logo-print

«Phishing»: η ευθύνη των τραπεζών

Σχόλια και σκέψεις επί της υπ’ αριθμ. 1496/2024 ΕιρΑθ (Τακτική Διαδικασία) Απόφασης*

30/06/2024

27/08/2024

Μέχρι και πριν λίγα χρόνια, ο υποψήφιος εντολέας ερχόταν στο γραφείο μας ν’ αφηγηθεί τα πραγματικά περιστατικά της αφαίρεσης χρημάτων από τραπεζικό του λογαριασμό μέσω των μεθόδων «phishing», άκουγε τα δικαιώματά του και τον εκάστοτε ενδεικνυόμενο τρόπο άσκησής τους, αλλά ενημερωνόταν ότι δεν υφίστατο πλούσια ή και παγία νομολογία γι’ αυτές τις περιπτώσεις και ότι συχνά οι σχετικές συμβάσεις των τραπεζικών ιδρυμάτων εξασφάλιζαν σχεδόν προ-απαλλαγή από τις ευθύνες τους για τα εν λόγω περιστατικά. Αρκετοί εντολείς-θύματα τέτοιων περιστατικών υπέβαλαν αίτηση επιστροφής των χρημάτων στην τράπεζα, κατήγγειλαν το περιστατικό στη Δίωξη Ηλεκτρονικού Εγκλήματος και έφθαναν ως την εξώδικη όχληση της τράπεζας. Μόλις αντιλαμβάνονταν την αναποτελεσματικότητα αυτών των ενεργειών, ενώπιον του κόστους ενδοδικαστικής διεκδίκησης των απολεσθέντων χρημάτων και του απαιτούμενου χρόνου για μια τελεσίδικη απόφαση αλλά και του ανωτέρω αναφερόμενου νομολογιακού δεδομένου, δίσταζαν ή εγκατέλειπαν την προσπάθεια άσκησης των εννόμων δικαιωμάτων τους κατά της τράπεζας.

Τα τελευταία χρόνια υπήρξε μεταβολή της κατάστασης. Ο νόμος 4537/2018 ενσωμάτωσε στην ελληνική έννομη τάξη την Οδηγία (ΕΕ) 2015/2366 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2015 σχετικά με τις υπηρεσίες πληρωμών στην εσωτερική αγορά, τροποποιήθηκαν προσηκόντως οι Οδηγίες 2002/65/ΕΚ, 2009/110/ΕΚ και 2013/36/ΕΕ και ο κανονισμός (ΕΕ) 1093/2010, ενώ καταργήθηκε η Οδηγία 2007/64/ΕΚ. Εν ολίγοις, στον ανωτέρω νόμο ορίζεται ότι η μη εγκεκριμένη ή εσφαλμένα εκτελεσθείσα πράξη πληρωμής αποκαθίσταται από τον πάροχο υπηρεσιών πληρωμών στον χρήστη τέτοιων υπηρεσιών, εφόσον ο τελευταίος ειδοποιήσει χωρίς υπαίτια καθυστέρηση μόλις αντιληφθεί τέτοια πράξη πληρωμής, η οποία θεμελιώνει αξίωση αποζημίωσης, το αργότερο εντός 13 μηνών από την ημερομηνία χρέωσης (άρ. 71 παρ. 1). Επιπλέον, ορίζεται, μεταξύ άλλων, ότι ο πάροχος υπηρεσιών πληρωμών στις ανωτέρω περιπτώσεις επιστρέφει αμέσως και σε κάθε περίπτωση το αργότερο ως το τέλος της επόμενης εργάσιμης ημέρας στον πληρωτή το χρηματικό ποσό της μη εγκεκριμένης πράξης πληρωμής (άρ. 73 παρ. 1).

Με βάση το ως άνω νομικό πλαίσιο, η ελληνική Νομολογία σταδιακά άρχισε να διαγιγνώσκει την ευθύνη των τραπεζικών ιδρυμάτων σε ανάλογες περιπτώσεις και να υφαίνει δίχτυ προστασίας για τα θύματα περιστατικών «phishing». Παράλληλα, η αλματώδης αύξηση των περιστατικών τα τελευταία χρόνια εξέθεσε τα διάτρητα συστήματα ηλεκτρονικής τραπεζικής (e-banking) των χρηματοπιστωτικών ιδρυμάτων, τα οποία λειτουργούσαν κατά τεκμήριο με μη ανταποκρινόμενα στις δυνατότητες των επιτηδείων δραστών στοιχεία ασφαλείας, συνθήκη που αποδεικνύεται απ’ το γεγονός ότι σχεδόν άπαντα τα τραπεζικά ιδρύματα προβαίνουν πια σε αλλεπάλληλες αναβαθμίσεις των σχετικών εφαρμογών και προγραμμάτων τους, λαμβάνοντας συνεχώς νέα και εμπλουτιζόμενα μέτρα για τη μείωση των περιστατικών αφαίρεσης χρημάτων από λογαριασμούς των χρηστών των υπηρεσιών τους. Ταυτόχρονα, ορισμένοι Γενικοί Όροι Συναλλαγών, που εξασφάλιζαν ασυλία ως προς τις ευθύνες των παρόχων υπηρεσιών πληρωμών, άρχισαν να ωθούνται από τη Νομολογία στο αυταπόδεικτο δεδομένο της αξιολόγησής τους ως «καταχρηστικών».

Σ’ αυτό το πλαίσιο, η υπ’ αριθμ. 1496/2024 απόφαση του Ειρηνοδικείου Αθηνών, εκδοθείσα κατά την Τακτική Διαδικασία, στην οποία ο γράφων εκπροσώπησε τους δύο εντολείς-θύματα αφαίρεσης χρημάτων (ηλεκτρονικής απάτης) από τραπεζικό τους λογαριασμό, δικαίωσε εν μέρει τις αξιώσεις τους, οι οποίες αφορούσαν στην επιστροφή του συνολικού κλαπέντος ποσού (7.000,00 ευρώ) και στην επιδίκαση αποζημίωσης για την ικανοποίηση της ηθικής βλάβης εκάστου εξ αυτών, συνεπεία παράνομης προσβολής της προσωπικότητάς τους. Κατ’ αρχάς, το Δικαστήριο έκρινε ότι, βάσει του συνδυασμού διατάξεων του ανωτέρω αναφερόμενου νόμου, η τράπεζα όφειλε να επιστρέψει αμέσως στους χρήστες, και σε κάθε περίπτωση το αργότερο ως το τέλος της επόμενης εργάσιμης ημέρας, το χρηματικό ποσό της μη εγκεκριμένης πράξης πληρωμής υπό τις κάτωθι σωρευτικές προϋποθέσεις: α) να προκύπτει το «μη εγκεκριμένο» της συναλλαγής από τον χρήστη, αναγνωρίζοντας ότι η χρήση μυστικού κωδικού αναγνώρισης (PIN) δεν καθιστά από μόνη της εγκεκριμένη την πράξη πληρωμής άνευ άλλων προϋποθέσεων, β) ο χρήστης να μην έχει ενεργήσει από δόλο, να έχει εκπληρώσει τις νόμιμες υποχρεώσεις του, όπως η πρόνοια λήψης κάθε εύλογου μέτρου για τη φύλαξη των διαπιστευτηρίων ασφαλείας ή να μην τις εκπλήρωσε από ελαφρά αμέλεια, διότι διαφορετικά, δηλαδή όταν η μη τήρηση τέτοιων υποχρεώσεων από τον χρήστη οφείλονται σε πρόθεση ή βαριά αμέλεια του χρήστη, η τράπεζα δεν υποχρεούται στην επιστροφή του κλαπέντος ποσού.

Η ίδια απόφαση δέχεται ότι η κατάθεση χρημάτων σε τράπεζα φέρει το χαρακτήρα ανώμαλης παρακαταθήκης. Η άρνηση ενός τραπεζικού ιδρύματος να αποδώσει στον παρακαταθέτη το χρηματικό ποσό της κατάθεσης (δηλαδή η άρνηση να επιστρέψει η τράπεζα το κλαπέν ποσό στον πελάτη της-χρήστη του συστήματος πληρωμών της), ακόμη κι αν αυτό έχει αφαιρεθεί από τρίτο με αξιόποινη πράξη, συνιστά αθέτηση συμβάσεως εκ μέρους της τράπεζας και όχι αδικοπραξία, δεδομένου ότι στην περίπτωση αυτή η αδικοπραξία γίνεται σε βάρος της τράπεζας από τρίτο και όχι από την τράπεζα σε βάρος του παρακαταθέτη. Η εν λόγω αδικοπραξία τελείται σ’ αυτές τις περιπτώσεις σε βάρος της τράπεζας, η οποία παραμένει κυρία των παρακατατιθέμενων χρημάτων και της οποίας η περιουσία βλάπτεται από την παράνομη και υπαίτια συμπεριφορά τρίτων. Απεναντίας, η εναντίον της τράπεζας ενοχική αξίωση των παρακαταθετών από τη σύμβαση ανώμαλης παρακατάθεσης παραμένει άθικτη. Ως εκ τούτου, η άρνηση απόδοσης του κλαπέντος χρηματικού ποσού από την τράπεζα στους παρακαταθέτες, παρόλο που αυτό έχει αφαιρεθεί με αξιόποινη πράξη τρίτων, συνιστά αθέτηση συμβατικής υποχρέωσης εκ μέρους της.

Επιπροσθέτως, στη συγκεκριμένη περίπτωση η εν λόγω απόφαση αναγνωρίζει το αβάσιμο των ισχυρισμών της τράπεζας περί αποκάλυψης σε άγνωστο πρόσωπο από τον χρήστη των προσωπικών κωδικών εισόδου στο e-banking της με τη βούληση του ιδίου, αναφέροντας χαρακτηριστικά πως «δεν προκύπτει από πουθενά». Παρ’ όλα αυτά, το Δικαστήριο έκρινε ότι ο χρήστης δεν εμπόδισε την εγγραφή νέων συσκευών/browsers στην υπό χρήση εφαρμογή της ηλεκτρονικής τραπεζικής καθ’ ότι δεν έλεγξε με προσοχή τα σχετικά μηνύματα που συνόδευαν την αποστολή των μυστικών κλειδαρίθμων. Ωστόσο, το Δικαστήριο αξιολόγησε τη συμπεριφορά αυτή του χρήστη ως εμπίπτουσα στις περιπτώσεις ελαφράς αμέλειας, ώστε κι αν ακόμα θεωρηθεί ότι ο χρήστης δεν τήρησε τις υποχρεώσεις του κατ’ άρθρο 69 του ν. 4537/2018, η τράπεζα δεν απαλλάσσεται από την υποχρέωση επιστροφής του επίδικου κλαπέντος ποσού, παραθέτοντας αναλυτικά και το σχετικό σκεπτικό βάσει των πραγματικών περιστατικών της υπόθεσης. Με άλλα λόγια, το Δικαστήριο εδέχθη πως η συμπεριφορά του χρήστη δεν απέχει ουσιωδώς από την ανάλογη του μέσου επιμελούς εκπροσώπου του κύκλου στον οποίο ανήκει ο ενάγων, αναγνωρίζοντας πως η αβλεψία του ήταν εν μέρει δικαιολογημένη και συγγνωστή, δυνάμενη να κριθεί ως συντρέχον πταίσμα του χρήστη κατ’ άρθρο 300 ΑΚ, ουδόλως όμως συνιστά βαριά αμέλεια, πολλώ δε μάλλον δόλο εκ μέρους του χρήστη, ώστε να δικαιολογείτο η άρνηση της τράπεζας να αποδώσει το κλαπέν χρηματικό ποσό. Εν ολίγοις, το Δικαστήριο καταλόγισε στον χρήστη ότι δεν διάβασε προσεκτικά τα μηνύματα που συνόδευαν την αποστολή μυστικών κλειδαρίθμων, πράγμα που, αν έκανε, θα μπορούσε τουλάχιστον να υποψιαστεί την κακόβουλη ενέργεια τρίτων, δηλαδή του αιτήματος εγγραφής νέων συσκευών, και να επικοινωνήσει με το τμήμα διαχείρισης απάτης της τράπεζας για την αποτροπή της πρόσβασης τρίτου εισβολέα στη διαχείριση των λογαριασμών του. Για το λόγο αυτό, το Δικαστήριο περιόρισε τη ζημία των εναγόντων κατά 1/7, δηλαδή κατά ποσό χιλίων ευρώ στο αιτούμενο κονδύλι του συνολικού ποσού των αφαιρεθέντων επτά χιλιάδων ευρώ.

Περαιτέρω, το Δικαστήριο κατέληξε στην κρίση πως η αθέτηση της συμβατικής υποχρέωσης εκ μέρους της τράπεζας συνιστά παράνομη και υπαίτια συμπεριφορά ικανή να προκαλέσει ηθική βλάβη στους ενάγοντες. Το παράνομο συνίσταται όχι μόνο στην ευθεία παραβίαση της υποχρέωσης επιστροφής του κλαπέντος χρηματικού ποσού από τους υπαλλήλους της, αλλά στο γεγονός πως η παράλειψη αυτή αντιστρατεύεται το αίσθημα εμπιστοσύνης και ασφάλειας στη συγκεκριμένη αγορά υπηρεσιών, την οποία θεμιτά και ευλόγως δικαιούται να αναμένει ο καταναλωτής από ένα πιστωτικό ίδρυμα, το οποίο έχει επιλέξει για τη φύλαξη των χρημάτων του, εκτιμώντας ακριβώς την παρεχόμενη ασφάλεια και τη βεβαιότητα αποκατάστασης τυχόν ζημίας από κακόβουλες ενέργειες αγνώστων προσώπων. Το Δικαστήριο αναγνώρισε ως προστατευόμενο έννομο αγαθό την ακεραιότητα της πίστης και της ασφαλούς χρήσης των υπηρεσιών, το οποίο διασαλεύτηκε από την προσβολή της προσωπικότητας των εναγόντων, ειδικότερη μορφή του οποίου είναι η ελεύθερη πρόσβαση στα περιουσιακά τους αγαθά και η προστασία αυτών. Χαρακτηριστικά, η απόφαση κάνει λόγο για πρόκληση στους ενάγοντες «επαυξανόμενης απόγνωσης και ψυχικής ταλαιπωρίας που συνεχίζεται ως σήμερα» από τη συμπεριφορά της εναγόμενης τράπεζας μέσω των υπαλλήλων της. Εν τέλει, το Δικαστήριο υποχρέωσε την τράπεζα να καταβάλει στους ενάγοντες το ποσό των έξι χιλιάδων (6.000,00) ευρώ (7.000 – 1.000 ευρώ ως απομείωση λόγω συντρέχοντος πταίσματος) νομιμοτόκως από την επομένη της πρώτης εργάσιμης ημέρας μετά την ειδοποίηση από τον ενάγοντα και μάλιστα ως προσωρινώς εκτελεστού του εν λόγω σκέλους, καθώς και το ποσό των χιλίων (1.000,00) ευρώ σε κάθε ενάγοντα ως χρηματική ικανοποίηση λόγω ηθικής βλάβης.

Ανεξαρτήτως των πλημμελειών, που δυνητικά εντοπίζονται στην εν λόγω απόφαση, αναλόγως της οπτικής γωνίας που την αντικρίζει ο εκάστοτε ενδιαφερόμενος ή και εφαρμοστής του Δικαίου, πρόκειται για ένα νομολογιακό δεδομένο, το οποίο συμπεριλαμβάνει αυτονόητες παραδοχές στο μέσο συνετό άνθρωπο, όχι μόνο στο μέσο νομικό επιστήμονα. Η εποχή που μπορούσε οποιοσδήποτε επιτήδειος να εισέλθει σε τραπεζικούς λογαριασμούς και να αφαιρέσει χρήματα καταθετών και η εκάστοτε τράπεζα να μην επιστρέφει τα κλαπέντα χρηματικά ποσά επικαλούμενη ότι διαθέτει ασφαλή συστήματα e-banking, ενώ είναι διάτρητα, και ότι ευθύνεται αποκλειστικά ο εκάστοτε χρήστης των υπηρεσιών ηλεκτρονικών πληρωμών της, φαίνεται πια ότι τελεί σε καθεστώς ταφής. Μία από τις «ασυλίες» που σχετίζονται με τα τραπεζικά ιδρύματα φαίνεται να καταργείται πρωτίστως από τη βιοτική πραγματικότητα και φυσικά και εξίσου από την έννομη τάξη και το περιρρέον νομικό και νομολογιακό πλαίσιο. Αυτή τη φορά επικράτησε το αυτονόητο.

Η απόφαση είναι διαθέσιμη εδώ.

Φοίβος Ξενάκης

Είμαι Δικηγόρος Παρ' Εφέταις (μέλος του Δικηγορικού Συλλόγου Αθηνών), δραστηριοποιούμενος στην Αθήνα και σε άλλες ελληνικές πόλεις. Είμαι Διαπιστευμένος Διαμεσολαβητής του Υπουργείου Δικαιοσύνης, ασχολούμενος ενεργά με τον εναλλακτικό αυτό τρόπο...

Η υποστήριξή της κατηγορίας υπό το πρίσμα του νέου Κώδικα Ποινικής Δικονομίας

ΜΑΡΙΑΝΝΑ ΚΟΥΔΕΛΗ

ΠΟΙΝΙΚΕΣ ΕΠΙΣΤΗΜΕΣ / ΠΟΙΝΙΚΗ ΔΙΚΟΝΟΜΙΑ

Δίκαιο συναλλαγματικής, 5η έκδ., 2024