Εισαγγελία Πρωτοδικών, την παρακολούθηση της δικογραφίας στη Δίωξη Ηλεκτρονικού Εγκλήματος και την προσφυγή στον Τραπεζικό Μεσολαβητή.

Σε περίπτωση άρνησης αποζημίωσης, ασκεί αγωγή στο αρμόδιο Πρωτοδικείο και εκπροσωπεί τον πελάτη σε όλα τα στάδια. Το γραφείο μας έχει χειριστεί πλήθος υποθέσεων phishing, εντοπίζει τα κενά ασφαλείας στα συστήματα των τραπεζών και αξιοποιεί τις ευνοϊκότερες διατάξεις του νέου νόμου για τον καταθέτη.