Σαν εισαγωγή στο θέμα, σας παρακαλώ να διαβάσετε μια δυσνόητη δικαστική απόφαση από το dikastikos.gr, γιατί το θέμα είναι πραγματικά πολύ ενδιαφέρον και αφορά όλους εμάς που συναλλασσόμαστε μέσω του internet με τις τράπεζές μας.
«Καμπάνα» σε τράπεζα έριξε το Μονομελές Πρωτοδικείο Αθηνών και μάλιστα της επέβαλε να επιστρέψει σε καταθετικό λογαριασμό πολίτη, πάνω από 8.740 ευρώ, τα οποία αποσπάστηκαν παρανόμως μέσω διαδικτυακής απάτης!
Οπως αναφέρεται «η Τράπεζα έχει υποχρέωση πριν εκτελέσει μια συναλλαγή μέσω e-banking για λογαριασμό πελάτης της, να διερευνήσει ορισμένους παράγοντες, όπως το ύψος, τύπο της συναλλαγής και αν υπάρχει συμβατότητα με το προφίλ-ιστορικό συναλλαγών του πελάτη της. Αρθρο 64 παρ. 1&2 ν. 4537/2018, πράξη πληρωμής θεωρείται εγκεκριμένη μόνο εφόσον ο πελάτης έχει δώσει συγκατάθεση στην εκτέλεσή της, ενώ η χρήση της υπηρεσίας e-banking εκ μέρους του πελάτη (τράπεζας) δεν αποτελεί επαρκή απόδειξη ότι ο πληρωτής είχε εγκρίνει πράξη πληρωμής».
Σύμφωνα με την απόφαση που δημοσιεύεται επιμελεία του δικηγόρου Αθηνών, Ε. Α., «δεν αποδείχθηκε ότι ο ενάγων ενήργησε με δόλο ως προς τη μεταφορά του επίδικου χρηματικού ποσού, ήτοι ότι η εν λόγω συναλλαγή ήταν αποτέλεσμα συμπαιγνίας μεταξύ του ενάγοντας και τρίτου προσώπου, ούτε ότι ο ενάγων παραβίασε υπαίτια τις προβλεπόμενες εκ του άρθρου 69 του ν. 4537/2018 υποχρεώσεις του, ήτοι:
α) να χρησιμοποιεί το μέσο πληρωμών σύμφωνα με τους όρους που διέπουν την έκδοση και χρήση του, οι οποίοι πρέπει να είναι αντικειμενικοί, χωρίς διακρίσεις και αναλογικοί
β) να ειδοποιεί χωρίς υπαίτια καθυστέρηση τον πάροχο υπηρεσιών πληρωμών […]
Στην απόφαση του Δικαστηρίου αναφέρεται ότι «τρίτο πρόσωπο παραβίασε τα συστήματα ασφαλείας της εναγόμενης με τρόπο, ο οποίος δεν προκύπτει μεν με ακρίβεια, πλην, όμως, αποδεικνύεται ότι δεν είχε σχέση με την συμπεριφορά (ενέργεια ή παράλειψη) του ενάγοντας και ακολούθως, έκανε χρήση των κωδικών εισόδου (username, password, pin) και ασφαλείας (ΟΤΡ) στο σύστημα web banking (ηλεκτρονικής τραπεζικής) της εναγόμενης, την 05-09-2021 και αφού εισήλθε στο σύστημα, προέβη, αμέσως μετά, σε ταυτοποίηση της χρησιμοποιούμενης τηλεφωνικής συσκευής και κατόπιν, ενεργοποίησε και την υπηρεσία Ρυsh Notification της εναγομένης για την έγκριση των ηλεκτρονικών συναλλαγών, με τη χρήση άλλης κινητής τηλεφωνικής συσκευής (i-phone), δηλαδή, ενήργησε τα ανωτέρω με συσκευή διαφορετική από αυτήν που είχε στην κατοχή και χρήση του ο ενάγων και στην οποία είχε αυτός εγκαταστήσει την εφαρμογή myalpha mobile, με σκοπό να μπορεί το τρίτο αυτό πρόσωπο να εκτελεί παρανόμως συναλλαγές, εν αγνοία του ενάγοντος και σε χρέωση του λογαριασμού του τελευταίου, κάνοντας χρήση της ειδοποίησης Ρυsh Notification, για την έγκριση των συναλλαγών, την οποία θα ελάμβανε, πλέον, στη δική του συσκευή ο τρίτος, μέσω της εγκατασταθείσας σε αυτήν ως άνω εφαρμογής (myalpha mobile), όπως και πράγματι έγινε, την 20-09-2021, κατά την πραγματοποίηση της επίδικης συναλλαγής μεταφοράς χρημάτων».
Από το κείμενο της απόφασης είναι ολοφάνερο ότι η τράπεζα είναι η Alpha Bank. Με την Alpha Bank είμαι συναισθηματικά συνδεδεμένος. Από το 1974 πρώτα σαν Ηλεκτρονικοί Διερευνητές Δοξιάδη, στη συνέχεια σαν Uni.Systems βοηθήσαμε την τράπεζα να εξελιχθεί από μια μικρή τράπεζα σε κύριο παράγοντα της ελληνικής οικονομίας. Επιπλέον, η Alpha Bank ήταν ο κύριος μέτοχος αλλά και ο κύριος πελάτης της Δέλτα Πληροφορικής.
Οταν λοιπόν διάβασα αυτή την είδηση έπαθα σοκ. Νόμισα ότι μπήκαμε στη χρονομηχανή και γυρίσαμε 70 χρόνια πίσω. Δεν είναι το ποσό αλλά το σκεπτικό του δικαστή που έβγαλε αυτή την απόφαση. Ξαναδιαβάστε την παράγραφο (με έντονα) «Η Τράπεζα είχε …». Ο/Η δικαστής δεν έχει καταλάβει πώς λειτουργούν τα σύγχρονα συστήματα. Στο μυαλό του πρέπει ακόμα να πιστεύει ότι για κάθε ηλεκτρονική συναλλαγή που γίνεται πρέπει κάποιος άνθρωπος ή κάποιος αλγόριθμος να την ελέγχει αν ταιριάζει με το προφίλ του και να τη σταματά αν του φαίνεται ότι διαφέρει. Πόσο λογικό σας φαίνεται αυτό; Δηλαδή αν κάποιος παίρνει 100 ευρώ κάθε εβδομάδα από το ΑΤΜ και σε κάποια στιγμή θελήσει να πάρει 500 ευρώ, το ΑΤΜ πρέπει να μην του τα δώσει και να τον προτρέψει να πάει μέσα στον υπάλληλο της τράπεζας, να του εξηγήσει γιατί «αλλάζει τη συνήθειά του».
Για την ιστορία, Τράπεζες διαθέτουν σήμερα συστήματα παρακολούθησης των συναλλαγών για την πρόληψη ηλεκτρονικής απάτης (fraud prevention systems). Η βασική νομική και κανονιστική υποχρέωσή τους είναι η προστασία του χρηματοπιστωτικού συστήματος από τη χρήση του για το ξέπλυμα βρώμικου χρήματος, που όμως υλοποιείται με τον έλεγχο συναλλαγών μετά την ολοκλήρωσή τους και ενημέρωση της αρμόδιας αρχής.
Καμία τράπεζα δεν πρόκειται να σας ζητήσει PIN κάρτας ή κωδικούς internet banking ούτε τηλεφωνικά, ούτε διά ζώσης.
Αλλά δεν είναι μόνο αυτό. Η πυρηνική βόμβα στα θεμέλια της σύγχρονης ζωής είναι η απόφαση ότι: «[…] η χρήση της υπηρεσίας e-banking εκ μέρους του πελάτη (τράπεζας) δεν αποτελεί επαρκή απόδειξη ότι ο πληρωτής είχε εγκρίνει πράξη πληρωμής […]». Δηλαδή, πώς μπορεί η τράπεζα να καταλάβει ότι αυτός που εκτελεί τη συναλλαγή δεν είναι ο νόμιμος κάτοχος του λογαριασμού, αν πληροί όλες τις προϋποθέσεις που έχει προδιαγράψει η τράπεζα; Δεν είμαι βέβαιος αν ο δικαστής που έβγαλε αυτή την απόφαση έχει συνειδητοποιήσει το μέγεθος του προβλήματος που δημιούργησε.
Και τώρα το καίριο ερώτημα: Αν οι δικαστές μας ακόμα δεν έχουν καταλάβει πώς λειτουργούν τα σύγχρονα συστήματα, πώς αύριο θα αντιμετωπίσουν τα προβλήματα που θα δημιουργηθούν με την τεχνολογία. Μην πάτε μακριά. Ηδη κυκλοφορούν οχήματα χωρίς οδηγό. Σε περίπτωση δυστυχήματος ποιος φταίει; Ο ιδιοκτήτης, ο κατασκευαστής ή το λογισμικό; Δεν ακουμπάω την Τεχνητή Νοημοσύνη γιατί εκεί είμαι βέβαιος ότι θα χάσει τη μάχη με την Ανθρώπινη Βλακεία.
Πάμε όμως και στην ουσία του θέματος. Εμφατικά σας δηλώνω ότι κανένα σύστημα της τράπεζας δεν παραβιάστηκε! Φαίνεται ότι ο πελάτης αυτός παραβίασε τον βασικό κανόνα. Κάποιος τον παραμύθιασε και του έδωσε τα βασικά στοιχεία εισόδου στην τράπεζα. Δηλαδή το user-id και password. Στη συνέχεια όλα είναι εύκολα και απλά. Είναι σαν να δίνετε τα κλειδιά του σπιτιού σας σε κάποιον άγνωστο και μετά παραπονιέστε γιατί αυτός σας έκλεψε.
Από τις ημερομηνίες φαίνεται ότι το περιστατικό έγινε το 2021. Τότε οι τράπεζες είχαν το 2-factor authentication. Πέρα από την είσοδο στο e-banking με τους κωδικούς, για οποιαδήποτε μεταφορά έστελναν και έναν κωδικό μιας χρήσης (One Time Password = OTP) στο κινητό τηλέφωνο, με τον οποίο ο πελάτης πιστοποιούσε τη συμφωνία του για τη συναλλαγή. Είμαι απολύτως βέβαιος ότι ο πελάτης αυτός «παραμυθιάστηκε» από τον απατεώνα και του έδωσε και τα ΟΤΡ που πήρε στο κινητό του. Δεν υπάρχει τρόπος το ΟΤΡ να πάει σε άλλη συσκευή, παρά μόνο με έγκριση από τον κάτοχο της καταχωρισμένης συσκευής. Για πρόσθετη ασφάλεια, οι ελληνικές τράπεζες έβαλαν και τρίτο παράγοντα ασφαλείας. Πέρα από τους δύο προηγούμενους, στέλνουν και email με διαφορετικό ΟΤΡ. Τίποτα όμως από όλα αυτά δεν σε σώζει, αν δώσεις σε κάποιον τα στοιχεία εισόδου σου.
Στις 28/9/2024 στη στήλη αυτή δημοσίευσα ένα χρηστικό κείμενο με τίτλο «Ηλεκτρονικές συναλλαγές και απάτες», όπου έδινα συμβουλές για την προστασία από απάτες. Η βασικότερη συμβουλή είναι μία: Δεν δίνουμε σε κανένα, μα κανένα τα στοιχεία εισόδου στην τράπεζα και δεν αποκαλύπτουμε σε κανένα το ΡΙΝ μας, ούτε μερικώς (δώσε δύο ψηφία για να πιστοποιήσουμε την ταυτότητά σας). Καμία τράπεζα δεν πρόκειται να σας ζητήσει αυτά τα στοιχεία ούτε τηλεφωνικά, ούτε διά ζώσης. Οποιος τα ζητήσει είναι απατεώνας. Ο άγνωστος συνομιλητής σας είναι βέβαιο ότι θα κινδυνολογήσει για να σας πείσει να δώσετε τις κρίσιμες πληροφορίες προσποιούμενος ότι θα σας προστατέψει, αλλά ποτέ δεν πρέπει να υποκύψετε.
Στη δικαστική απόφαση αναγνωρίζεται ότι ο πελάτης δεν ενήργησε με δόλο, αλλά ούτε και η τράπεζα ενήργησε πλημμελώς, αφού «τρίτο πρόσωπο παραβίασε τα συστήματα ασφαλείας της εναγόμενης με τρόπο, ο οποίος δεν προκύπτει μεν με ακρίβεια […]». Αυτή ακριβώς η διατύπωση δεν αποκλείει την αφέλεια. Αν η υπόθεση αυτή δημιουργήσει νομολογία, πολύ φοβούμαι ότι θα δημιουργηθεί μια «βιομηχανία» διεκδικήσεων από τις τράπεζες από «αφελείς» που θα δίνουν τα στοιχεία εισόδου τους σε «αγνώστους» που μπορεί να είναι και «γνωστοί» τους!
Κλείνοντας, πληροφορήθηκα ότι η τράπεζα άσκησε έφεση. Θέλω να παρακολουθήσω αυτή την υπόθεση, γιατί αν η απόφαση οριστικοποιηθεί θα αποτελέσει νομολογία για επόμενες περιπτώσεις. Ζήτω που καήκαμε!
ΥΓ.: Προσοχή! Ακόμα και αν το τηλέφωνο που μας καλούν είναι της τράπεζάς μας, ΔΕΝ δίνουμε πληροφορίες. Υπάρχουν εφαρμογές που εμφανίζουν όποιον αριθμό θέλει ο απατεώνας και έτσι μπορεί να παραπλανήσει τον καλούμενο.
*Ο κ. Ανδρέας Γ. Δρυμιώτης είναι σύμβουλος επιχειρήσεων.
