Του Δημήτρη Σπυράκου*

Phishing (ηλεκτρονικό «ψάρεμα») ονομάζονται πρακτικές εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς (ΡΙΝ, ΤΑΝ) των καταναλωτών για διαδικτυακές συναλλαγές και προβαίνουν σε μεταφορές χρημάτων από τους λογαριασμούς τους που δεν μπορούν να ανατραπούν. Ο κίνδυνος τέτοιων πρακτικών, ενόψει της μεγάλης σημασίας που έχει πλέον προσλάβει το Online-Banking, είναι μεγάλος. Οι επιθέσεις phishing τείνουν να γίνουν ο τρόμος αιφνιδιασμένων καταναλωτών. Οι τελευταίοι, μέσα σε λίγα λεπτά, μπορούν να δουν τις οικονομίες που διατηρούν στους τραπεζικούς λογαριασμούς τους να έχουν λεηλατηθεί. Σε αυτές τις περιπτώσεις θα πρέπει, λοιπόν, να γνωρίζουν τα μέσα προστασίας και τις δυνατότητες ανάκτησης των χρημάτων τους.

Στην περίπτωση του phishing δεν υπάρχει έγκυρη εντολή του πελάτη προς την τράπεζα για τη διαβίβαση των χρημάτων. Συνεπώς, η τράπεζα δεν δικαιούται να απαιτήσει από τον πελάτη, στο πλαίσιο της διαχείρισης του λογαριασμού που παρέχει, τις δαπάνες στις οποίες υποβλήθηκε για την εκτέλεση μίας τέτοιας εντολής. Υπό το πρίσμα αυτό η απάτη εκδηλώνεται κατ’ αρχήν σε βάρος της τράπεζας. Όμως, στην πράξη, σε όλες τις περιπτώσεις, η τράπεζα συμψηφίζει μονομερώς και στο σύνολό της την εν λόγω δαπάνη-ζημία, χρεώνοντας με το αντίστοιχο ύψος το λογαριασμό που διατηρεί ο πελάτης σε αυτή. Ως νομική δε βάση για την αποκατάσταση της ζημίας της, με τη μετακύλησή της στον καταναλωτή, η τράπεζα επικαλείται (ή εννοεί) την παραβίαση του καθήκοντος του τελευταίου για επιμελή διαφύλαξη της μυστικότητας των στοιχείων απέναντι σε οποιονδήποτε τρίτον. Η δε επιμελής συμπεριφορά που οφείλει να επιδεικνύει ο πελάτης περιλαμβάνει όχι μόνο την τήρηση της μυστικότητας των κωδικών αριθμών αλλά και τη σωστή αντίδραση απέναντι σε καταστάσεις ή στιγμές που είναι ύποπτες για την υφαρπαγή των στοιχείων αυτών.

Ο πελάτης έχει, λοιπόν, ευθύνη, όταν από βαριά αμέλεια γνωστοποιεί στοιχεία, τα οποία έχει αναλάβει την υποχρέωση να διατηρεί μυστικά και επιτρέπουν την διενέργεια των παράνομων συναλλαγών. Πότε υπάρχει βαριά αμέλεια, κρίνεται με βάση τις ιδιαίτερες περιστάσεις και κατά περίπτωση. Το βέβαιο είναι ότι ο πελάτης δεν φέρει ευθύνη όταν η κατασκόπευση και παράνομη πρόσβαση στους τραπεζικούς λογαριασμούς επιτυγχάνεται δίχως τη δική του επιρροή (λ.χ. πρακτικές pharming).

Ωστόσο, η αποδοχή της ευθύνης του πελάτη δεν απαλλάσσει την τράπεζα από τη δική της ευθύνη στην πρόκληση της ζημίας. Έτσι, πέραν από την ευθύνη του πελάτη, σημασία έχει στις εν λόγω υποθέσεις και η συνυπαιτιότητα της τράπεζας, αν δηλαδή αυτή έχει λάβει εγκαίρως επαρκή μέτρα για την αποτελεσματική παρεμπόδιση του phishing. Η χρήση των κωδικών ΡΙΝ και ΤΑΝ που μόνο ο καταναλωτής γνωρίζει, ασφαλώς συνιστούν για την τράπεζα ένα τεκμήριο για τη γνησιότητα της εντολής πελάτη. Αντίστοιχα, όμως: Όπως υπάρχουν ύποπτες συμπεριφορές, τις οποίες θα πρέπει να αντιλαμβάνονται ως τέτοιες οι καταναλωτές και να μην ενδίδουν ή παρασύρονται από αυτές, αντίστοιχα υπάρχουν ύποπτες συναλλαγές (εντολές διαβίβασης), τις οποίες ομοίως οι τράπεζες μπορούν με τα μέσα που οι ίδιες διαθέτουν να τις εντοπίζουν και να τις αποτρέπουν. Πλέον, οι τράπεζες έχουν τη δυνατότητα και πολλές, άλλωστε, έχουν αναπτύξει συστήματα εντοπισμού των ύποπτων συναλλαγών που κλονίζουν το τεκμήριο γνησιότητας και ενεργοποιούν μηχανισμούς επιβεβαίωσης της συναλλαγής, οι οποίες και οδηγούν στην αποτροπή της πραγματοποίησης των παράνομων μεταφορών χρημάτων. Μία τράπεζα που σήμερα δεν παρέχει την λειτουργία αυτή, είναι υπόλογη για παρωχημένη προστασία.

Το phishing είναι μία απειλή που δεν μπορεί να αγνοηθεί στην πραγματικότητα των διαδικτυακών τραπεζικών συναλλαγών. Οι τράπεζες δεν μπορούν να παραβλέπουν το γεγονός ότι πλήθος καταναλωτών - μάλιστα ανεξαρτήτως προσωπικών χαρακτηριστικών - πέφτει θύμα απατηλών συμπεριφορών και να αδιαφορούν για τις δυνατότητες και τα μέσα που οι ίδιες θα μπορούσαν να αναπτύξουν και να διαθέτουν ώστε να προλαβαίνουν τις απάτες αυτές. Οι τράπεζες είναι, άλλωστε, αυτές που διαμορφώνουν και λειτουργούν τα διαδικτυακά συστήματα πληρωμών, αντλούν κέρδη και εξοικονομούν δαπάνες από αυτά, προτρέπουν δε πλέον το σύνολο των καταναλωτών στην αξιοποίησή τους. Ως εκείνες λοιπόν που τα εξουσιάζουν, έχουν, τόσο με βάση την ειδική νομοθεσία, όσο και με βάση τις αρχές της καλής πίστης και της ασφάλειας των συναλλασσομένων, υποχρέωση να λάβουν όλα τα αναγκαία μέτρα ώστε να αποτρέπουν τις κακόβουλες επιθέσεις ή προσβάσεις στα συστήματα. Πριν καταστήσουν υπεύθυνους τους καταναλωτές για τη ζημία που οι ίδιες υφίστανται, οφείλουν από την πλευρά τους να έχουν εξαντλήσει και αξιοποιήσει κάθε δυνατότητα για την αποτροπή της.

Εξάλλου, η αναγνώριση του κινδύνου του phishing για την ασφάλεια των συναλλαγών επιβάλλει και διαμορφώνει ένα ευρύτερο πλέγμα υποχρεώσεων των τραπεζών για προσυμβατική και συμβατική πληροφόρηση ενόψει ή στο πλαίσιο των συμβάσεων παροχής τραπεζικών υπηρεσιών μέσω διαδικτύου. Οι κάτοχοι των λογαριασμών θα πρέπει να ενημερώνονται για τους κινδύνους που ενέχουν οι ηλεκτρονικές συναλλαγές και να έχουν τη δυνατότητα να προσαρμόζουν τη συμβατική τους σχέση με την τράπεζα, περιορίζοντας ή οριοθετώντας, με βάση και τις ανάγκες τους σε διαδικτυακές τραπεζικές υπηρεσίες, τους κινδύνους που αυτές ενέχουν. Πλήθος καταναλωτών που πέφτουν θύματα των εν λόγω πρακτικών αγνοούν το ύψος που μπορούν να φθάνουν τα ποσά που μέσα σε ελάχιστο χρόνο μπορούν να εξαφανιστούν από το λογαριασμό τους. Ακόμη περισσότερο αγνοούν την πρόσβαση που μπορούν να αποκτούν οι δράστες σε στοιχεία ή λογαριασμούς που δεν είναι συνδεδεμένοι με το διαρρηγνυόμενο μέσο πληρωμής. Η μη τήρηση υποχρεώσεων ενημέρωσης και διαφώτισης των πελατών που θα επηρέαζε τη συμπεριφορά τους, είναι λόγος που αποτρέπει ολικά ή μερικά τη μετακύληση της ζημιάς στους πελάτες.

Ουδόλως, λοιπόν, δικαιολογείται να χρεώνουν οι τράπεζες, άνευ ετέρου, τους λογαριασμούς των πελατών με τις ζημιές που προκαλούν οι απατηλές συναλλαγές. Κάθε περίπτωση phishing είναι μία πρόκληση για την κατανομή/έκταση της ευθύνης.

*Ο Δημήτρης Σπυράκος είναι Διδάκτωρ Νομικής – Δικηγόρος, πρώην Γενικός Γραμματέας Καταναλωτή.