Δικαστική απόφαση «βόμβα» για την ασφάλεια του web banking
ΕΙΔΗΣΕΙΣΕΛΛΑΔΑΕΠΙΧΕΙΡΕΙΝΚΟΙΝΩΝΙΑ 13 Νοεμβρίου 2024 fonisalaminas
Ακόμη και συναλλαγές που εγκρίθηκαν μέσω κινητού τηλεφώνου μπορούν να αμφισβητηθούν
Μετέωρες αφήνει η Δικαιοσύνη τις θεωρητικά ασφαλείς διαδικασίες που έχουν καθιερώσει οι τράπεζες για την ασφάλεια των συναλλαγών στο web banking, κρίνοντας ότι δεν επαρκούν για να πιστοποιήσουν την έγκριση των πληρωμών, αλλά οι τράπεζες έχουν πρόσθετη ευθύνη να ελέγχουν πιθανές ασυνήθιστες συναλλαγές και να ενημερώνουν τους πελάτες τους πριν οριστικοποιηθεί μια συναλλαγή. Σε αντίθετη περίπτωση, έχουν ευθύνη να αποζημιώσουν τον πελάτη για τα χρήματα που μπορεί να έχασε από μια μη εξουσιοδοτημένη πληρωμή.
Με την απόφαση 7020/2024 του Μονομελούς Πρωτοδικείου Αθηνών τίθενται σε αμφισβήτηση τα αυξημένα μέτρα ασφάλειας που έχουν καθιερώσει οι τράπεζες για τις ηλεκτρονικές πληρωμές και ασκείται πίεση να προσθέσουν ένα ακόμη στάδιο ελέγχου πριν την έγκριση των συναλλαγών:
- Για τις συναλλαγές του web banking οι τράπεζες αρχικά απαιτούσαν ως πιστοποίηση της ταυτότητας του συναλλασσόμενου μόνο να εισέρχεται στο σύστημα με το όνομα χρήστη και τον κωδικό του. Διαπιστώνοντας, όμως, οι τράπεζες ότι αυτή η διαδικασία άφηνε πολλά περιθώρια για μη εξουσιοδοτημένες συναλλαγές, τα τελευταία χρόνια πρόσθεσαν ένα ακόμη στάδιο πιστοποίησης και έγκρισης κάθε συναλλαγής. Έτσι, πριν εγκριθεί μια συναλλαγή, τα συστήματα των τραπεζών απαιτούν την έγκρισή της και μέσα από το κινητό τηλέφωνο του πελάτη. Αυτές οι διαδικασίες φαίνεται ότι είχαν αποτελέσματα στη μείωση των περιστατικών απάτης στις ηλεκτρονικές πληρωμές, καθώς, σύμφωνα με στοιχεία της Τράπεζας της Ελλάδος, αυτά μειώθηκαν το 2023 κατά 70%.
- Όμως, μέσα από το σκεπτικό της απόφασης που εκδόθηκε για αγωγή πελάτη τράπεζας, ο οποίος είδε να χάνονται περισσότερα από 8.000 ευρώ από τον λογαριασμό του και να μεταφέρονται σε γερμανική τράπεζα, με τον ίδιο να υποστηρίζει ότι ουδέποτε ενέκρινε τέτοια συναλλαγή, προκύπτει ότι οι τράπεζες έχουν ευθύνη αν έχουν γίνει μη εξουσιοδοτημένες συναλλαγές. Ειδικότερα, ότι θα πρέπει πριν εκτελέσουν κάθε συναλλαγή να διερευνούν ορισμένους παράγοντες, όπως το ύψος και τον τύπο της συναλλαγής και αν έχει συμβατότητα με το ιστορικό συναλλαγών του πελάτη. Αν από αυτή τη διερεύνηση δημιουργούνται αμφιβολίες για τη συναλλαγή, οι τράπεζες οφείλουν να επικοινωνούν με τον πελάτη πριν την εκτελέσουν, καθώς ο νόμος (4537/2018) ορίζει ότι μια πράξη πληρωμής θεωρείται εγκεκριμένη μόνο εφόσον ο πελάτης έχει δώσει συγκατάθεση στην εκτέλεσή της, ενώ η χρήση της υπηρεσίας i-banking εκ μέρους του πελάτη δεν αποτελεί επαρκή απόδειξη ότι ο πληρωτής είχε εγκρίνει πράξη πληρωμής.
Με βάση την απόφαση, οι πελάτες των τραπεζών θα μπορούν πλέον να αμφισβητήσουν πληρωμές που έχουν γίνει μέσα από τους λογαριασμούς τους στο web banking, ακόμη και αν φαίνεται ότι οι ίδιοι τις έχουν διενεργήσει με χρήση ονόματος χρήστη και κωδικού πρόσβασης και τις έχουν εγκρίνει μέσα από το κινητό τους τηλέφωνο. Στην περίπτωση του πελάτη τράπεζας που προσέφυγε στη Δικαιοσύνη, κρίθηκε ότι η τράπεζα είχε ευθύνη για το ποσό που χάθηκε στη Γερμανία και την υποχρέωσε να το επιστρέψει εντόκως στον πελάτη της.
Μια ιστορία καλοστημένης απάτης
Ειδικότερα, σύμφωνα με όσα αναφέρει η δικαστική απόφαση, ο ενάγων φαίνεται ότι έπεσε θύμα μιας καλοστημένης απάτης, ενώ η τράπεζα εξαρχής δεν αναγνώριζε ότι έχει οποιαδήποτε ευθύνη:
- Ο ενάγων εισήλθε στην ειδική εφαρμογή ηλεκτρονικής τραπεζικής της εναγόμενης, που είχε εγκαταστήσει στη συσκευή του κινητού του τηλεφώνου, προκειμένου να πραγματοποιήσει από τον τραπεζικό του λογαριασμό ορισμένη συναλλαγή, οπότε διαπίστωσε ότι είχε μεταφερθεί, εν αγνοία του και χωρίς τη συγκατάθεση/έγκρισή του, το ποσό των 8.741,50 ευρώ, από τον ως άνω τραπεζικό λογαριασμό του προς λογαριασμό τρίτου, άγνωστου σε αυτόν προσώπου, που τηρείται στη γερμανική τράπεζα, Ν26ΒΑΝΚ.
- Ο ενάγων τηλεφώνησε αμέσως στο αρμόδιο τμήμα τηλεφωνικής εξυπηρέτησης της εναγομένης και ενημέρωσε, ως δικαιούχος του λογαριασμού, ότι δεν πραγματοποίησε ο ίδιος ή άλλος με εντολή του την ως άνω συναλλαγή, αλλά ότι συντρέχει περίπτωση απάτης και παράνομης αφαίρεσης (δια της εκτελεσθείσας μεταφοράς) των χρημάτων από το λογαριασμό του. Επιπλέον, μετέβη σε κατάστημα της εναγομένης και υπέβαλε συμπληρωμένο Έντυπο Αμφισβήτησης της εν λόγω συναλλαγής. Επίσης, μετέβη, ακολούθως, σε Αστυνομικό Τμήμα, όπου ανέφερε το συμβάν και υπέβαλε νομίμως μήνυση κατά των άγνωστων δραστών.
- Την 23-09-2021, η εναγόμενη τράπεζα απέστειλε αίτημα ακύρωσης της συναλλαγής, προς την ανωτέρω αλλοδαπή τράπεζα, η οποία απέστειλε, κατόπιν, αρνητική απάντηση, λόγω άρνησης του δικαιούχου του πιστωθέντος λογαριασμού. Ακολούθως, την 06-10-2021, ενημερώθηκε από προστηθέντες υπαλλήλους της εναγομένης ότι αρνείται την ευθύνη της για την ως άνω συναλλαγή μεταφοράς χρημάτων, καθόσον αυτή πραγματοποιήθηκε μέσω εφαρμογής, κατόπιν έγκρισής του, με τη χρήση της υπηρεσίας Ρυsh Notification, η οποία ειδοποίηση εστάλη σε συσκευή που είχε ταυτοποιηθεί προηγουμένως και συγκεκριμένα, την 05-09-2021, με την προβλεπόμενη από την οικεία μεταξύ τους σύμβαση και τους γενικούς όρους των οικείων συναλλαγών διαδικασία ισχυρής ταυτοποίησης.
- Εφόσον η συναλλαγή αποτελεί μη εγκεκριμένη από αυτόν συναλλαγή, αυτή οφείλεται σε διαρροή προς τρίτο πρόσωπο των στοιχείων των προσωπικών κωδικών ασφαλείας (ήτοι, του ονόματος χρήστη και του κωδικού πρόσβασης) του ενάγοντος, για την είσοδό του στο σύστημα ηλεκτρονικής τραπεζικής της εναγομένης, για την τήρηση της μυστικότητας των οποίων αυτός φέρει αποκλειστική ευθύνη.
- Ο ενάγων υπέβαλε, κατόπιν, τόσο επιστολή παραπόνων, όσο και εξώδικη δήλωση-διαμαρτυρία του προς την εναγόμενη, που της επιδόθηκε με δικαστικό επιμελητή, ζητώντας με αυτή την πίστωση του τραπεζικού του λογαριασμού, που τηρείται στην εναγόμενη τράπεζα, με το ποσό των 8.741,50 ευρώ που μεταφέρθηκε, χωρίς την συγκατάθεσή του, σε λογαριασμό ξένης τράπεζας στο εξωτερικό, που ανήκει στο τρίτο άγνωστο σε αυτόν πρόσωπο, δίχως ουδέποτε να αποσταλούν, για την πραγματοποίηση της συναλλαγής αυτή, στη συσκευή του κινητού του τηλεφώνου, με τον ανωτέρω τηλεφωνικό αριθμό, η οποία είναι συνδεδεμένη με την συνδρομή του υπηρεσιών ηλεκτρονικής τραπεζικής της εναγόμενης τράπεζας, ειδοποιήσεις ισχυρής ταυτοποίησης, με τη μορφή κωδικού μιας χρήσης (ΟΤΡ), τόσο για την είσοδο στην ηλεκτρονική εφαρμογή για κινητά, όσο και για τη μεταβολή του ποσοτικού ορίου συναλλαγών, καθώς και για την έγκριση πραγματοποίησης της εν λόγω μεταφοράς χρημάτων, ούτε, όμως και ειδοποίηση «Ρυsh Notification», για την έγκριση της συναλλαγής αυτής.
- Επιπροσθέτως, σύμφωνα με όσα βεβαίωσαν ενόρκως οι προτεινόμενοι από τον ενάγοντα μάρτυρες, ουδέποτε κατά το κρίσιμο χρονικό διάστημα, τόσο πριν όσο και μετά την επίμαχη τραπεζική ηλεκτρονική συναλλαγή, ο ενάγων απώλεσε την κατοχή της κινητής τηλεφωνικής του συσκευής, που είναι συνδεδεμένη με το σύστημα ηλεκτρονικής τραπεζικής της εναγόμενης, ούτε την κατοχή της κάρτας sim, η οποία είναι τοποθετημένη και λειτουργεί στο κινητό αυτό, ούτε, άλλωστε, ποτέ η εν λόγω κάρτα sim ή η συγκεκριμένη συσκευή κινητού τηλεφώνου του ενάγοντας έπαυσαν να λειτουργούν κανονικά σε χρόνο είτε πριν είτε μετά τη συγκεκριμένη μη εγκεκριμένη τραπεζική συναλλαγή, που αποτελεί προϊόν ηλεκτρονικής απάτης.
Παρά τις ενέργειες αυτές εκ μέρους του πελάτη, η τράπεζα συνέχισε να αρνείται την ευθύνη της. Το κρίσιμο σημείο, όμως, που φαίνεται ότι έγειρε την πλάστιγγα εις βάρος της τράπεζας, ήταν ότι, όπως αναφέρεται στην απόφαση, δεν απέδειξε, «ως έχουσα το σχετικό βάρος απόδειξης, κατ’ άρθρο 72 παρ. 1 του Ν. 4537/2018, ότι η επίμαχη συναλλαγή διενεργήθηκε κατόπιν ισχυρής ταυτοποίησης του ενάγοντος και έγκρισής του. Δεν αποδείχθηκε από την εναγόμενη ότι η επίδικη διατραπεζική μεταφορά ήταν γνήσια συναλλαγή του ενάγοντος, ακόμη κι αν η συγκατάθεσή του φέρεται να δόθηκε με τη μορφή που συμφωνήθηκε μεταξύ των μερών.
Τούτο, διότι η διάταξη του άρθρου 64 παρ. 1 και 2 Ν. 4537/2018, σύμφωνα με την οποία μια πράξη πληρωμής θεωρείται εγκεκριμένη, μόνο εφόσον ο πληρωτής έχει δώσει τη συγκατάθεσή του στην εκτέλεσή της, τέθηκε για να προστατεύσει το χρήστη υπηρεσιών πληρωμής από την εκτέλεση πληρωμών που δεν ανταποκρίνονται στη βούλησή του και όχι για να αποτρέψει τη γένεση αξιώσεων σε βάρος του παρόχου των υπηρεσιών σε κάθε περίπτωση διενέργειας συναλλαγών με φερόμενη ως συντρέχουσα τη συναίνεση του χρήστη με τον τρόπο που συμφωνήθηκε, ακόμα και αν αυτή δόθηκε με αθέμιτη παρέμβαση τρίτου προσώπου που ο χρήστης αγνοούσε και ουδέποτε ενέκρινε».
Με αυτά τα δεδομένα, ο πελάτης της τράπεζας δικαιώθηκε και πλέον θα πρέπει να του επιστραφούν εντόκως τα χρήματα που… έκαναν φτερά στη Γερμανία. Τα δε νομικά και τεχνικά τμήματα των τραπεζών καλούνται να διασφαλίσουν ακόμη περισσότερο τις διαδικασίες πληρωμών, καθιερώνοντας ενδεχομένως και ένα ακόμη ενδιάμεσο στάδιο αυτόματου ελέγχου των συναλλαγών για να εντοπίζουν ύποπτες κινήσεις και να ενημερώνουν τους πελάτες τους.
sofokleousin.gr