Δημήτριος Τσιακανίκας: Phishing: Ηλεκτρονικές απάτες και η αποζημίωση των θυμάτων κατά την ευρωπαϊκή νομοθεσία

Το phishing εμπίπτει στις διατάξεις του Ποινικού Κώδικα, στο περί απάτης άρθρο 386. Όμως ο πραγματικός θεμέλιος λίθος της νομοθεσίας είναι ο ν. 4537/2018, όσον αφορά την πραγματική προστασία του θύματος. Ο νόμος αυτός αποτελεί την μεταφορά της Οδηγίας (ΕΕ) 2015/2366, της PSD2 (PaymentServicesDirective 2).

Οποιοσδήποτε έχει περάσει έστω και λίγο χρόνο στο διαδίκτυο έχει συναντήσει το εξής γνώριμο σενάριο: Ένα ευγενικό μήνυμα σας εύχεται μελαγχολικά καλημέρα και σας ενημερώνει ότι έχει κληρονομήσει μια μεγάλη περιουσία και ψάχνει ένα καλό άνθρωπο να τη μοιραστεί. Άλλοτε, σας ανακοινώνει ότι κερδίσατε ένα αυτοκίνητο σε ένα διαγωνισμό που ποτέ δεν συμμετείχατε. Αυτές οι απάτες είναι γνωστές και παρά την αποδεδειγμένη επιτυχία τους σε κάποιους ανθρώπους, οι λογικά σκεπτόμενοι χρήστες (συνήθως) δεν χρειάζεται να ανησυχούν.

Τουλάχιστον έτσι μπορούσαμε να πιστεύουμε. Και αυτό γιατί η θεαματική άνοδος της τεχνολογίας έχει ισχυροποιήσει μια ειδική κατηγορία απάτης. Αυτό είναι το phishing. Πρόκειται για σκόπιμη λάθος ορθογραφία της λέξης fishing, δηλαδή το ψάρεμα. Και πράγματι πρόκειται για ψάρεμα καθώς η μεθοδολογία που ακολουθείται είναι ακριβώς η ίδια. Παρέχεται ένα πειστικό και ευπαρουσίαστο «δόλωμα».

Ένας σύνδεσμος που σας ενημερώνει ότι το δέμα που περιμένατε δεν παραδόθηκε λόγω έλλειψης στοιχείων και ζητάει τα μεταφορικά έξοδα για την επαναποστολή. Μια προειδοποίηση ότι ο λογαριασμός σας κλειδώθηκε επειδή κάποιος άλλος προσπάθησε να συνδεθεί και σας δίνει την επιλογή να τον ξεκλειδώσετε. Ένα μήνυμα από το gov που υπόσχεται επιστροφή φόρου.

Η χρήση των συνδέσμων αυτών θα οδηγήσει σε υποκλοπή των στοιχείων της τραπεζικής σας κάρτας, των κωδικών του προφίλ σας ή ακόμα και τα στοιχεία taxis σας. Αυτές είναι οι πλέον συχνές απάτες διότι είναι και οι πλέον αληθοφανείς. Το «δόλωμα» μπορεί να μοιάζει (με μια πρώτη ματιά) με επίσημο μήνυμα από έναν έμπιστο φορέα, όπως μια τράπεζα, μια συνδρομητική υπηρεσία ή ακόμα και ένα μέσο κοινωνικής δικτύωσης.

Συχνά χρησιμοποιείται τεχνητή νοημοσύνη στη διαμόρφωση των ψεύτικων διακριτικών, με αποτέλεσμα χρήστες να δίνουν ανυποψίαστα τα ευαίσθητα προσωπικά τους δεδομένα και να χάνουν μεγάλα χρηματικά ποσά. Ακόμα πιο ανησυχητικά, οι Τράπεζες συχνά δυσανασχετούν με την αποζημίωση του πελάτη τους, καθώς θεωρούν (έστω σιωπηρά) ότι ο εξαπατημένος θα έπρεπε να φέρει την ευθύνη.

Το φαινόμενο phishing έχει φέρει στο προσκήνιο πολλές διαμάχες χρηστών με τις απρόθυμες Τράπεζες. Λόγω της τρομακτικής αύξησης αυτού του φαινομένου, είναι σκόπιμο οι ενδιαφερόμενοι να γνωρίζουν το υπάρχον νομικό πλαίσιο, το οποίο εξελίσσεται και θωρακίζεται ουσιαστικά και ενωσιακά από το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής ΔΕΕ).

Καταρχάς, στην Ελλάδα, το phishing εμπίπτει στις διατάξεις του Ποινικού Κώδικα, στο περί απάτης άρθρο 386. Όμως ο πραγματικός θεμέλιος λίθος της νομοθεσίας είναι ο ν. 4537/2018, όσον αφορά την πραγματική προστασία του θύματος. Ο νόμος αυτός αποτελεί την μεταφορά της Οδηγίας (ΕΕ) 2015/2366, της PSD2 (PaymentServicesDirective 2). Τα πλέον κρίσιμα, για την περίπτωση μας, άρθρα είναι τα 71, 72 και 73.

Στο άρθ. 71 προβλέπεται υποχρέωση του χρήστη να ειδοποιήσει την Τράπεζα χωρίς αδικαιολόγητη καθυστέρηση μόλις αντιληφθεί μη εγκεκριμένη συναλλαγή και, σε κάθε περίπτωση, το αργότερο μέσα σε 13 μήνες από την ημερομηνία χρέωσης. Προσοχή θα πρέπει να δοθεί στο ότι με την υπόθεση Veracash (C-665/23), το ΔΕΕ αποδυνάμωσε την μέγιστη προθεσμία δίνοντας αληθινή έμφαση στο εύλογο χρονικό διάστημα . Το δε άρθ. 72 ορίζει τις προϋποθέσεις με τις οποίες ο πληρωτής θα επιβαρύνεται με τη ζημία: ο δόλος και η βαριά αμέλεια. Τέλος, το άρθ. 73 υποχρεώνει την Τράπεζα να επιστρέψει άμεσα το ποσό μη εγκεκριμένης συναλλαγής, εκτός αν υπάρχουν βάσιμες υπόνοιες απάτης εκ μέρους του πελάτη και τις κοινοποιήσει εγγράφως στην αρμόδια εθνική αρχή.

Αξίζει να αναφέρουμε πάντως και το άρθ. 96 του ν. 4537/2018, το οποίο επιβάλλει την εφαρμογή ισχυρής ταυτοποίησης πελάτη (StrongCustomerAuthentication) στις ηλεκτρονικές πληρωμές. Η χρήση δύο ή περισσότερων παραγόντων ταυτοποίησης αποσκοπεί στην πρόληψη της απάτης. Ωστόσο, η επιτυχής ταυτοποίηση δεν αρκεί από μόνη της για να αποδείξει ότι ο πελάτης ενήργησε με συναίνεση ή με βαριά αμέλεια.

Το πραγματικό νομικό ζήτημα είναι, άρα, το πώς στοιχειοθετείτε η λεγόμενη «βαριά αμέλεια» (gross negligence), καθώς η ύπαρξη της απαλλάσσει την Τράπεζα από κάθε ευθύνη αποζημίωσης. Αξιοσημείωτα, στην Οδηγία δεν δίνεται νομοθετικός ορισμός.

Προφανώς αυτό έγινε για λόγους σκοπιμότητας καθώς τα διάφορα κράτη- μέλη παρουσιάζουν διαφορές στο περιεχόμενο που δίνουν στην φράση αυτή. Στην Ελλάδα, ακόμα και τώρα, πολλές τραπεζικές διαφορές εξακολουθούν να είναι απλά ζητήματα ερμηνείας της έννοιας της «βαριάς αμέλειας» του χρήστη. Επομένως, η ελληνική νομοθεσία, όπως και κάθε κοινοτική, επηρεάζεται πολύ από τις απόψεις και τα κριτήρια που διαμορφώνει το ΔΕΕ.

Και με την πρόσφατη νομολογία του το ΔΕΕ φαίνεται να απαιτεί από τα εθνικά δικαστήρια αυστηρότερο έλεγχο των ισχυρισμών των τραπεζών. Η απλή αναφορά ότι η συναλλαγή ολοκληρώθηκε με σωστή χρήση OTP ή άλλων στοιχείων αυθεντικοποίησης δεν αρκεί αυτομάτως για να αποδείξει ότι ο πελάτης ενήργησε με βαριά αμέλεια. Το προαναφερόμενο άρθρ. 72 επιβεβαιώνει ότι τα εθνικά δικαστήρια θα πρέπει να μην αρκούνται στην τήρηση των εξατομικευμένων στοιχείων ασφαλείας από την Τράπεζα (πχ το PIN) για την διαπίστωση της βαριάς αμέλειας, αλλά να κρίνουν με βάση τα πραγματικά περιστατικά. Το ότι ο χρήστης έβαλε τον κωδικό δεν θεωρείται αυτόματα τεκμήριο αποδοχής, πόσο μάλλον βαριάς αμέλειας.

Η πρόσφατη απόφαση του ΔΕΕ στην υπόθεση Veracash του 2025 (C-665/23) επιβεβαιώνει ότι η αξιολόγηση της “βαριάς αμέλειας” αποτελεί μια συνολική κρίση που εναπόκειται στο εθνικό δικαστήριο, το οποίο οφείλει να λαμβάνει υπόψη όλα τα πραγματικά περιστατικά και τις ειδικές συνθήκες της υπόθεσης.

Αν και η απόφαση αυτή υπενθυμίζει ότι η Τράπεζα δεν μπορεί συμβατικά να διευρύνει τις υποχρεώσεις του χρήστη πέρα από τα όρια της Οδηγίας, παράλληλα υπογραμμίζει την υποχρέωση του καταναλωτή να ενεργεί χωρίς υπαίτια καθυστέρηση. Συνεπώς, η διαπίστωση της συνδρομής ή μη βαριάς αμέλειας δεν μπορεί να βασίζεται σε αυτοματοποιημένα τεκμήρια (όπως η απλή χρήση κωδικών), αλλά απαιτεί εξατομικευμένη δικαστική κρίση επί των συνθηκών της απάτης («όλο το πλέγμα των συνθηκών» / «all data and circumstances»). Θεωρητικά, η αναφορά στην αληθοφάνεια του μηνύματος που ξεκίνησε την εξαπάτηση, θα μπορούσε να ενταχτεί σε αυτές τις συνθήκες.

Η αποδοχή της συναλλαγής καθαυτή από τον πελάτη δεν εξισώνεται με βαριά αμέλεια. Καθοριστική, πιθανώς, θα είναι η υπόθεση C-70/25, N.O. κατά PKO BP S.A. (Tukowiecka) για την οποία ακόμα και τώρα αναμένεται απόφαση. Είναι ίσως η μεγαλύτερη εκκρεμής απόφαση για το phishing στην ΕΕ. Το πολωνικό δικαστήριο ρώτησε το ΔΕΕ αν μια Τράπεζα μπορεί να αρνηθεί να επιστρέψει αμέσως τα χρήματα από μια μη εξουσιοδοτημένη συναλλαγή επειδή θεωρεί ότι ο χρήστης διέπραξε βαριά αμέλεια. Σημαντική είναι η τοποθέτηση του Γενικού Εισαγγελέα Αθανάσιου Ρέντου, του πρώτου Έλληνα που ανέλαβε αυτή τη θέση στο ΔΕΕ.

Ο κ. Ρέντος υποστηρίζει ότι η επιστροφή των χρημάτων αποτελεί τον κανόνα και άρα η Τράπεζα δεν μπορεί να καθυστερεί την αποζημίωση αλλά πρέπει να την παρέχει αμέσως μόλις ενημερωθεί. Δεν χρειάζεται καν η προϋπόθεση της ολοκλήρωσης της έρευνά της. Αν θεωρεί ότι ο πελάτης ενήργησε με βαριά αμέλεια, πρέπει η ίδια να το αποδείξει. Αφού επιστρέψει τα χρήματα, μπορεί στη συνέχεια να στραφεί εναντίον του κακόπιστου ή αμελούς πελάτη για την επιστροφή τους. Η γνώμη αυτή (εάν υιοθετηθεί από το Δικαστήριο) θα αποτελούσε πραγματική προστασία της θέσης των θυμάτων phishing, αφού θα έχουν εγγύηση επιστροφής των χαμένων χρημάτων τους σε πρώτο βαθμό. Το βάρος απόδειξης μεταβιβάζεται στην Τράπεζα, ένα βήμα αποφασιστικό για την προστασία των δικαιωμάτων του καταναλωτή.

Το πιο εντυπωσιακό είναι ότι η νομολογία του ΔΕΕ ήδη διείσδυσε στην ελληνική. Το Πολυμελές Πρωτοδικείο Θεσσαλονίκης, στην 43542/2025 απόφαση του, σε περίπτωση μη εγκεκριμένης συναλλαγής λόγω phishing, απέρριψε τα επιχειρήματα της Τράπεζας και την καταδίκασε σε αποζημίωση και ηθική βλάβη. Ο πελάτης δεν ενέκρινε πράγματι τη συναλλαγή και δεν αρκεί η Τράπεζα να ισχυριστεί ότι «ο πελάτης έδωσε τους κωδικούς του». Οφείλει να παρέχει ένα ασφαλές σύστημα συναλλαγών. Ακόμα και αν ο πολίτης εξαπατήθηκε, η Τράπεζα μπορεί να έχει ευθύνη αν δεν παρείχε επαρκή μέτρα για να εντοπίσει την απάτη ή να τη σταματήσει.

Εν κατακλείδι, οι τελευταίες εξελίξεις αναδεικνύουν ως κεντρικό πεδίο δικαστικής αντιπαράθεσης την κατανομή του κινδύνου μεταξύ τράπεζας και πελάτη, εκφρασμένου διά της βαριάς αμέλειας και της πρόληψης. Ταυτόχρονα, η ελληνική νομολογιακή πρακτική μοιάζει να μετατοπίζεται σταδιακά προς αυστηρότερο έλεγχο των ισχυρισμών των Τραπεζών και πιο περιοριστική προσέγγιση της βαριάς αμέλειας, αναγνωρίζοντας ότι η τεχνολογική πολυπλοκότητα των σύγχρονων επιθέσεων phishing δεν επιτρέπει την εύκολη απόδοση ευθύνης στον μέσο χρήστη των ηλεκτρονικών συναλλαγών.

Το ισχύον καθεστώς των ηλεκτρονικών πληρωμών φαίνεται να κινείται προς μια πιο ισορροπημένη κατανομή ευθύνης, όπου η προστασία του καταναλωτή δεν λειτουργεί ως απλό και αυθαίρετο ερμηνευτικό παιχνίδι αλλά συνδυάζεται με αυξημένες υποχρεώσεις επιμέλειας και ασφάλειας του τραπεζικού συστήματος.

*Δημήτριος Τσιακανίκας, Δικηγόρος Αθηνών

www.dikastiko.gr

Σχετικές δημοσιεύσεις