Διαδικτυακές απάτες, τήρηση μέτρων ασφαλείας και ευθύνη τράπεζας (ΕιρΘεσ 232/2023)

Μια ενδιαφέρουσα απόφαση εξέδωσε το Ειρηνοδικείο Θεσσαλονίκης σε υπόθεση διαδικτυακής απάτης με αφαίρεση ποσών από online τραπεζική (ΕιρΘεσ 232/2023).

Με την εν λόγω απόφαση η τράπεζα υποχρεώθηκε να καταβάλει το ποσό των 2.500 ευρώ στον ενάγοντα, λόγω παράβασης των συμβατικών υποχρεώσεων της να "θωρακίσει αποτελεσματικά τα συστήματά της απέναντι στις διαρκώς μεταλλασσόμενες και εξελισσόμενες μεθόδους εξαπάτησης που τα πλήττουν".

Η υπόθεση αφορά σε συναλλαγές που πραγματοποιήθηκαν μέσω ηλεκτρονικής τραπεζικής από το λογαριασμό του ενάγοντα σε λογαριασμού τρίτου προσώπου, κατόπιν εξαπάτησής του με τη μέθοδο του phishing.

Σύμφωνα με την απόφαση, η εναγόμενη τράπεζα δεν έσφαλε κατά την ηλεκτρονική διαδικασία αλλαγής του αριθμού τηλεφώνου επιβεβαίωσης του ενάγοντα, η εισβολή τρίτου στο περιβάλλον της και η αποστολή στον ενάγοντα sms με αποτέλεσμα την παραπλάνησή του και την υφαρπαγή των στοιχείων του, συνιστά γεγονός που καταδεικνύει ότι η εναγόμενη δε λάμβανε όλα τα αναγκαία μέτρα διασφάλισης της ασφάλειας της επικοινωνίας της με τους πελάτες της.

Όπως αναφέρεται στην απόφαση, οι ηλεκτρονικές απάτες, είναι γεγονός ότι διενεργούνται με διαρκώς μεταλλασσόμενες και εξελισσόμενες μεθόδους, ώστε καθίσταται πράγματι δυσχερής η διακρίβωση του ορίου επιμέλειας που πρέπει να τηρεί και που πράγματι τηρεί κάθε τραπεζικό ίδρυμα, από τη μία μέρα ως την επόμενη.

Αποτελεί όμως καθήκον της και πρέπει να είναι καθημερινό μέλημά της να ενημερώνεται, να ερευνά και να οχυρώνει με τις καλύτερες μεθόδους ια συστήματα της, ώστε να προστατεύσει τα συμφέροντα των πελατών της, που δεν έχουν τη δική της δύναμη, φύσει και θέση.

Σύμφωνα με το δικαστήριο, στη συγκεκριμένη υπόθεση ίσχυσαν όμως και τα εξής:

Ο ενάγων δε διαφύλαξε τα ευαίσθητα τραπεζικά στοιχεία του και τα γνωστοποίησε όταν του ζητήθηκε με μήνυμα που τον μετέφερε με ούνδέσμο σε ιστότοπο. Δεν έπρεπε να το πράξει, έστω κι αν το μήνυμα προήλθε από το περιβάλλον της συνομιλίας μέσω sms με την εναγόμενη, έστω κι αν οδηγήθηκε μέσω του συνδέσμου σε ιστότοπο που ομοίαζε με αυτόν της εναγόμενης, διότι αποδείχθηκε πως η εναγόμενη κατ’ επανάληψη ενημερώνει και προειδοποιεί τους συναλλασσόμενους ότι η ίδια «ποτέ δε θα τους ζητήσει τους κωδικούς τους και να μην απαντούν σε όσους τους ζητούν προσωπικά στοιχεία».

Συνεπώς, για την αλίευση των προσωπικών στοιχείων του ενάγοντα ευθύνεται τόσο η εναγόμενη για την πλημμελή θωράκιση των συστημάτων της που θα έπρεπε να είναι άριστη, όσο και ο εναγών ο οποίος αθέτησε την υποχρέωσή του να προστατεύει τα στοιχεία του και παράκουσε τις οδηγίες ασφαλείας της εναγόμενης.

Πέραν αυτών, διαπιστώθηκε ότι ο ενάγων άμεσα, εντός λίγων λεπτών από την ενημέρωση για τη μεταφορά των χρημάτων του, επικοινώνησε τηλεφωνικά, συνεπώς ευθέως, με την εναγόμενη και της κατήγγειλε το περιστατικό.

Τούτου δοθέντος, εάν μέσα στα λίγα αυτά λεπτά δεν είχε ολοκληρωθεί η μεταφορά του ποσού στον λογαριασμό του τρίτου (στοιχείο που δεν προκύπτει ξεκάθαρα από την τηλεφωνική συνομιλία που προσκομίζεται), και αυτή ολοκληρώθηκε και δεν παρεμποδίστηκε από την εναγόμενη παρότι ο ενάγων την είχε ενημερώσει, τότε η ευθύνη της εναγόμενης για αθέτηση των συμβατικών υποχρεώσεών της για προστασία του ενάγοντα (όπως προεκτέθηκαν στη μείζονα σκέψη ανωτέρω) είναι πλήρης, ανεξάρτητα από τη συμπεριφορά αμφότερων των διαδίκων κατά τον χρόνο του phishing.

Εάν δηλαδή, κατόπιν της γνωστοποίησης προς την εναγόμενη της μη γνησιότητας της εντολής εμβάσματος (η οποία ωστόσο καλώς έως τότε είχε ελεγχθεί από αυτήν με τις ενδεδειγμένες μεθόδους ταυτοποίησης, και την οποία εντολή θα ήταν επομένως υποχρεωμένη να διεκπεραιώοει, αν δεν είχε ενημερωθεί για τη μη γνησιότητα αυτής), η τράπεζα είχε τη δυνατότητα (χρονική και τεχνική) να προλάβει τη μη μεταφορά, αλλά δεν το έπραξε επιδεικνύοντας βαριά αμέλεια και ολοκλήρωσε τη συναλλαγή, τότε η ευθύνη της για την αποζημίωση του πελάτη της είναι πλήρης.

Συνεπεία αυτών των διαπιστώσεων, διατάχθηκε η επανάληψη της συζήτησης, προκειμένου να παρασχεθεί κάθε δυνατή απόδειξη, για τον ακριβή χρόνο διεκπεραίωσης της εντολής μεταφοράς των χρημάτων σε κάθε φάση του (αφαίρεση από τον λογαριασμό του ενάγοντα, μεταφορά σε άλλη τράπεζα, μεταφορά στον λογαριασμό του τρίτου προσώπου).

Όπως αναφέρεται στην απόφαση, η εκταμίευση των χρημάτων έγινε αυτόματα, χωρίς κάποια έγκριση από την εναγόμενη, την ίδια στιγμή που δόθηκε η εντολή εμβάσματος, στις 13.45. Δε μεσολάβησε λοιπόν, κανένα χρονικό περιθώριο, κι ούτε προβλέπεται σε αυτές τις περιπτώσεις, κανενός είδους έλεγχος από την τράπεζα.

Από τη στιγμή που η εντολή εμβάσματος έγινε με τον τρόπο και τα μέσα (μηχανισμοί ταυτοποίησης), που προβλέπονται από το σύστημα της εναγόμενης, τα χρήματα εκταμιεύθηκαν ευθύς από τον λογαριασμό του ενάγοντα και μεταφέρθηκαν στην τρίτη τράπεζα.

Χρειάστηκε να μεσολαβήσει μόνον μια επιβεβαίωση της τελευταίας ότι δέχεται το έμβασμα, η οποία επίσης γίνεται συνήθως αυτοματοποιημένα, και σε κάθε περίπτωση είναι στην σφαίρα δράσης της τρίτης τράπεζας η οποία έχει ήδη την κατοχή των χρημάτων και επομένως δεν επιδρά στην κρίση για την προκειμένη υπόθεση.

Συνεπώς, τα χρήματα του ενάγοντα είχαν ήδη φύγει από την κατοχή της εναγόμενης το ίδιο λεπτό που δόθηκε η εντολή εμβάσματος, διότι έτσι λειτουργεί το σύστημα της εναγόμενης το οποίο επέλεξε ο ενάγων πελάτης της (είτε γενικά για τα εμβάσματα, είτε για τη ουγκεκριμένη συναλλαγή), η δε ενημέρωσή της από τον ενάγοντα για τη γενόμενη απατη, ουδεμία επίδραση θα μπορούσε να έχει.

Το γεγονός αυτό, δε γνώριζε ο υπάλληλος που μίλησε τηλεφωνικά με τον ενάγοντα, όπως προκύπτει από τη συνομιλία τους, αφού εκείνος του άφησε ανοιχτό το ενδεχόμενο να λάβουν πίσω τα χρήματα.

Σύμφωνα με την απόφαση, προκύπτει ότι παράλληλα με την ευθύνη της τράπεζας για τη μη αποτελεσματική θωράκιση των συστημάτων της απέναντι στις διαρκώς μεταλλασσόμενες και εξελισσόμενες μεθόδους εξαπάτησης που τα πλήττουν, με απότοκο την περιουσιακή ζημία των πελατών της που την εμπιστεύτηκαν, η οποία συνιστά παράβαση των συμβατικών υποχρεώσεων της και γεννά συμβατική ευθύνη της, συντρέχει και η προσωπική ευθύνη του ενάγοντα, ο οποίος δε διαφύλαξε, ως οφείλε, τα ευαίσθητα τραπεζικά στοιχεία του και τα γνωστοποίησε, ενώ δεν έπρεπε να το πράξει, έστω κι αν το μήνυμα που τον παραπλάνησε προήλθε από το περιβάλλον της συνομιλίας μέσω sms με την εναγόμενη, έστω κι αν οδηγήθηκε μέσω του συνδέσμου σε ιστότοπο που ομοίαζε με αυτόν της εναγόμενης, γιατί παρέβλεψε τις σχετικές οδηγίες και τις αυστηρές συστάσεις της τράπεζας, παραβαίνοντας το καθήκον διαφύλαξής τους.

Πρέπει επομένως, κατά τα παραπάνω, να γίνει δεκτή εν μέρει ως προς την ουσία της η κρινόμενη αγωγή, και δεκτής γενόμενης της ένστασης συντρέχοντας πταίσματος του ενάγοντα σε ποσοστό 1/6 προς τη ζημία που υπέστη, να αναγνωριστεί -κατόπιν της παραδεκτής και νόμιμης τροπής του αιτήματος της αγωγής από καταψηφιστικό σε αναγνωριστικό με τις προτάσεις- η υποχρέωση της εναγόμενης να του καταβάλει το ποσό των 2.500 ευρώ, νομιμότοκα, κατά τα οριζόμενα στο διατακτικό.

Ως προς το αίτημα αναγνώρισης της υποχρέωσης της εναγόμενης να του καταβάλει ποσό 1.000 ευρώ ως αποζημίωση για την ηθική βλάβη που υπέστη από την γενόμενη απάτη σε βάρος του, τούτο κρίνεται απορριπτέο ως αβάσιμο, διότι η ευθύνη της εναγόμενης είναι συμβατική και όχι αδικοπρακτική, ενώ δε συντρέχουν ειδικοί όροι που να δικαιολογούν την αντιμετώπιση της συγκεκριμένης αντισυμβατικής συμπεριφοράς και ως αδικοπρακτικής, ώστε να είναι δυνατός ο καταλογισμός ηθικής βλάβης του ενάγοντα στην εναγόμενη.