PHISHING: Ένα φαινόμενο διαδικτυακής συναλλακτικής δυστοκίας, το οποίο διογκούμενο βαίνει προς την απόλυτη τραπεζική δυστοπία
Επιδημιολογικές διαστάσεις και μάλιστα σε καθολική κλίμακα τείνει να λάβει ο καινοφανής διαδικτυακός κυκεώνας επονομαζόμενος ως phishing, αποδιδομένος στα ελληνικά ως η ύπατη τραπεζική απάτη, η οποία τελείται μονότροπα δια της εισέλευσης ενός «ξενιστή» στο αρραγές και απροσπέλαστο τραπεζικό σύστημα με απότοκο την κατά κυριολεξία «άλωση» αυτού και συνεκδοχικώς των ευαίσθητων τραπεζικών καταθέσεων.
Στο ενωσιακό πλέγμα όμως ουδόλως δύνανται να επιτραπούν τέτοιου είδους εκ πλαγίου «αλιεύσεις» και δη στις τραπεζικές καταθέσεις εκατομμυρίων. Επ’ αυτού στο διαδραμόν χρονικό διάστημα της δεκαετίας διαπλάθεται ένα ενδελεχές και εμπεριστατωμένο σχέδιο αποσόβησης πάσης ανήκεστης οικονομικής βλάβης, μέσω της λήψης μέτρων ιδιαιτέρως δαιδαλωδών και ενίοτε ακατάληπτων προς τον μέσο συναλλασσόμενο. Απομένει μόνον a posteriori να περισταλεί η δυσώδης οικονομική αφαίμαξη εν ριπή οφθαλμού δια του φαινομένου τύπου phishing και όχι μόνον και εν τέλει η προιούσα απαξίωση του εξυφαινόμενης τραπεζικής παντοδυναμίας.
Σε πρόσφατη ανοιγείσα δίκη μεταξύ εταιρικού μορφώματος (Μονοπρόσωπης Εταιρείας περιορισμένης ευθύνης) πληγέντος ανεπανόρθωτα και όλως αδόκητα απο το οψιφανή «ηφαίστειο» αυτό μηχανισμό και της εναγόμενης συστημικής τράπεζας, λίγο πριν τον τελικό επίλογο, εμφιλοχώρησε–σπανίως για τα ελληνικά τεκταινόμενα-επωφελής εξωδικαστική διευθέτηση με καταβολή του συνόλου της οικονομικής ζημίας, ήτοι του ποσού των εβδομήντα πεντε (75.000) χιλιάδων ευρώ, όπερ τω όντι αν όχι φαντασιακό τέλος, τουλάχιστον ευδόκιμο.
Εν τέλει αναφύεται ευλόγως το ερώτημα: ποιό είναι το πλαίσιο, η δυναμική και φυσικά η ενωσιακή και εγχώρια θεσμική πραγματικότητα? Έτι περαιτέρω ποιός είναι ο νομικός οδοδείκτης σε ομοειδείς υποθέσεις.
Επι τη βάσει των διαλαμβανομένων υπο του πέμπτου εδαφίου της παρ. 1 του άρθρου 74 της Οδηγίας (ΕΕ) 2015/2366 επιτρέπεται στα κράτη-μέλη να περιορίσουν το όριο της ευθύνης του πληρωτή σε περίπτωση που δεν υφίσταται δόλος/πρόθεση, καθιστώντας δυνατό τον νομοθετικό περιορισμό της ευθύνης του πληρωτή σε περίπτωση βαριάς αμέλειας, το οποίο ωστόσο δεν επιλέχθηκε στον ν. 4537/2018 (Α’ 84). Λαμβάνοντας υπόψη την εμπειρία άλλων κρατών που έχουν προβλέψει νομοθετικό ποσοτικό περιορισμό της ευθύνης του καταναλωτή σε περίπτωση βαριάς αμέλειας (Σουηδία, Δανία και Νορβηγία), αλλά και την ανάγκη προστασίας του καταναλωτικού κοινού, ενόψει της έκτασης του φαινομένου «phishing», κρίνεται απαραίτητη πλέον η εισαγωγή της προτεινόμενης διάταξης.
Σημειώνεται ότι, σε κάθε περίπτωση, το καθήκον επιμέλειας του παρόχου επιτάσσει την υποχρέωση συνεπούς εποπτείας και ασφάλειας στο σύστημα και το λογαριασμό για τη διασφάλιση των συναλλαγών.
Αν ο πάροχος έχει εφαρμόσει μέτρα αυξημένης ασφάλειας και προσοχής, τα οποία είναι υπέρτερα από αυτά που απαιτούνται από τις διατάξεις για την ισχυρή ταυτοποίηση των συναλλαγών, τότε, κατ’ εξαίρεση, δεν εφαρμόζεται ο προτεινόμενος περιορισμός της ευθύνης του παρόχου σε περίπτωση βαριάς αμέλειας.
Αναλυτικά η διάταξη προβλέπει:
Δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως ο Ν. 5019/2023 με τίτλο «Ενσωμάτωση της Οδηγίας (ΕΕ) 2020/1828 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2020 «σχετικά με τις αντιπροσωπευτικές αγωγές για την προστασία των συλλογικών συμφερόντων των καταναλωτών και για την κατάργηση της Οδηγίας 2009/22/ΕΚ», ενίσχυση της προστασίας των καταναλωτών, ρυθμιστικό πλαίσιο για την παλαίωση οίνων και άλλες επείγουσες διατάξεις» (ΦΕΚ Α’/27/14-2-2023).
Άρθρο 22
Περιορισμός της ευθύνης του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής («phishing») - Τροποποίηση παρ. 1 άρθρου 74 ν. 4537/2018
Το τρίτο εδάφιο της παρ. 1 του άρθρου 74 του ν. 4537/2018 (Α’ 84), περί ευθύνης του πληρωτή, τροποποιείται ως προς την υπαιτιότητα, προστίθενται τέταρτο και πέμπτο εδάφιο, και η παρ. 1 διαμορφώνεται ως εξής:
«1. Κατά παρέκκλιση από το άρθρο 73, ο πληρωτής ευθύνεται μέχρι του ανώτατου ποσού των πενήντα (50) ευρώ για τις ζημίες από τη διενέργεια μη εγκεκριμένων πράξεων πληρωμής, οι οποίες προκύπτουν είτε από τη χρήση απωλεσθέντος ή κλαπέντος μέσου πληρωμών είτε από υπεξαίρεσή του. Η εν λόγω υποχρέωση δεν ισχύει, εφόσον:
α) η απώλεια, κλοπή ή υπεξαίρεση του μέσου πληρωμών δεν ήταν δυνατό να εντοπιστεί από τον πληρωτή πριν από τη διενέργεια πράξης πληρωμής, εκτός αν ο πληρωτής είχε ενεργήσει με δόλο ή
β) η ζημία είχε προκληθεί από πράξεις ή παραλείψεις υπαλλήλου, αντιπροσώπου ή υποκαταστήματος ενός παρόχου υπηρεσιών πληρωμών ή οντότητας στην οποία ο πάροχος υπηρεσιών πληρωμών είχε αναθέσει τις δρα- στηριότητές του.
Ο πληρωτής ευθύνεται για όλες τις ζημίες που σχετίζονται με κάθε μη εγκεκριμένη πράξη πληρωμής, που προξένησε από δόλο, καθώς για τη με δόλο αθέτηση των υποχρεώσεών του, σύμφωνα με το άρθρο 69. Στις περιπτώσεις αυτές, δεν ισχύει το ανώτατο ποσό που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου.
Αν ο πληρωτής είναι καταναλωτής και εφόσον οι ζημιές οφείλονται σε βαριά αμέλεια, ευθύνεται μέχρι του ανώτατου ποσού των χιλίων (1.000) ευρώ, λαμβάνοντας υπόψη ιδίως τη φύση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και τις ειδικότερες περιστάσεις υπό τις οποίες το μέσο πληρωμής απωλέσθη, εκλάπη ή υπεξαιρέθηκε. Το τέταρτο εδάφιο δεν εφαρμόζεται, αν ο πάροχος αποδείξει ότι διαθέτει και εφαρμόζει πρόσθετους, αποτελεσματικούς και πιο εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, από αυτούς που εφαρμόζει για την ισχυρή ταυτοποίηση των συναλλαγών, για συναλλαγές που μπορούν να προκαλέσουν ζημία άνω των χιλίων (1.000) ευρώ, όπως ιδίως μηχανισμούς ελέγχου που αξιοποιούν τεχνολογίες τεχνητής νοημοσύνης ή επιπλέον κωδικό ή βιομετρική ταυτοποίηση ή τηλεφωνική επιβεβαίωση.».
Ως εικός εισάγονται νέοι κανόνες για την προστασία των καταναλωτών αναφορικά με το ηλεκτρονικό «ψάρεμα» («phishing»), ήτοι τις πρακτικές εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταναλωτών για διαδικτυακές συναλλαγές και προβαίνουν σε μεταφορές χρημάτων από τους λογαριασμούς τους, μέσω του περιορισμού της ευθύνης του καταναλωτή σε βαριά αμέλεια.
Κατά το άρθρο 386 Α του ίδιου Κώδικα, "όποιος με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, βλάπτει ξένη περιουσία, επηρεάζοντας τα στοιχεία του υπολογιστή, είτε με μη ορθή διαμόρφωση του προγράμματος, είτε με επέμβαση κατά την εφαρμογή του, είτε με τη χρησιμοποίηση μη ορθών ή ελλιπών στοιχείων, είτε με οποιοδήποτε άλλο τρόπο, τιμωρείται με τις ποινές του προηγούμενου άρθρου (386). Για την εκτίμηση του ύψους της ζημίας είναι αδιάφορο αν οι παθόντες είναι ένα ή περισσότερα πρόσωπα. Περιουσιακή βλάβη υφίσταται και αν τα πρόσωπα που την υπέστησαν είναι άδηλα". Από την αντιπαραβολή των διατάξεων αυτών προκύπτει ότι, η απάτη με υπολογιστή αποτελεί ένα ιδιώνυμο έγκλημα το οποίο προστέθηκε στον Ποινικό Κώδικα ως άρθρο 386 Α με το άρθρο 5 του ν. 1805/1988 ενόψει της ραγδαίας ανάπτυξης της τεχνολογίας. Ως έγκλημα δομήθηκε κατ' αντιστοιχία προς την απάτη του άρθρου 386 του ΠΚ με την οποία τελεί σε σχέση αλληλοαποκλεισμού και από την οποία διαφέρει κατά το ότι τελείται όταν η περιουσιακή βλάβη επέρχεται όχι με την παραπλάνηση ενός φυσικού προσώπου που είναι αρμόδιο να λαμβάνει αποφάσεις ή να διενεργεί έλεγχο ή να εγκρίνει ή να χορηγεί κλπ αλλά αποκλειστικά και μόνο με τον επηρεασμό των στοιχείων του υπολογιστή, δηλαδή με την επέμβαση του δράστη κατά τον προγραμματισμό του συστήματος και την επεξεργασία των δεδομένων σε οποιαδήποτε φάση της λειτουργίας του υπολογιστή.
Η απάτη με υπολογιστή αποτελεί ένα πολύτροπο ή υπαλλακτικώς μικτό έγκλημα το οποίο τελείται α) είτε με τη μη ορθή διαμόρφωση του προγράμματος β) είτε με επέμβαση κατά την εφαρμογή του γ) είτε με τη χρησιμοποίηση μη ορθών ή ελλιπών στοιχείων και δ) είτε με οποιοδήποτε άλλο τρόπο. Ειδικώς ως προς την τελευταία αυτή περίπτωση θα πρέπει να λεχθεί ότι λόγω της ευρείας αυτής διατύπωσης του νόμου επιτρέπεται η υπαγωγή σ' αυτήν και των περιπτώσεων επηρεασμού ακόμη και με μη σύννομη χρήση ορθών στοιχείων (δηλαδή κανονική αλλά χωρίς δικαίωμα εκτέλεσης προγράμματος). Στην περίπτωση αυτή υπάγεται και η ανάληψη χρημάτων από ΑΤΜ Τράπεζας από μη δικαιούμενο πρόσωπο (πχ με κλεμμένη μαγνητική κάρτα).
Επομένως επηρεασμό συνιστά και οποιαδήποτε χωρίς δικαίωμα επεξεργασία των δεδομένων του υπολογιστή που οδηγεί σε αποτέλεσμα διαφορετικό από εκείνο που προσδοκάται με τη νόμιμη χρήση, όπως η περίπτωση που αναφέρεται διεθνώς υπό τον όρο "skimming" (ΑΠ 131/2013 βλ. σχετ. Χρ. Μυλωνόπουλου Ποινική Δικονομία έκδ. 2016 σελ.522, Μιχ. Μαργαρίτη Ποιν.Κώδικας έκδ. 24 - 2014 σελ.1325). 'Αμεσο αποτέλεσμα της ως άνω εγκληματικής συμπεριφοράς του δράστη αποτελεί ο "επηρεασμός" των στοιχείων του υπολογιστή (κατ' αντιστοιχία προς την "πλάνη" της κοινής απάτης) η έναρξη του οποίου συνιστά αρχή εκτέλεσης του εγκλήματος και ο οποίος με τη σειρά του πρέπει να οδηγήσει άμεσα στη βλάβη ξένης περιουσίας, προς όφελος του δράστη ή τρίτου. Για την υποκειμενική υπόσταση του εγκλήματος αρκεί δόλος ως προς όλα τα στοιχεία της αντικειμενικής υπόστασή του, χωρίς να απαιτείται ειδικότερα (όπως στην κοινή απάτη) γνώση του δράστη για την αναλήθεια των στοιχείων που χρησιμοποιεί.
Η απάτη με υπολογιστή αποτελεί περαιτέρω έγκλημα σκοπού (υπερχειλούς υποκειμενικής υπόστασης) διότι ο δράστης πρέπει να έχει σκοπό παράνομου περιουσιακού οφέλους για τον εαυτό του ή τρίτον. Η ανωτέρω διάταξη του άρθρου 386 Α του ΠΚ αντικαταστάθηκε με το άρθρο 2 παρ.11 τουν.4 411/2016 (ΦΕΚ Α 142/3.8.2016 σύμφωνα με το οποίο "όποιος με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος βλάπτει ξένη περιουσία επηρεάζοντας τα αποτελέσματα της διαδικασίας επεξεργασίας ψηφιακών δεδομένων, είτε με τη μη ορθή διαμόρφωση του προγράμματος, είτε με επέμβαση κατά την εφαρμογή του, είτε με χρησιμοποίηση μη ορθών ή ελλιπών στοιχείων, είτε με τη χωρίς δικαίωμα χρήση δεδομένων είτε με τη χωρίς δικαίωμα παρέμβαση σε πληροφοριακό σύστημα, τιμωρείται με τις ποινές του προηγούμενου άρθρου.
Η παρούσα διάταξη προστέθηκε δυνάμει του άρθρου 5 του ν.1805/1988 προκειμένου να τιμωρήσει την καλούμενη και ως «ηλεκτρονική απάτη», αποτελώντας μια περίπτωση computer crime, δηλαδή εγκλήματος που τελείται με τη χρήση ηλεκτρονικού υπολογιστή. Συνιστά δε ιδιώνυμο έγκλημα σε σχέση με την απάτη, διαφέρει όμως απ’ αυτήν ως προς το ότι για αυτή δεν υπάρχει παραπλάνηση και περιουσιακή διάθεση του φυσικού προσώπου, όπως στην κοινή απάτη του α.386 ΠΚ.
Σημειωτέον μάλιστα ότι όταν, χωρίς να γίνεται επέμβαση στη διαμόρφωση του προγράμματος ή στην εφαρμογή του, χρησιμοποιείται ο υπολογιστής ως μέσο ή όργανο με την πληκτρολόγηση αναληθών ποσών και παραπλανάται με αυτόν τον τρόπο τρίτος που προβαίνει σε πράξη, παράλειψη ή ανοχή, η οποία επιφέρει την περιουσιακή βλάβη, τότε στοιχειοθετείται κοινή απάτη και όχι απάτη με υπολογιστή, όπως αυτή τυποποιείται στο α. 386Α ΠΚ.
Θα πρέπει δε να επισημανθεί ότι κοινή απάτη στοιχειοθετείται και κατά την περίπτωση όπου η περιουσιακή βλάβη επέρχεται με την παραπλάνηση φυσικού προσώπου αρμόδιου να λαμβάνει αποφάσεις ή να ενεργεί έλεγχο ή να εγκρίνει ή να χορηγεί.
Σχόλια