Οι περιπτώσεις έξαρσης του ηλεκτρονικού εγκλήματος διαμορφώνουν ένα πλαίσιο διαρκούς ανασφάλειας και ψηφιακής διακινδύνευσης. Το φαινόμενο phishing αποτελεί μια κορυφαία περίπτωση παραπλάνησης και υποκλοπής προσωπικών πληροφοριών με όλο και πιο δυναμική νομολογία, η οποία αναζητά τις αναγκαίες ισορροπίες στο πεδίο των ευθυνών.
Το Ειρηνοδικείο Θεσσαλονίκης σε πρόσφατη απόφαση σχετικά με υπόθεση ηλεκτρονικής τραπεζικής απάτης μέσω phishing έκρινε ότι για την υφαρπαγή των προσωπικών στοιχείων του ενάγοντος ευθύνεται τόσο η εναγόμενη τράπεζα για την πλημμελή θωράκιση των συστημάτων της απέναντι στις διαρκώς μεταλλασσόμενες και εξελισσόμενες μεθόδους εξαπάτησης, όσο και ο ενάγων ο οποίος αθέτησε την υποχρέωσή του να προστατεύει τα στοιχεία του και παράκουσε τις οδηγίες ασφαλείας της εναγόμενης (ΕιρΘεσ 232/2023).
Δεν υπάρχει αμφιβολία ότι, στην εποχή της ψηφιακής διακινδύνευσης, οι περιπτώσεις ηλεκτρονικού εγκλήματος αυξάνονται με αμείωτους ρυθμούς. Ειδικότερα, οι πιο συνηθισμένες απειλές που αφορούν την ηλεκτρονική Τραπεζική, είναι η αποστολή ηλεκτρονικού ταχυδρομείου ή άλλης μορφής γραπτού μηνύματος (e-mail, sms) στον πελάτη της Τράπεζας από κάποιον επιτήδειο, προσποιούμενος ότι προέρχεται από την ίδια, με σκοπό να τον παραπλανήσει και να του υποκλέψει προσωπικές πληροφορίες. Το φαινόμενο αυτό είναι γνωστό ως «Phishing». Όταν ο χρήστης ανοίξει το ηλεκτρονικό μήνυμα, μπορεί να παραπέμπεται σε έναν σύνδεσμο (link) που φαινομενικά είναι η ιστοσελίδα της τράπεζας του. Εκεί του ζητείται να πληκτρολογήσει διάφορα προσωπικά στοιχεία (π.χ. προσωπικούς κωδικούς πρόσβασης και με αυτόν τον τρόπο ο επιτήδειος που έχει δημιουργήσει τη συγκεκριμένη ιστοσελίδα πανομοιότυπα με τη σχετική ιστοσελίδα της Τράπεζας του πελάτη) υποκλέπτει οποιαδήποτε πληροφορία επιθυμεί. Λόγω της διακίνησης μέσω διαδικτύου των ευαίσθητων προσωπικών δεδομένων των χρηστών αλλά και των κινδύνων που παραμονεύουν, οι τράπεζες συνεχώς επενδύουν στη διασφάλιση του απορρήτου των ηλεκτρονικών συναλλαγών και γενικότερα στα θέματα ασφάλειας. Τα τραπεζικά ιδρύματα, εκτός από τη διασφάλιση των ηλεκτρονικών συναλλαγών μέσω πιστωτικής κάρτας, θα πρέπει να φροντίσουν για τη διασφάλιση του απορρήτου όλων των λογαριασμών των πελατών τους στο διαδίκτυο, καθώς και για πλήθος άλλων διαδικασιών και δικλείδων ασφαλείας.
Σύμφωνα με τη μη οριστική απόφαση του δικαστηρίου (ΕιρΘεσ 2015/2022) σημειώθηκε ότι, στο πλαίσιο της ρυθμιστικής εμβέλειας της διάταξης του άρθρου 8 Ν 2251/1994 «για την προστασία των καταναλωτών» εντάσσεται η ευθύνη για αποζημίωση ως προς ορισμένα (ειδικά) θέματα, όπου στην έννοια των παρεχόντων υπηρεσίες εμπίπτουν οι τράπεζες, οι οποίες υπέχουν έναντι του καταναλωτικού κοινού συναλλακτικές υποχρεώσεις πρόνοιας και ασφάλειας.
Παράλληλα είναι κρίσιμο να τονιστεί ότι, αν, στο πλαίσιο παροχής υπηρεσιών εκδηλωθεί συμπεριφορά μη ανταποκρινόμενη στην ευλόγως προσδοκώμενη ασφάλεια, δηλαδή στις συναλλακτικές υποχρεώσεις πρόνοιας και ασφάλειας, τότε η συμπεριφορά αυτή είναι παράνομη και συγχρόνως υπαίτια, ενώ την ίδια στιγμή ο καταναλωτής, εφόσον συντρέχουν οι όροι της αδικοπραξίας, δικαιούται να αξιώσει και χρηματική ικανοποίηση λόγω ηθικής βλάβης του (άρθρα 57, 59, 914, 932 ΑΚ). Βέβαια, από το συνδυασμό των άρθρων 8 παρ. 6 και 6 παρ. 10 έως 12 του Ν. 2251/1994 προκύπτει ότι: 1) η ευθύνη του παρέχοντος υπηρεσίες δεν μειώνεται αν η ζημία οφείλεται σωρευτικά τόσο σε παροχή ελαττωματικής υπηρεσίας, όσο και σε πράξη ή παράλειψη τρίτου, μπορεί όμως να μειωθεί ή και να αρθεί, όταν συντρέχει πταίσμα του ζημιωθέντος ή προσώπου, για το οποίο ευθύνεται ο ζημιωθείς – αντιστοιχία με το άρθρο 300 ΑΚ, όπου ορίζεται ότι «αν εκείνος που ζημιώθηκε συντέλεσε από δικό του πταίσμα στη ζημία ή την έκτασή της, το δικαστήριο μπορεί να μην επιδικάσει αποζημίωση ή να μειώσει το ποσό της. Το ίδιο ισχύει και όταν εκείνος που ζημιώθηκε παρέλειψε να αποτρέψει ή να περιορίσει τη ζημία…», 2) αν δύο η περισσότερα πρόσωπα ευθύνονται για την ίδια ζημία ενέχονται εις ολόκληρο έναντι του καταναλωτή και 3) κάθε συμφωνία περιορισμού ή απαλλαγής του παρέχοντος υπηρεσίες από την ευθύνη του είναι άκυρη.
Έτσι λοιπόν το δικαστήριο κατέληξε στο συμπέρασμα ότι, η εισβολή τρίτου στο «περιβάλλον» της τράπεζας και η αποστολή στον ενάγοντα sms με αποτέλεσμα την παραπλάνησή του και την υφαρπαγή των στοιχείων του, συνιστά γεγονός που καταδεικνύει ότι η εναγόμενη δε λάμβανε όλα τα αναγκαία μέτρα διασφάλισης της ασφάλειας της επικοινωνίας της με τους πελάτες της. Οι ηλεκτρονικές απάτες διενεργούνται με δυναμικές και διαρκώς εξελισσόμενες μεθόδους, με αποτέλεσμα να καθίσταται δυσχερής η διακρίβωση του ορίου επιμέλειας που πρέπει να τηρεί και που πράγματι τηρεί κάθε τραπεζικό ίδρυμα, από τη μία μέρα ως την επόμενη. Έτσι λοιπόν, αποτελεί καθήκον της εκάστοτε τράπεζας να ενημερώνεται, να ερευνά και να οχυρώνει με τις καλύτερες μεθόδους τα συστήματά της, ώστε να προστατεύσει τα συμφέροντα των πελατών της, που δεν έχουν τη δική της δύναμη. Εντούτοις, την ίδια στιγμή, ο ενάγων μη διαφυλάσσοντας τα ευαίσθητα τραπεζικά στοιχεία του προχώρησε σε γνωστοποίηση αυτών σε τρίτο ιστότοπο, γεγονός που δεν έπρεπε να πράξει διότι αποδείχθηκε πως η εναγόμενη κατ’ επανάληψη ενημερώνει και προειδοποιεί τους συναλλασσόμενους ότι η ίδια «ποτέ δε θα τους ζητήσει τους κωδικούς τους και τους συνιστά εμφατικά να μην απαντούν σε όσους τους ζητούν προσωπικά στοιχεία».
Συνεπώς, για την αλιεύση των προσωπικών στοιχείων του ενάγοντα ευθύνεται τόσο η εναγόμενη για την πλημμελή θωράκιση των συστημάτων της που θα έπρεπε να είναι άριστη, όσο και ο ενάγων ο οποίος αθέτησε την υποχρέωσή του να προστατεύει τα στοιχεία του και παράκουσε τις οδηγίες ασφαλείας της εναγόμενης.
Δείτε τη σχετική Έκδοση: Privacy and security in light of the European Digital Agenda
Δείτε το σχετικό Σεμινάριο: Κυβερνοέγκλημα και ασφάλεια στο διαδίκτυο
Δείτε τη σχετική Αρθρογραφία στη Qualex: Η αστική ευθύνη της τράπεζας έναντι του πελάτη της για απατηλές συναλλαγές στο πλαίσιο ηλεκτρονικής τραπεζικής