Το ηλεκτρονικό ψάρεμα ή αλλιώς phishing έχει παρουσία πολλών ετών.
To phishing αποτελεί την πλέον σύγχρονη απειλή για έναν χρήστη του διαδικτύου, ώστε να πέσει θύμα απάτης.
Απώτερος σκοπός των κυβερνοεγκληματιών είναι να παραπλανήσουν τα υποψήφια θύματα και να αποσπάσουν προσωπικά δεδομένα, λεπτομέρειες τραπεζικών λογαριασμών ή πιστωτικών-χρεωστικών καρτών κ.α.
Ο πιο συνηθισμένος τρόπος phishing είναι η αποστολή ηλεκτρονικών μηνυμάτων. Ως αποστολέας των μηνυμάτων εμφανίζεται γνωστή εταιρία (πχ τράπεζα, ταχυδρομείο κα). Τα θύματα της σύγχρονης αυτής μορφής διαδικτυακής απάτης είναι πολλά και μάλιστα ολοένα αυξανόμενα.
Πως όμως μπορεί κάποιος που χρησιμοποιεί online banking μπορεί να νιώθει ασφαλής; Η σωστή ενημέρωση είναι το πρώτο βήμα. Κατά πόσο όμως οι νόμοι της χώρας μας καλύπτουν εάν είμαστε θύματα phishing.
Δικαστική δικαίωση για θύματα phishing
Με δύο πολύ σημαντικές αποφάσεις του, που στρώνουν τον δρόμο για την δικαίωση χιλιάδων θυμάτων απάτης μέσω της μεθόδου phishing («ψαρέματος»), το Ειρηνοδικείο Θεσσαλονίκης δικαίωσε πελάτες τράπεζας και υποχρέωσε την τελευταία να αποζημιώσει του εξαπατηθέντες για το σύνολο του ποσού που τους αφαιρέθηκε από τους λογαριασμούς τους από άγνωστους δράστες. Επιπλέον, καταδίκασε την τράπεζα σε αποζημίωση για την ηθική βλάβη που υπέστησαν λόγω των ελλιπών μέτρων ασφαλείας και της έλλειψης ενημέρωσης των πελατών τους, που είχαν ως αποτέλεσμα να εξαφανιστούν από τους λογαριασμούς τους χιλιάδες Ευρώ. Μάλιστα, στην μια από τις παραπάνω περιπτώσεις, τις οποίες αμφότερες χειρίστηκαν οι δικηγόροι Θεσσαλονίκης Χρήστος Παππάς και Ανέστης Σιδηρόπουλος, το θύμα είχε πληκτρολογήσει ακόμα και τον extra pin για την, όπως νόμιζε, ακύρωση λανθασμένου εμβάσματος, το οποίος ωστόσο την πραγματικότητα ήταν καταχώρηση pin για την απατηλή μεταφορά των χρημάτων από τον λογαριασμό του προς τράπεζα της αλλοδαπής. Σε αμφότερες τις περιπτώσεις, το δικαστήριο δέχτηκε την ευθύνη της τράπεζας από την αποτυχία της να προστατέψει τους πελάτες της από τις ηλεκτρονικές απάτες εις βάρος τους.
Ο δικηγόρος Χρήστος Γ. Παππάς απαντάει στις ερωτήσεις μας.
1. Τι πρέπει να κάνουμε αν αντιληφθούμε ότι έχουμε πέσει θύματα phishing;
Η πρώτη μας ενέργεια πρέπει να είναι η άμεση ενημέρωση της τράπεζας και το αίτημα ακύρωσης των ενεργειών που πραγματοποιήθηκαν εν αγνοία μας (έμβασμα, μεταφορά χρημάτων, χρέωση λογαριασμών κλπ.). Επίσης, ερχόμαστε αμέσως σε επαφή με δικηγόρο, ο οποίος στη συνέχεια θα αναλάβει την σύνταξη έγκλησης κατά των (αγνώστων συνήθως) δραστών, την επικοινωνία με την τράπεζα και αν χρειαστεί την προετοιμασία αγωγής κατά της τράπεζας.
2. Το πόσο σύντομα θα το αντιληφθεί το θύμα παίζει ρόλο;
Έχει σημασία προκειμένου να προσπαθήσουμε να περισώσουμε ό,τι μπορούμε, υπό την έννοια ότι αν λ.χ. εκτελέστηκε απατηλά ένα έμβασμα προς το εξωτερικό, μια άμεση αίτηση ακύρωσης θα μπορούσε να επιφέρει αποτέλεσμα, εφόσον το έμβασμα (ως συνήθως συμβαίνει) εκτελείται με valeur μιας ημέρας. Σε επίπεδο νομοθεσίας το άρθρο 71 του Ν. 4537/2018 ορίζει ότι «ο πάροχος υπηρεσιών πληρωμών αποκαθιστά μία μη εγκεκριμένη ή εσφαλμένα εκτελεσθείσα πράξη πληρωμής στον χρήστη υπηρεσιών πληρωμών, μόνο αν ο τελευταίος ειδοποιήσει χωρίς υπαίτια καθυστέρηση τον πάροχο υπηρεσιών πληρωμών». Σε κάθε περίπτωση, η άμεση αντίληψη και αντίδραση θα εκτιμηθούν θετικά και αν φτάσει η υπόθεση δικαστικά κατά της τράπεζας.
3. Ποια είναι η στάση των τραπεζών απέναντι στο φαινόμενο «phishing» και ποια η ευθύνη τους απέναντι στους πελάτες τους που έχουν εξαπατηθεί;
Οι τράπεζες αναμφίβολα έχουν τεράστια ευθύνη για το ολοένα και αυξανόμενο φαινόμενο των ηλεκτρονικών απατών με την μέθοδο του phishing. Και τούτο γιατί αφενός αποτυγχάνουν διαρκώς να ενημερώσουν σωστά τους πελάτες τους για τους κινδύνους που ελλοχεύουν από τις ολοένα και πιο αναπόφευκτες και εν πολλοίς επιβαλλόμενες και από τις ίδιες ηλεκτρονικές συναλλαγές και αφετέρου διότι δεν έχουν διασφαλίσει ένα πλήρες σύστημα ασφαλείας που θα εντόπιζε και θα εμπόδιζε τέτοιου είδους απατηλές συμπεριφορές. Θα έπρεπε λ.χ. να είχαν ήδη αναπτύξει ειδικό λογισμικό που θα εντόπιζε ύποπτες ή ασυνήθεις συναλλαγές και να τις σταματούσε πριν ολοκληρωθούν. Δεν γίνεται κάποιος να μην έχει εκτελέσει λ.χ. ποτέ στην ζωή του ένα έμβασμα στο εξωτερικό και ξαφνικά να εκτελείται μια μεταφορά από τον λογαριασμό του προς λ.χ. την Λετονία, και η τράπεζα να μην ελέγχει αυτή την απολύτως ασυνήθιστη για το προφίλ του συγκεκριμένου πελάτη συναλλαγή. Η ευθύνη των τραπεζών εδράζεται επομένως στην αυξημένη υποχρέωση πρόνοιας και προστασίας που έχουν απέναντι στους πελάτες και τους καταθέτες τους, οι οποίοι μάλιστα κατά την βίαιη μεταφορά στην ψηφιακή ηλεκτρονική τραπεζική έχρηζαν ιδιαίτερης φροντίδας και προστασίας.
4. Συνήθως τα χρήματα από τέτοιου είδους ηλεκτρονικές άπατες καταλήγουν σε λογαριασμούς του εξωτερικού και οι θύτες βρίσκονται κι αυτοί σε άλλη χώρα. Σε αυτή την περίπτωση πως πρέπει να κινηθούμε;
Ακριβώς αυτό το πρόβλημα εντόπισε η μια εκ των ανωτέρω δικαστικών αποφάσεων. Και εδώ κρίθηκε ότι την τελική ευθύνη γι’ αυτήν την μη εγκεκριμένη συναλλαγή οφείλει να την αναλάβει η τράπεζα. Φυσικά όμως και σε αυτή την περίπτωση ισχύει ότι μόλις γίνει αντιληπτή μια τέτοια ενέργεια, επιβάλλεται η άμεση επικοινωνία με την τράπεζα και η υποβολή αιτήματος ακύρωσης της συναλλαγής.
5. Υπάρχει κάποια νομοθεσία που να μας προστατεύει από τέτοιου είδους ηλεκτρονικές άπατες;
Σε ευρωπαϊκό επίπεδο είχε εκδοθεί η Οδηγία 2015/2366/ΕΕ, προς την οποία προσαρμόστηκε η Ελληνική νομοθεσία με την θέσπιση του Ν. 4537/2018, αναφορικώς με τις υπηρεσίες πληρωμών. Στον νόμο αυτόν προβλέπονται ειδικές διατάξεις για την προστασία των πελατών και την ευθύνη των τραπεζών (που στο νόμο αναφέρονται ως πάροχοι υπηρεσιών πληρωμών) σε περιπτώσεις μη εγκεκριμένων πράξεων πληρωμής.
6. Ποια είναι η ποινή για αυτούς που διαπράττουν μια τέτοια είδους ηλεκτρονική απάτη;
Κατά τα άρθρα 386 και 386 Α του Ποινικού Κώδικα, ο δράστης μιας απάτης ή μιας απάτης με υπολογιστή τιμωρείται με φυλάκιση έως 5 ετών και χρηματική ποινή. Εάν η ζημιά που προκλήθηκε υπερβαίνει τις 120.000€ τότε ο δράστης τιμωρείται με ποινή καθείρξεως έως δέκα έτη και χρηματική ποινή. Για να θεωρηθεί κακούργημα η πράξη και να επιβληθεί ποινή καθείρξεως, δεν πρέπει να έχει προκληθεί ζημιά άνω των 120.000€ σε ένα μεμονωμένο θύμα. Αρκεί ο δράστης συνολικά να έχει προκαλέσει ζημιά άνω των 120.000€ ακόμη και εναντίον περισσότερων θυμάτων (λ.χ. έχει αποσπάσει από 20 άτομα το ποσό των 7000€ από τον καθένα = συνολική ζημία 140.000€).
