Η συνυπαιτιότητα στις περιπτώσεις πρακτικών εξαπάτησης «phishing», «pharming» και «keylogging» (ΜΠρΧαλκ 245/2023)

Την συνδρομή συνυπαιτιότητας και το βαθμό αυτής στις περιπτώσεις πρακτικών εξαπάτησης «phishing», «pharming» και «keylogging» ερμήνευσε με πρόσφατη απόφασή του το Μονομελές Πρωτοδικείο Χαλκίδας (ΜΠρΧαλκ 245/2023).

Με τους όρο «phishing», «pharming» και «keylogging» αποδίδονται πρακτικές εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς (ΡΙΝ, ΤΑΝ) των καταναλωτών για διαδικτυακές συναλλαγές και προβαίνουν σε μεταφορές χρημάτων από τους λογαριασμούς τους που δεν μπορούν να ανατραπούν.

Ο Ν. 4537/2018 διακρίνει μεταξύ δύο κατηγοριών ελαττωματικής διεκπεραίωσης πράξεων πληρωμών, των εγκεκριμένων και μη εγκεκριμένων πράξεων πληρωμής, ρυθμίζοντας τα ζητήματα ευθύνης και κατανομής του κινδύνου. Το άρθρο 73 ορίζει ότι τον κίνδυνο από την εκτέλεση μιας μη εγκεκριμένης πράξης πληρωμής φέρει ο πάροχος υπηρεσιών του πληρωτή. Ως έννομη συνέπεια της ενεργοποίησης μιας μη εγκεκριμένης πράξης πληρωμής προβλέπει η παρ. 1 του άρ. 73 την αξίωση επιστροφής του ποσού πληρωμής. Μοναδική προϋπόθεση για την εφαρμογή του άρ. 73 είναι η έλλειψη συγκατάθεσης στην εκτέλεση της πράξης πληρωμής. Στην ηλεκτρονική τραπεζική δεν υπάρχει συγκατάθεση όταν τρίτος υφαρπάζει τις προσωπικές πληροφορίες ή τα στοιχεία πρόσβασης του χρήστη δικαιούχου του λογαριασμού, μέσω πρακτικών «phishing», «pharming» και «keylogging».

Περαιτέρω, από τον συνδυασμό των άρθρων 64 και 73 του N. 4537/2018 προκύπτει ότι ο πάροχος υπηρεσιών πληρωμών νομιμοποιείται να εκτελεί μόνο πράξεις πληρωμής εγκεκριμένες από τον πληρωτή. Συναφώς, το βάρος απόδειξης της γνησιότητας της εντολής πληρωμής φέρει o πάροχος του πληρωτή. Όταν στην εκτέλεση της μη εγκεκριμένης πράξης πληρωμής συνετέλεσε και η συμπεριφορά του εντολέα, λ.χ. με την εσφαλμένη συμπλήρωση του εντύπου της πληρωμής, δεν αποκλείεται η εφαρμογή της ΑΚ 300. Συναφώς, σε ορισμένες περιπτώσεις καταχρηστικής χρήσης του μέσου πληρωμής από τρίτους μπορεί να στοιχειοθετηθεί ευθύνη του πληρωτή έναντι του παρόχου σύμφωνα με το άρθρο 74.

Ειδικότερα, δε με την ως άνω διάταξη προβλέπονται δύο είδη ευθύνης του πληρωτή: Στην παρ. 1 προβλέπεται καταρχήν αντικειμενική ευθύνη του πληρωτή από διακινδύνευση, η οποία περιορίζεται ποσοτικά στο ποσό των 50 ευρώ. Η γένεση της ευθύνης προϋποθέτει την απώλεια ή κλοπή του μέσου πληρωμών ή την ασφαλή φύλαξη των εξατομικευμένων στοιχείων ασφαλείας (λ.χ. ΡΙΝ/ΤΑΝ, ΡΙΝ χρεωστικής κάρτας) από τον πληρωτή. Απεριόριστη ποσοτικά είναι η ευθύνη του πληρωτή κατά την παρ. 2, εφόσον ο χρήστης βαρύνεται με υπαιτιότητα – τουλάχιστον βαριά αμέλεια. Αντίθετα, η αθέτηση από ελαφρά αμέλεια των υποχρεώσεων γεννά τη βασική ευθύνη από το άρ. 74 παρ. 1. Δεν αποκλείεται η εφαρμογή της ΑΚ 300, όταν ο πάροχος συνετέλεσε στη ζημία ή στην έκτασή της.

Σύμφωνα με το σκεπτικό του δικαστηρίου, η βαριά αμέλεια προϋποθέτει αντικειμενικά μια ιδιαίτερα σοβαρή αθέτηση των υποχρεώσεων επιμέλειας του χρήστη κατά το άρθρο 69 και υποκειμενικά αυξημένη προσωπική μομφή εις βάρος του χρήστη. Σε σχέση με την χρήση μέσων πληρωμής, δεν απαιτείται η λήψη όλων των δυνατών μέσων προφύλαξης, τα οποία θα εξασφάλιζαν μέγιστη προστασία. Λαμβάνονται υπόψη μόνο εκείνα τα μέτρα που είναι πρακτικώς υλοποιήσιμα. Κλασσική περίπτωση βαριάς αμέλειας αποτελεί η από κοινού φύλαξη της χρεωστικής κάρτας και του μυστικού αριθμού (ΡΙΝ).

Περαιτέρω, στην ηλεκτρονική τραπεζική και, ειδικότερα, στις περιπτώσεις πρακτικών εξαπάτησης «phishing», «pharming» και «keylogging», επειδή υφίστανται σημαντικές δυνατότητες πρόσβασης τρίτων, δεν μπορεί άνευ ετέρου να καταλογισθεί στον χρήστη παραβίαση των υποχρεώσεών του. Ωστόσο, κατά την εκτίμηση της βαριάς αμέλειας του χρήστη πρέπει να λαμβάνονται υπόψη o επαγγελματισμός, το επίπεδο εμπειρίας του και οι συγκεκριμένες συνθήκες, υπό τις οποίες έλαβε χώρα η αθέτηση των υποχρεώσεων.

Στην προκειμένη περίπτωση, ο ενάγων επιχείρησε να συνδεθεί στην ιστοσελίδα της εναγόμενης τραπεζικής εταιρίας, όπου μέσω του λογαριασμού internet banking θα προχωρούσε σε συνήθεις και εκτελούμενες από τον ίδιο επί σειρά ετών συναλλαγές (εξόφληση λογαριασμών κ.λπ). Στην προσπάθειά του αυτή, μέσω κακόβουλου λογισμικού οδηγήθηκε σε σύνδεσμο (link), o οποίος έφερε παρόμοια και όχι πανομοιότυπα στοιχεία με τον γνήσιο σύνδεσμο που οδηγεί στην επίσημη ιστοσελίδα της εναγομένης. Σημειώνεται ότι ο ανωτέρω σύνδεσμος εμπεριέχει σημεία που υποδηλώνουν σε έναν έμπειρο χρήστη του διαδικτύου και ειδικότερα των ηλεκτρονικών συναλλαγών ότι οδηγεί σε αποτελέσματα αναζήτησης αμφιβόλου προελεύσεως. Παραπλανόμενος, ωστόσο, ως προς την εγκυρότητα του πρώτου συνδέσμου, και θεωρώντας ότι εισέρχεται σε ασφαλές διαδικτυακό περιβάλλον της εναγομένης, o ενάγων οδηγήθηκε σε περιβάλλον που έφερε χαρακτηριστικά παρόμοια με εκείνα της γνήσιας ιστοσελίδας της εναγομένης. Στην προσπάθειά του να ενεργοποιήσει τον λογαριασμό intemet banking, δεν του επιτράπηκε η είσοδος, αντ’ αυτού του ζητήθηκε να καταχωρίσει τον αριθμό κινητού τηλεφώνου και τη διεύθυνση ηλεκτρονικού ταχυδρομείου.

Το δικαστήριο απέρριψε ως ουσιαστικά αβάσιμο τον ισχυρισμό της εναγόμενης ότι αυτή δεν υπέχει ουδεμία ευθύνη κατ’ εφαρμογή του όρου της σύμβασης, σύμφωνα με τον οποίο εκείνη δεν ευθύνεται για οποιαδήποτε ζημία του πελάτη της σε περίπτωση παράνομης χρήσης των προσωπικών του κωδικών πρόσβασης στην υπηρεσία Internet Banking. Και τούτο διότι ο προαναφερόμενος επίμαχος συμβατικός όρος είναι άκυρος, σύμφωνα με τη διάταξη του άρ. 103 Ν. 4537/2018, ως ερχόμενος σε αντίθεση με τις διατάξεις των άρ. 71, 88, 92 και 95 του ιδίου νόμου, οι οποίες προβλέπουν καθολική ευθύνη του παρόχου και απαλλαγή του μόνο για ασυνήθεις και απρόβλεπτες περιστάσεις, οι οποίες είναι πέρα από τον έλεγχο του μέρους που τις επικαλείται και των οποίων οι συνέπειες δεν θα μπορούσαν να αποφευχθούν παρ’ όλες τις προσπάθειες για το αντίθετο. Εξάλλου, όπως επεσήμανε τ δικαστήριο, η παραβίαση του συστήματος ασφαλείας της εναγομένης μέσω κακόβουλου λογισμικού, έστω και με την εν μέρει συμμετοχή του ενάγοντος, δεν συνιστά απρόβλεπτο γεγονός, κατά την έννοια του άρ. 92 του Ν. 4537/2018, ώστε η πρώτη να απαλλαγεί της ευθύνη της.

Επομένως, κρίθηκε ότι οι επίδικες συναλλαγές θεωρούνται, ελλείψει αποδεικνυόμενης παροχής συγκατάθεσης εκ μέρους του ενάγοντος, μη εγκριθείσες και γεννάται συμβατική ευθύνη της εναγομένης για επιστροφή του ποσού. Το δικαστήριο έλαβε ιδίως υπόψη του το γεγονός ότι o ενάγων προχώρησε χωρίς υπαίτια καθυστέρηση (την αμέσως επόμενη ημέρα από την τέλεση της σε βάρος του απάτης) σε ειδοποίηση της εναγομένης αναφορικά με τις επίδικες μη εγκριθείσες πράξεις πληρωμής.

Ακολούθως, το δικαστήριο έκρινε ότι η βαριά αμέλεια προϋποθέτει αντικειμενικά μια ιδιαίτερα σοβαρή αθέτηση των υποχρεώσεων επιμέλειας του χρήστη κατά το άρ. 69 του Ν. 4857/2018 και υποκειμενικά αυξημένη προσωπική μομφή εις βάρος του χρήστη.

Το γεγονός ότι ο ενάγων παραπλανήθηκε από κακόβουλο λογισμικό το οποίο με τη μέθοδο «pharming» του απέσπασε τα προσωπικά του στοιχεία, τα οποία στη συνέχεια χρησιμοποιήθηκαν από τρίτα πρόσωπα (δράστες της απάτης) με σκοπό να εισέλθουν στο σύστημα της εναγομένης ως κατ’ επίφαση δικαιούχοι των λογαριασμών του ενάγοντος, δεν δύναται να θεωρηθεί αντικειμενικά από μόνο του ιδιαίτερα σοβαρή αθέτηση των υποχρεώσεων επιμελείας εκ μέρους του ενάγοντος, τη στιγμή, μάλιστα, που δεν αποδεικνύεται από τα υπάρχοντα αποδεικτικά μέσα ότι ο ίδιος o ενάγων γνωστοποίησε σε τρίτους με κάποιο τρόπο, έστω και άθελά του τα εξειδικευμένα διαπιστευτήρια ασφαλείας, ήτοι το username και password. Ούτε μπορεί, εξάλλου, να του αποδοθεί αυξημένη προσωπική μομφή για το γεγονός αυτό. Και τούτο διότι στην ηλεκτρονική τραπεζική και ειδικότερα στις περιπτώσεις πρακτικών εξαπάτησης «phishing» και «pharming», όπως εν προκειμένω, επειδή, υφίστανται σημαντικές δυνατότητες πρόσβασης τρίτων, δεν μπορεί άνευ ετέρου να καταλογισθεί στον χρήστη παραβίαση των υποχρεώσεών του.

Συνεπώς, κρίθηκε πως τον ενάγοντα βαρύνει υπαιτιότητα με τη μορφή της ελαφράς αμέλειας.

Δείτε ολόκληρη την απόφαση, η οποία δημοσιεύθηκε και στην Επιθεώρηση του Εμπορικού Δικαίου (ΕΕμπΔ), στο sakkoulas-online.gr.