Η αστική ευθύνη της τράπεζας έναντι του πελάτη της για απατηλές συναλλαγές στο πλαίσιο ηλεκτρονικής τραπεζικής

I. Εισαγωγικές παρατηρήσεις
Η ραγδαία τεχνολογική εξέλιξη και η σημαντική αύξηση των ηλεκτρονικών συναλλαγών σε συνδυασμό με την ανάγκη αποσυμφόρησης των τραπεζών και μείωσης του λειτουργικού τους κόστους οδήγησε στη θέσπιση σύγχρονων μεθόδων για τη διενέργεια τραπεζικών συναλλαγών εξ αποστάσεως. Σε αυτό το πλαίσιο όλες οι συστημικές τράπεζες δημιούργησαν το λεγόμενο internet-banking ή web-banking ή E-banking, το οποίο προωθήθηκε, από τις τράπεζες και τους υπαλλήλους τους, ως σύγχρονο ψηφιακό εργαλείο που προσφέρει σημαντικά πλεονεκτήματα, όπως εξοικονόμηση χρόνου, ευκολία χειρισμού, δυνατότητα διενέργειας συναλλαγών εξ αποστάσεως, χωρίς μετάβαση στα υποκαταστήματά τους και μειωμένο κόστος, ενώ στο πλαίσιο προώθησης του i-banking οι τράπεζες έκαναν λόγο για πλήρη ασφάλεια και ανυπαρξία κινδύνων. Υπό
Σελ. 334 το ανωτέρω πρίσμα, μεγάλη μερίδα των πελατών των τραπεζών υιοθέτησε το i-banking για τη διενέργεια των πάσης φύσεως τραπεζικών τους συναλλαγών. Η χρήση του i-banking γίνεται με τους προσωπικούς κωδικούς (username και password) των πελατών, οι οποίοι αποκτούν πρόσβαση στους τραπεζικούς τους λογαριασμούς είτε μέσω των εγκατεστημένων στα κινητά τους τηλέφωνα (smartphones) εφαρμογών, που έχουν δημιουργήσει οι τράπεζες, είτε μέσω ιστοσελίδων, που επίσης έχουν δημιουργήσει οι τράπεζες. Σε αμφότερες τις περιπτώσεις οι τράπεζες, για την προστασία των πελατών τους, οφείλουν να λαμβάνουν -και να διατηρούν- αυξημένα μέτρα ασφαλείας (όπως η χρήση κωδικού μίας χρήσης, του λεγόμενου one time password κ.λπ.), τα οποία καλούνται διαρκώς να εξελίσσουν. Αντίστοιχα, και οι πελάτες των τραπεζών κατά τη χρήση του i-banking καλούνται να επιδεικνύουν μεγάλη προσοχή.
Παρά τα ανωτέρω, τη τελευταία διετία παρατηρείται διαρκής αύξηση των ηλεκτρονικών απατών που σχετίζονται με τη χρήση του i-banking, λόγω παραβίασης των συστημάτων ασφαλείας των τραπεζών ή/και πλημμελούς συμπεριφοράς από την πλευρά των πελατών τους. Ειδικότερα, οι περιπτώσεις ηλεκτρονικών απατών, το 2019 ήταν περίπου 500, το 2020 αυξήθηκαν σε 1.200, το 2021 εκτοξεύθηκαν περίπου σε 3.800 και τους πρώτους οκτώ μήνες του 2022 καταγράφηκαν πάνω από 4.000 υποθέσεις ηλεκτρονικών απατών, με το τζίρο από την ανωτέρω δραστηριότητα να υπολογίζεται πάνω από 9.000.000 ευρώ. Στις περιπτώσεις αυτές, του λεγόμενου «ηλεκτρονικού ψαρέματος» (phishing) οι δράστες, εκμεταλλευόμενοι τα κενά ασφαλείας των τραπεζών ή/και την έλλειψη προσοχής των πελατών τους, με διάφορες πρακτικές (απατηλές ιστοσελίδες-κλώνους ή απατηλά μηνύματα ηλεκτρονικού ταχυδρομείου-emails ή απατηλά μηνύματα-sms), πληροφορούνται ή υφαρπάζουν τους προσωπικούς κωδικούς (username και password) ή τους κωδικούς μίας χρήσης (one time password) και προβαίνουν σε μεταφορές χρημάτων από τους λογαριασμούς των πελατών των τραπεζών, χωρίς την έγκριση ή τη συγκατάθεσή τους. Στη μελέτη αυτή, αφού παρατεθούν χαρακτηριστικές περιπτώσεις ηλεκτρονικής απάτης στο πλαίσιο ηλεκτρονικής τραπεζικής, στη συνέχεια μέσα από ένα γόνιμο διάλογο με την μέχρι σήμερα υπάρχουσα νομολογία (η οποία αυξάνεται διαρκώς, δεδομένου ότι οι σχετικές αγωγές ασκούνται η μία μετά την άλλη), θα αποτυπωθούν οι νομικές βάσεις για την αναζήτηση της ευθύνης της τράπεζας ή/και της συνευθύνης των πελατών της επί ηλεκτρονικής απάτης μέσω i-banking, χωρίς να χωρεί εις βάθος ανάλυση, η οποία εκφεύγει του σκοπού του πονήματος αυτού. Στόχος της μελέτης αυτής είναι, μέσα από τη θεωρία και τη νομολογία, να σκιαγραφήσει το εφαρμοζόμενο νομικό πλαίσιο και τα κρίσιμα στοιχεία επί υποθέσεων ηλεκτρονικής απάτης στο πλαίσιο ηλεκτρονικής τραπεζικής και να αποτελέσει ένα χρήσιμο εργαλείο για τους νομικούς, δικηγόρους και δικαστές, που απασχολούνται επί σχετικών υποθέσεων.
II. Ηλεκτρονική απάτη στο πλαίσιο ηλεκτρονικής τραπεζικής - Περιπτωσιολογία
Οι δράστες, αξιοποιώντας τη τεχνολογία και τη φαντασία τους, εφευρίσκουν διαρκώς νέες μεθόδους εξαπάτησης, οι οποίες παγιδεύουν τους ανυποψίαστους πελάτες των τραπεζών στο πλαίσιο της ηλεκτρονικής τραπεζικής. Κατωτέρω παρατίθενται ενδεικτικά ορισμένες τεχνικές που χρησιμοποιούν οι δράστες:
Αποστολή απατηλών μηνυμάτων ηλεκτρονικού ταχυδρομείου (emails) ή/και μηνυμάτων (sms): Οι δράστες κατασκευάζουν διευθύνσεις ηλεκτρονικού ταχυδρομείου που προσιδιάζουν στις διευθύνσεις ηλεκτρονικού ταχυδρομείου των τραπεζών και στέλνουν στα θύματα μηνύματα ηλεκτρονικού ταχυδρομείου (emails) ζητώντας να καταχωρήσουν τους προσωπικούς κωδικούς του i-banking ή αποστέλλουν μηνύματα (sms) στα οποία φέρεται ως αποστολέας η τράπεζα και αιτούνται τον κωδικό μίας χρήσης (one time password) που λαμβάνουν τα θύματα στο κινητό τους τηλέφωνο.
Αλιείς αγγελιών: Ένας υποτιθέμενος αγοραστής προσεγγίζει ένα χρήστη που έχει αναρτήσει μία αγγελία για την πώληση πράγματος στο διαδίκτυο και του ζητάει τα στοιχεία της τραπεζικής του κάρτας ή του i-banking, ώστε να διευκολυνθεί στη μεταφορά του αντιτίμου στον πωλητή.
Μεσολάβηση για τη μεταφορά χρημάτων: Οι δράστες στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου (emails) στα θύματα, ισχυριζόμενοι ότι κατέχουν ένα μεγάλο χρηματικό ποσό, το οποίο είναι μπλοκαρισμένο σε ένα τραπεζικό λογαριασμό και αιτούνται τη χρήση τραπεζικού λογαριασμού των θυμάτων για να προβούν σε μεταφορά του εν λόγω χρηματικού ποσού προφασιζόμενοι ότι τα θύματα θα λάβουν ένα σημαντικό ποσό ως αμοιβή για την εν λόγω διευκόλυνση.
Τηλεφωνική κλήση από υποτιθέμενη μεγάλη εταιρεία λογισμικού: Τα θύματα δέχονται τηλεφωνική κλήση από υποτιθέμενο υπάλληλο μεγάλης εταιρείας λογισμικού, ο οποίος προφασίζεται την ύπαρξη κακόβουλου λογισμικού στον υπολογιστή των θυμάτων, από τα οποία ζητάει να αποκτήσει πρόσβαση στον υπολογιστή τους, στο οποίο εγκαθιστά λογισμικό υποκλοπής στοι
Σελ. 335χείων, το οποίο εντοπίζει όλους τους αποθηκευμένους κωδικούς, μεταξύ των οποίων και του i-banking.
Ιστοσελίδες κλώνοι: Οι δράστες δημιουργούν ιστοσελίδες που είναι πανομοιότυπες με τις εφαρμογές i-banking των τραπεζών (σύμβολα, κείμενα, χρώματα, ψηφιακός σχεδιασμός), με αποτέλεσμα τα θύματα να εξαπατώνται και να εισέρχονται σε αυτές τις ιστοσελίδες πληκτρολογώντας τους προσωπικούς τους κωδικούς, οι οποίοι περιέρχονται σε γνώση των δραστών.
Οι ανωτέρω περιπτώσεις ηλεκτρονικών απατών αναφέρονται ενδεικτικά, καθώς είναι οι πιο συνηθισμένες, πλην όμως πρέπει να ληφθεί υπόψη ότι οι δράστες εξελίσσουν διαρκώς τις πρακτικές ηλεκτρονικής εξαπάτησης εφευρίσκοντας νέες μεθόδους. Από την παράθεση των ανωτέρω περιπτώσεων γίνεται αντιληπτό ότι για την επίτευξη της ηλεκτρονικής απάτης με i-banking οι δράστες δεν χρειάζεται να λάβουν τα πλήρη στοιχεία των θυμάτων (username, password, one time password κ.λπ.), αλλά αρκεί να έχουν έστω ορισμένα στοιχεία, τα οποία αξιοποιούν κατάλληλα, εκμεταλλευόμενοι ενίοτε τα κενά ασφαλείας των τραπεζών ή/και την έλλειψη προσοχής των πελατών τους. Η ΕιρΜυτιλ 54/2017 αναφέρει εύγλωττα «Βασικό εργαλείο του phishing είναι οι αποπλανητικοί σύνδεσμοι (link manipulation). Ο χρήστης βρίσκεται σε μία ιστοσελίδα, email ή άμεσο μήνυμα που τον παραπέμπει σε έναν σύνδεσμο επιφανειακά αξιόπιστο, αλλά είναι φτιαγμένος έτσι ώστε να τον οδηγεί σε διαφορετική ιστοσελίδα από αυτή που προβλέπεται. Αυτό είναι κάτι πολύ κρίσιμο αλλά ταυτόχρονα και πολύ εύκολο στη δημιουργία του, αφού σε ένα απλό html κώδικα δίνεται η δυνατότητα να μετατρέψει κανείς τον τίτλο του συνδέσμου όπως θέλει. Κάπως έτσι λειτουργούν και οι ψεύτικες ιστοσελίδες (fake websites), που μέσω παραπλανητικών συνδέσμων, οδηγούν τους χρήστες σε σελίδες οπτικά πανομοιότυπες με τις αυθεντικές ιστοσελίδες, ανήκουν όμως στον server του hacker. Μία επιτυχημένη επίθεση phishing στηρίζεται σε τρεις βασικούς παράγοντες την έλλειψη γνώσεων του θύματος, την έλλειψη προσοχής του θύματος και την οπτική εξαπάτηση».
III. Η θεμελίωση της συμβατικής και αδικοπρακτικής ευθύνης του πιστωτικού ιδρύματος
1. Οι κρίσιμες διατάξεις του ΑΚ
Στην περίπτωση ηλεκτρονικής απάτης στο πλαίσιο ηλεκτρονικής τραπεζικής, όπου ο πελάτης της τράπεζας μέσα σε μία στιγμή χάνει τα κατατεθειμένα στους τραπεζικούς του λογαριασμούς χρήματα, με αποτέλεσμα να συντελείται σε βάρος του από άγνωστους δράστες το ποινικό αδίκημα της απάτης με ηλεκτρονικό υπολογιστή (ΠΚ 386Α), πριν τη διερεύνηση της υπαιτιότητας ή της συνυπαιτιότητας του πιστωτικού ιδρύματος, καθίσταται αναγκαίο ο εφαρμοστής του δικαίου να αναζητήσει και να εξεύρει τις νομικές βάσεις που τυγχάνουν εφαρμογής σε μία τέτοια περίπτωση, ώστε εν συνεχεία να προβεί στην υπαγωγή των κρίσιμων πραγματικών περιστατικών στους εφαρμοζόμενους κανόνες δικαίου.

Η σύμβαση (ΑΚ 361), που καταρτίζει η τράπεζα με τον πελάτη της για τη λειτουργία υπηρεσιών πληρωμών, ρυθμίζει τις υποχρεώσεις ενημέρωσης της τράπεζας προς τον πελάτη της και καθορίζει τα δικαιώματα και τις υποχρεώσεις (και) των δύο μερών όσον αφορά στην παροχή υπηρεσιών πληρωμών. Με τη σύμβαση αυτή συμφωνείται ότι ο πελάτης θα τοποθετεί τα χρήματά του στους λογαριασμούς που διαθέτει στην αντισυμβαλλόμενη τράπεζα, η οποία τα παραλαμβάνει και τα φυλάει, με την υποχρέωση να τα αποδώσει όταν και όπου της ζητηθεί από τον πελάτη της (ΑΚ 822). Σύμφωνα με την ΑΚ 823 ο θεματοφύλακας, ήτοι η τράπεζα, οφείλει να καταβάλει την επιμέλεια που καταβάλει στις δικές της υποθέσεις και εφόσον λαμβάνει αμοιβή για την ανωτέρω παρακαταθήκη, ευθύνεται για κάθε πταίσμα. Περαιτέρω, κατά την ΑΚ 824 η τράπεζα δεν έχει δικαίωμα ούτε να μεταχειρίζεται τα χρήματα χωρίς την άδεια του πελάτη, ούτε να τα καταθέτει σε τρίτους, εκτός αν εξουσιοδοτήθηκε από τον πελάτη της. Σύμφωνα με την ΑΚ 825, η τράπεζα, που κατέθεσε τα χρήματα του πελάτη της σε τρίτον, χωρίς την συναίνεση (ΑΚ 236) ή την έγκρισή του (ΑΚ 238) ευθύνεται για κάθε πταίσμα έναντι του πελάτη της, ενώ θεωρείται ότι έχει παραβιάσει και τις διατάξεις περί εντολής (ΑΚ 713 επ.). Επί της ουσίας η σύμβαση αυτή είναι μία σύμβαση έργου (ΑΚ 681), όπου η τράπεζα έχει την υποχρέωση να φυλάει τα χρήματα του πελάτη της και να εκτελεί τις εντολές που της δίνονται από τον πελάτη της σε σχέση με τη μεταφορά των χρημάτων του, για δε, την εργασία της αυτή λαμβάνει αμοιβή υπό την μορφή ετήσιου τέλους ή/και προμήθειας από κάθε μεταφορά χρημάτων. Η τράπεζα έχει την υποχρέωση να εκπληρώσει την παροχή, ήτοι την ασφαλή φύλαξη των χρημάτων του πελάτη της και τη μεταφορά τους μόνο
Σελ. 336 μετά από αίτημα του πελάτη, όπως απαιτεί η καλή πίστη, αφού ληφθούν υπόψη και τα συναλλακτικά ήθη (ΑΚ 288). Από τη συνδυαστική εφαρμογή των ανωτέρω διατάξεων του ΑΚ προκύπτει ότι, επί της ουσίας πρόκειται για μικτή σύμβαση και η τράπεζα πρέπει να είναι ιδιαίτερα προσεκτική κατά τη φύλαξη των χρημάτων του πελάτη της και να εκτελεί μεταφορές χρημάτων σε τρίτους μόνο μετά από επιβεβαιωμένο αίτημα του πελάτη της, καθόσον διαφορετικά μπορεί να κληθεί να αποκαταστήσει τη ζημία που υπέστη ο πελάτης της από την πλημμελή εκτέλεση των συμβατικών της υποχρεώσεων. Συν τοις άλλοις, οι τράπεζες, λόγω του χρηματοδοτικού τους ρόλου, υπέχουν έναντι των αντισυμβαλλομένων τους συναλλακτικές υποχρεώσεις πρόνοιας, ασφάλειας και προστασίας, των οποίων η παραβίαση, εκτός από την αθέτηση της σύμβασης, αποτελεί (και) καταπάτηση των αρχών της καλής πίστης και των συναλλακτικών ηθών (ΑΚ 200 και 288) και ενέχει και το στοιχείο της παρανομίας και της υπαίτιας συμπεριφοράς και επομένως συνιστά και αδικοπραξία (ΑΚ 914, η οποία ορίζει «Όποιος ζημιώσει άλλον παράνομα και υπαίτια έχει υποχρέωση να τον αποζημιώσει), με αποτέλεσμα να χωρεί επιδίκαση χρηματικής ικανοποίησης λόγω ηθικής βλάβης υπέρ των αντισυμβαλλόμενων των τραπεζών σύμφωνα με ισχυρή μερίδα της νεότερης νομολογίας, παρά τα περί αντιθέτου που έχουν κριθεί από άλλη θέση της νομολογίας και μάλιστα επί του πραγματευόμενου στην παρούσα ζητήματος, η οποία υποστηρίζει ότι το αίτημα για επιδίκαση χρηματικής ικανοποίησης ηθικής βλάβης είναι μη νόμιμο, καθώς η παραβίαση της σύμβασης, δε δύναται να θεμελιώσει και αδικοπρακτική ευθύνη.
2. Ο Ν 2251/1994 περί προστασίας του καταναλωτή
Ναι μεν οι διατάξεις του ΑΚ είναι η απαρχή για κάθε ζήτημα ιδιωτικού δικαίου, πλην όμως όσον αφορά στη θεμελίωση της συμβατικής ευθύνης της τράπεζας από την ηλεκτρονική απάτη που συντελέστηκε σε βάρος του πελάτης της στο πλαίσιο χρήσης i-banking υπάρχουν ειδικά νομοθετήματα. Πιο συγκεκριμένα, εφόσον ο πελάτης που υπέστη την ηλεκτρονική απάτη φέρει την εν στενή έννοια ιδιότητα του καταναλωτή, ενεργοποιούνται οι διατάξεις του άρθρου 8 του Ν 2251/1994, με βάση τις οποίες η τράπεζα ευθύνεται για κάθε περιουσιακή ζημία ή ηθική βλάβη, που προκάλεσε παράνομα και υπαίτια, με πράξη ή παράλειψή της σε βάρος του πελάτη της. Σύμφωνα με τη θεωρία, ο παρέχων την υπηρεσία (τράπεζα) δρα υπαιτίως είτε διότι οι υπηρεσίες του δεν ανταποκρίνονται στην ευλόγως προσδοκώμενη ασφάλεια, σύμφωνα και με τις ειδικές συνθήκες, είτε διότι παραβιάζονται οι συναλλακτικές υποχρεώσεις πρόνοιας και ασφάλειας (ΑΚ 288).
3. Ο N 4537/2018
Α. Τα βασικά χαρακτηριστικά του Ν 4537/2018
Το βασικό εργαλείο για τη στοιχειοθέτηση της συμβατικής ευθύνης της τράπεζας επί ηλεκτρονικής απάτης που προκλήθηκε σε βάρος του πελάτη της εξ αφορμής της χρήσης του i-banking ήταν ο Ν 3862/2010, που αφορούσε την παροχή υπηρεσιών πληρωμών. Με το Ν 3862/2010 ενσωματώθηκαν στην ελληνική έννομη τάξη οι Οδηγίες 2007/64/ΕΚ, 2007/44/ΕΚ και 2010/16/ΕΕ που σχετίζονταν, μεταξύ άλλων, με τις υπηρεσίες πληρωμών στην εσωτερική αγορά. Ωστόσο, ο Ν 3862/2010 αντικαταστάθηκε επί της ουσίας με το Ν 4537/2018, με τον οποίο ενσωματώθηκε στην ελληνική έννομη τάξη η Οδηγία 2015/2366/ΕΕ για τις υπηρεσίες πληρωμών και άλλες διατάξεις. Το νέο νομοθετικό
Σελ. 337πλαίσιο εφαρμόζεται χωρίς ουσιαστική απόκλιση τόσο για τους καταναλωτές, όσο και τις πολύ μικρές επιχειρήσεις, ενώ από τη γραμματική διατύπωση του άρθρου 61 του Ν 4537/2018 προκύπτει ότι τυγχάνει εφαρμογής και στις λοιπές επιχειρήσεις, απλά δύναται να συμφωνηθούν διαφορετικοί όροι κατά παρέκκλιση συγκεκριμένων διατάξεων του Ν 4537/2018.
Όπως υπό το προηγούμενο νομοθετικό καθεστώς, έτσι και με το άρθρο 64 του Ν 4537/2018, μία πράξη πληρωμής θεωρείται εγκεκριμένη, μόνον εφόσον ο πληρωτής έχει δώσει τη συγκατάθεσή του στην εκτέλεσή της. Μια πράξη πληρωμής μπορεί να θεωρηθεί εγκεκριμένη από τον πληρωτή είτε πριν, είτε μετά την εκτέλεσή της, εφόσον υπάρχει σχετική συμφωνία του πληρωτή με τον οικείο πάροχο υπηρεσιών πληρωμών. Αν δεν έχει παρασχεθεί συγκατάθεση, η πράξη πληρωμής θεωρείται μη εγκεκριμένη.

Περαιτέρω, σύμφωνα με το άρθρο 68 του Ν 4537/2018, ο πληρωτής και ο οικείος πάροχος υπηρεσιών πληρωμών του μπορούν να συμφωνήσουν την εφαρμογή ποσοτικού ορίου δαπάνης για τις πράξεις πληρωμής που εκτελούνται μέσω αυτού του μέσου πληρωμών. Εφόσον υπάρχει σχετικός όρος στη σύμβαση ο πάροχος υπηρεσιών πληρωμών, ήτοι η τράπεζα, μπορεί να προβεί σε αναστολή της δυνατότητας χρήσης του μέσου πληρωμών, για αντικειμενικά αιτιολογημένους λόγους που σχετίζονται με την ασφάλεια του μέσου πληρωμών, με την ύπαρξη υπόνοιας περί μη εγκεκριμένης ή απατηλής χρήσης του μέσου πληρωμών. Στις ανωτέρω περιπτώσεις, ο πάροχος υπηρεσιών πληρωμών ενημερώνει τον πληρωτή για την αναστολή της δυνατότητας χρήσης του μέσου πληρωμών και για τους λόγους που επιβάλλουν την ενέργεια αυτή, εφόσον είναι εφικτό, πριν ανασταλεί η δυνατότητα χρήσης του μέσου πληρωμών και, το αργότερο, αμέσως μετά, εκτός αν η εν λόγω ενημέρωση προσκρούει σε αντικειμενικά αιτιολογημένους λόγους ασφαλείας ή απαγορεύεται από την κείμενη ενωσιακή ή εθνική νομοθεσία. Ακόμα, ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μπορεί να αρνηθεί σε πάροχο υπηρεσίας πληροφοριών λογαριασμού την πρόσβαση σε λογαριασμό πληρωμών, για αντικειμενικά δικαιολογημένους και δεόντως τεκμηριωμένους λόγους που σχετίζονται με την μη εγκεκριμένη ή απατηλή πρόσβαση σε λογαριασμό πληρωμών, περιλαμβανομένης της μη εγκεκριμένης ή απατηλής εκκίνησης της πράξης πληρωμής, είτε από τον πάροχο υπηρεσίας πληροφοριών λογαριασμού, είτε από το πάροχο υπηρεσίας εκκίνησης πληρωμής. Στις περιπτώσεις αυτές, ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού ενημερώνει τον πληρωτή για την άρνηση πρόσβασης στο λογαριασμό πληρωμών και τους λόγους που επιβάλλουν την ενέργεια αυτή. Η εν λόγω ενημέρωση παρέχεται στον πληρωτή, εφόσον είναι εφικτό, πριν από την άρνηση πρόσβασης και, το αργότερο, αμέσως μετά, εκτός αν η εν λόγω ενημέρωση προσκρούει σε αντικειμενικά αιτιολογημένους λόγους ασφαλείας ή απαγορεύεται από την κείμενη ενωσιακή ή εθνική νομοθεσία. Στο δε άρθρο 69 του Ν 4537/2018, σκιαγραφείται η βασική υποχρέωση του χρήση υπηρεσιών πληρωμών, που έχει δικαίωμα χρήσης του μέσου πληρωμών, η οποία συνίσταται στην ειδοποίηση, χωρίς υπαίτια καθυστέρηση, του παρόχου υπηρεσιών πληρωμών ή του αρμόδιου φορέα μόλις γίνει αντιληπτή απώλεια, κλοπή, υπεξαίρεση του μέσου πληρωμών, ή μη εγκεκριμένη χρήση του. Με άλλα λόγια, εφόσον επήλθε κλοπή ή υπεξαίρεση του μέσου πληρωμής ή μη εγκεκριμένη χρήση του, ο πελάτης της τράπεζας, προκείμενου να θωρακίσει τα δικαιώματά του, πρέπει να προβεί σε κατά το δυνατόν ταχύτερη ενημέρωσή της για το επίμαχο συμβάν. Αυτή δε η ενέργεια μπορεί να γίνει εγγράφως, με γραπτό αίτημα σε υποκατάστημα της τράπεζας, τηλεφωνικώς με καταχώρηση προφορικού αιτήματος μετά από σχετική τηλεφωνική επικοινωνία με το τμήμα ασφαλών συναλλαγών της τράπεζας, ή ηλεκτρονικά μέσω εφαρμογής i-banking. Είναι δε απαραίτητο ο πελάτης της τράπεζας να συλλέξει το αντίστοιχο αποδεικτικό υλικό (έγγραφο αίτημα, τηλεφωνική επικοινωνία ή εκτύπωση από το i-banking) προκείμενου να αποδείξει ότι επήλθε η άμεση ειδοποίηση της τράπεζας για το επίμαχο συμβάν.
Β. Οι ειδικές υποχρεώσεις της τράπεζας
Παράλληλα με την ανωτέρω υποχρέωση του πελάτη, σύμφωνα με το άρθρο 70 του Ν 4537/2018, η τράπεζα έχει τις εξής υποχρεώσεις: α) διασφαλίζει ότι τα εξατομικευμένα διαπιστευτήρια ασφαλείας δεν είναι προσβάσιμα σε τρίτους, παρά μόνο στο νόμιμο χρήστη υπηρεσιών πληρωμών του μέσου πληρωμών, β) δεν αποστέλλει μέσο πληρωμών χωρίς προηγούμενο σχετικό αίτημα του χρήστη υπηρεσιών πληρωμών (εκτός αν η εν λόγω αποστολή αφορά αντικατάσταση υφιστάμενου μέσου πληρωμών), γ) διασφαλίζει ότι ο χρήστης υπηρεσιών πληρωμών έχει στη διάθεσή του, σε διαρκή βάση, τα κατάλληλα μέσα που του επιτρέπουν να προβαίνει σε γνωστοποίηση απώλειας, κλοπής, υπεξαίρεσης του μέσου πληρωμών, ή μη εγκεκριμένης χρήσης του και δ) αποτρέπει κάθε χρήση του μέσου πληρωμών από το χρονικό σημείο της ανωτέρω γνωστοποίησης. Σημειωτέον ότι ύστερα από αίτημα του χρήστη, ο πάροχος υπηρεσιών πληρωμών παρέχει στον χρήστη, για δεκαοκτώ μήνες από τη γνωστοποίηση τα μέσα για να αποδείξει ότι πράγματι, ο χρήστης προέβη στην εν λόγω γνωστοποίηση και τέλος ο πάροχος υπηρεσιών πληρωμών αναλαμβάνει τον κίνδυνο της αποστολής στο χρήστη του μέσου πληρωμών κάθε σχετικού εξατομικευμένου διαπιστευτηρίου ασφαλείας. Κατά το άρθρο 71 του Ν 4537/2018, ο πάροχος υπηρεσιών πληρωμών έχει την υποχρεώσει να αποκαταστήσει μία μη εγκεκριμένη
Σελ. 338 ή εσφαλμένα εκτελεσθείσα πράξη πληρωμής στον χρήστη υπηρεσιών πληρωμών, μόνο αν ο χρήστης ειδοποιήσει χωρίς υπαίτια καθυστέρηση τον πάροχο υπηρεσιών πληρωμών μόλις αντιληφθεί οποιαδήποτε μη εγκεκριμένη ή εσφαλμένα εκτελεσθείσα πράξη πληρωμής και το αργότερο μέσα σε χρονικό διάστημα δεκατριών μηνών από την ημερομηνία χρέωσης. Η ανωτέρω προθεσμία δεν ισχύει όταν ο πάροχος υπηρεσιών πληρωμών δεν χορήγησε και δεν κατέστησε διαθέσιμες τις πληροφορίες για τη συγκεκριμένη πράξη πληρωμής στον πληρωτή.
Γ. Βάρος απόδειξης - Νόθος αντικειμενική ευθύνη
Βάσει δε, του άρθρου 72 του Ν 4537/2018, αν ο χρήστης υπηρεσιών πληρωμών αρνείται ότι έχει εγκρίνει εκτελεσθείσα πράξη πληρωμής ή ισχυρίζεται ότι η πράξη πληρωμής δεν εκτελέσθηκε ορθά, ο οικείος πάροχος υπηρεσιών πληρωμών οφείλει να αποδείξει ότι έχει ταυτοποιηθεί η γνησιότητα της πράξης πληρωμής και ότι η πράξη πληρωμής έχει καταγραφεί με ακρίβεια, έχει καταχωριστεί στους λογαριασμούς πληρωμών και δεν επηρεάστηκε από τεχνική βλάβη ή άλλη δυσλειτουργία της υπηρεσίας που παρέχεται από τον πάροχο υπηρεσιών πληρωμών. Με άλλα λόγια, στην περίπτωση μη εγκεκριμένης ή εσφαλμένα εκτελεσθείσας συναλλαγής, εφόσον ο πληρωτής αμφισβητήσει την επίμαχη συναλλαγή, ο πάροχος υπηρεσιών πληρωμής φέρει το βάρος απόδειξης ότι επήλθε ταυτοποίηση του πληρωτή και ότι η συναλλαγή εκτελέστηκε ορθά. Δηλαδή υπάρχει νόθος αντικειμενική ευθύνη, με αποτέλεσμα να αντιστρέφεται το βάρος απόδειξης σε βάρος της τράπεζας. Η εν λόγω νομοθετική επιλογή δεν είναι τυχαία, διότι επί της ουσίας η τράπεζα είναι το μόνο μέρος που έχει πρόσβαση στα σχετικά συστήματα ασφαλείας και τις τεχνικές διαδικασίες των on line τραπεζικών συναλλαγών. Αν ο χρήστης υπηρεσιών πληρωμών αρνείται ότι έχει εγκρίνει εκτελεσθείσα πράξη πληρωμής, η χρήση ενός μέσου πληρωμών που έχει καταγραφεί από τον πάροχο υπηρεσιών πληρωμών, περιλαμβανομένου του παρόχου υπηρεσιών εκκίνησης πληρωμής ανάλογα με την περίπτωση, δεν αποτελεί άνευ ετέρου, επαρκή απόδειξη ότι ο πληρωτής είχε εγκρίνει την πράξη πληρωμής ή ότι είχε ενεργήσει με δόλο ή δεν είχε εκπληρώσει από πρόθεση ή βαριά αμέλεια μια ή περισσότερες από τις υποχρεώσεις του άρθρου 69 του Ν 4537/2018. Υποστηρίζεται με πειστικά επιχειρήματα από τη θεωρία ότι πρόκειται για ένα ελάχιστο μέτρο απόδειξης ως αρνητικό (μαχητό) τεκμήριο. Ο πάροχος υπηρεσιών πληρωμών, συμπεριλαμβανομένου, κατά περίπτωση, του παρόχου υπηρεσίας εκκίνησης πληρωμής, πρέπει να παρέχει αποδεικτικά στοιχεία για την απόδειξη απάτης ή βαριάς αμέλειας εκ μέρους του χρήστη υπηρεσιών πληρωμών. Σύμφωνα με το άρθρο 73 του Ν 4537/2018, σε περίπτωση μη εγκεκριμένης πράξης πληρωμής, ο πάροχος υπηρεσιών πληρωμών του πληρωτή, ύστερα από διαπίστωση ή ειδοποίηση, επιστρέφει αμέσως και σε κάθε περίπτωση το αργότερο έως το τέλος της επόμενης εργάσιμης ημέρας στον πληρωτή το χρηματικό ποσό της μη εγκεκριμένης πράξης πληρωμής (εκτός αν ο πάροχος υπηρεσιών πληρωμών του πληρωτή έχει βάσιμες υπόνοιες ότι έχει διαπραχθεί απάτη και κοινοποιεί γραπτώς τους λόγους αυτούς στη Γενική Γραμματεία Εμπορίου και Προστασίας Καταναλωτή). Αν συντρέχει αυτή η περίπτωση, ο πάροχος υπηρεσιών πληρωμών του πληρωτή επαναφέρει το χρεωθέντα λογαριασμό πληρωμών στην πρότερη κατάσταση και διασφαλίζει ότι η ημερομηνία αξίας για την πίστωση λογαριασμού πληρωμών του πληρωτή δεν είναι μεταγενέστερη του χρονικού σημείου χρέωσης αυτού του λογαριασμού πληρωμών με το χρηματικό ποσό της πράξης πληρωμής. Περαιτέρω αποζημίωση του πληρωτή δεν αποκλείεται, εφόσον θεμελιώνεται σχετικό δικαίωμα στο δίκαιο που διέπει τη σύμβαση που έχει συναφθεί μεταξύ του πληρωτή και του παρόχου υπηρεσιών πληρωμών ή το νόμο.
Σε σχέση με το ζήτημα της κατανομής του βάρους απόδειξης παρουσιάζει ειδικό ενδιαφέρον η ΜΠρΠατρ 258/2020, η οποία εκδόθηκε μετά από άσκηση έφεσης εκ μέρους του πιστωτικού ιδρύματος κατά της πρωτόδικης απόφασης που έκανε δεκτή την αγωγή του ενάγοντος, η οποία κατατέθηκε υπό το προηγούμενο νομοθετικό καθεστώς (Ν 3862/2010). Η ΜΠρΠατρ 258/2020 δεν εξέδωσε τελεσίδικη κρίση επί της διαφοράς, αλλά έκανε χρήση των διατάξεων των άρθρων 245 και 254 ΚΠολΔ διατάσσοντας την επανάληψη της συζήτησης, ώστε: 1) να καταθέσει ανωμοτί επί της έδρας ο ενάγων, 2) να προσκομιστούν αποσπάσματα του λογαριασμού i-banking του ενάγοντος για το κρίσιμο χρονικό διάστημα καθώς και αντίγραφα των πρακτικών και αποφάσεων από τυχόν ποινική δίκη που αφορά την εν λόγω διαφορά και 3) να διενεργηθεί πραγματογνωμοσύνη από μηχανικό ηλεκτρονικού υπολογιστή με εξειδίκευση στη διερεύνηση ηλεκτρονικού εγκλήματος. Ωστόσο, δεδομένου ότι, κατ’ άρθρο 58 παρ. 1 του Ν 3862/2010 (όπως και υπό το Ν 4537/2018) το βάρος απόδειξης του ισχυρισμού περί γνησιότητας των επίμαχων συναλλαγών έφερε η τράπεζα, η οποία ουδέν απέδειξε, κατά τη ταπεινή μου γνώμη, η ένσταση αυτή έπρεπε να απορριφθεί ως αβάσιμη και αναπόδεικτη και όχι να διαταχθεί η διενέργεια πραγματογνωμοσύνης κ.λπ.
Σελ. 339 Από την άλλη πλευρά, η ΜΠρΧίου 245/2022, δέχτηκε ότι με βάση το άρθρο 88 του Ν 4537/2018 (όπως και υπό το άρθρο 58 του Ν 3862/2010), το οποίο τελεί σε σύμπνοια με το άρθρο 8 του Ν 2251/1994 για την ευθύνη του παρέχοντος υπηρεσίες, υπάρχει αντιστροφή του βάρους απόδειξης, με συνέπεια η τράπεζα να καλείται να αποδείξει την ορθότητα των συναλλαγών, την οποία αμφισβήτησαν οι ενάγοντες διώκοντας την επιδίκαση υπέρ τους των ποσών που αντιστοιχούσαν στις μη εγκεκριμένες συναλλαγές. Ειδικότερα, η ΜΠρΧίου 245/2022 απέρριψε την ένσταση της τράπεζας περί εγκυρότητας των επίδικων συναλλαγών αναφέροντας πειστικά ότι «Εντούτοις, από το αποδεικτικό υλικό ουδόλως αποδεικνύεται η γνησιότητα της αυτής επίδικης συναλλαγής, υπό την έννοια ότι ο πρώτος ενάγων ή κάποιος από τους λοιπούς δικαιούχους του επίμαχου λογαριασμού (δηλαδή η δεύτερη ή η τρίτη ενάγουσα) είχε δώσει τη συγκατάθεσή του για την εκτέλεση της πράξης πληρωμής, ενόψει άλλωστε και της προαναφερόμενης πρόβλεψης στη διάταξη του άρθρου 72 παρ. 2 του Ν. 4537/2018 ότι από μόνη της η χρήση της υπηρεσίας Internet banking εκ μέρους του πρώτου ενάγοντος που έχει καταγραφεί από την εναγόμενη δεν αποτελεί αναγκαστικά από μόνη της επαρκή απόδειξη ότι ο πληρωτής – πρώτος ενάγων (ή κάποιος από τους λοιπούς δικαιούχους του λογαριασμού) είχε εγκρίνει την πράξη πληρωμής. Εξάλλου, ο πρώτος ενάγων επικαλείται κατά τα ανωτέρω και αποδεικνύει, με τρόπο που δεν αντικρούστηκε επαρκώς από κάποιο αποδεικτικό μέσο εκ μέρους της εναγόμενης, ότι εκείνος ουδέποτε έλαβε στο κινητό του τηλέφωνο είτε με SMS είτε με μήνυμα στην εφαρμογή VIBER μοναδικό κωδικό προκειμένου να τον πληκτρολογήσει για να εγκρίνει την επίδικη συναλλαγή (πράξη πληρωμής)».
Δ. Εξαιρέσεις από τον κανόνα της ευθύνης της τράπεζας
Σύμφωνα με το άρθρο 84 του Ν 4537/2018, κατά παρέκκλιση από το άρθρο 73 του Ν 4537/2018 ο πληρωτής ευθύνεται μέχρι το ανώτατο ποσό των 50 ευρώ για τις ζημίες από τη διενέργεια μη εγκεκριμένων πράξεων πληρωμής, οι οποίες προκύπτουν είτε από τη χρήση απολεσθέντος ή κλαπέντος μέσου πληρωμών, είτε από υπεξαίρεσή του. Η εν λόγω υποχρέωση δεν ισχύει, εφόσον: α) η απώλεια, κλοπή ή υπεξαίρεση του μέσου πληρωμών δεν ήταν δυνατό να εντοπιστεί από τον πληρωτή πριν από τη διενέργεια πράξης πληρωμής, εκτός αν ο πληρωτής είχε ενεργήσει με δόλο ή β) η ζημία είχε προκληθεί από πράξεις ή παραλείψεις υπαλλήλου, αντιπροσώπου ή υποκαταστήματος ενός παρόχου υπηρεσιών πληρωμών ή οντότητας στην οποία ο πάροχος υπηρεσιών πληρωμών είχε αναθέσει τις δραστηριότητές του. Ο πληρωτής ευθύνεται για όλες τις ζημίες που σχετίζονται με κάθε μη εγκεκριμένη πράξη πληρωμής, εφόσον οι ζημίες αυτές οφείλονται είτε σε δόλο, είτε στη μη τήρηση μιας ή περισσοτέρων από τις υποχρεώσεις που έχει, σύμφωνα με το άρθρο 69 του Ν 4537/2018, από πρόθεση ή βαριά αμέλεια. Στις περιπτώσεις αυτές, δεν ισχύει το ως άνω ανώτατο όριο. Αν ο πάροχος υπηρεσιών πληρωμών του πληρωτή δεν απαιτεί ισχυρή ταυτοποίηση του πελάτη, ο πληρωτής ευθύνεται για τυχόν οικονομικές συνέπειες, μόνο αν έχει ενεργήσει με δόλο. Αν ο δικαιούχος ή ο πάροχος υπηρεσιών πληρωμών του δικαιούχου αδυνατεί να δεχτεί ισχυρή ταυτοποίηση του πελάτη, οφείλει να αποζημιώσει τον πάροχο υπηρεσιών πληρωμών του πληρωτή για την οικονομική ζημία που έχει υποστεί. Από το χρονικό σημείο ειδοποίησης του παρόχου υπηρεσιών πληρωμών, σύμφωνα με το άρθρο 69 παρ. 1 εδ. β’ του Ν 4537/2018, ο πληρωτής δεν επωμίζεται οποιαδήποτε οικονομική συνέπεια που απορρέει από τη χρήση απολεσθέντος, κλαπέντος ή υπεξαιρεθέντος μέσου πληρωμών, εκτός αν έχει ενεργήσει με δόλο. Αν ο πάροχος υπηρεσιών πληρωμών δεν παρέχει στον πληρωτή τα κατάλληλα μέσα που του επιτρέπουν ανά πάσα στιγμή να προβεί σε ειδοποίηση αναφορικά με την απώλεια, κλοπή ή υπεξαίρεση του μέσου πληρωμών, σύμφωνα με το άρθρο 70 παρ. 1 περ. γ’ του Ν 4537/2018, ο πληρωτής δεν ευθύνεται για τις οικονομικές συνέπειες που απορρέουν από τη χρήση του εν λόγω μέσου πληρωμών, εκτός αν έχει ενεργήσει με δόλο. Σημειωτέον ότι βάσει του άρθρου 103 του Ν 4537/2018, οι πάροχοι υπηρεσιών πληρωμών απαγορεύεται να παρεκκλίνουν από τις διατάξεις του Ν 4537/2018 σε βάρος των χρηστών υπηρεσιών πληρωμών, ήτοι ο Ν 4537/2018 αποτελεί αναγκαστικό δίκαιο και συνεπώς τυχόν όροι που μετατοπίζουν την ευθύνη και το βάρος απόδειξης μεταξύ των μερών είναι άκυροι, ως αντίθετοι στο Ν 4537/2018. Σε αυτή την κατεύθυνση κινήθηκε η ΜΠρΧίου 245/2022, η οποία έκρινε άκυρους ως αντίθετους στο νόμο (άρθρα 71, 88, 92, 95 και 103 του Ν 4537/2018) και τα χρηστά ήθη τους όρους της επίμαχης σύμβασης για τη διενέργεια ηλεκτρονικών συναλλαγών, βάσει των οποίων συνομολογήθηκε ότι η τράπεζα δεν ευθύνεται για τη ζημία του πελάτη της σε περίπτωση παράνομης χρήσης του i-banking του πελάτη της ή παραβίασης της ασφαλούς χρήσης του διαδικτύου.
4. Ο Ν 4557/2018 για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες
Συμπληρωματικά, αναφέρεται ότι, με το Ν 4557/2018 ενσωματώθηκε στην ελληνική έννομη τάξη η Οδηγία 2015/849/ΕΕ σχετικά µε την πρόληψη της χρησιμοποίησης του χρηματοπιστωτικού συστήματος για τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες ή για τη χρηματοδότηση της τρομοκρατίας. Βάσει του Ν 4557/2018, όπως τροποποιήθηκε και ισχύει, προς το
Σελ. 340 σκοπό αποτροπής χρησιμοποίησης του χρηματοπιστωτικού συστήματος για τη νομιμοποίηση εσόδων από παράνομες δραστηριότητες, μεταξύ των οποίων και η απάτη με ηλεκτρονικό υπολογιστή (ΠΚ 386Α), σύμφωνα με το άρθρο 12 παρ. 1 εδ. β΄ και στ΄ του Ν 4557/2018 οι τράπεζες πρέπει να εφαρμόζουν μέτρα δέουσας επιμέλειας ως προς τους πελάτες τους στις περιπτώσεις που διενεργούν περιστασιακή συναλλαγή που: α) ανέρχεται σε ποσό ίσο ή μεγαλύτερο των 15.000 ευρώ, είτε η συναλλαγή αυτή πραγματοποιείται με μία και μόνη πράξη, είτε με περισσότερες που φαίνεται να συνδέονται μεταξύ τους, β) αποτελεί μεταφορά χρηματικών ποσών, σύμφωνα με τον ορισμό του άρθρου 3 στοιχ. 9 του Κανονισμού (ΕΕ) 2015/847 άνω των 1.000 ευρώ, γ) υπάρχουν αμφιβολίες για την ακρίβεια, την πληρότητα ή την επάρκεια των στοιχείων που συγκεντρώθηκαν προηγουμένως για την πιστοποίηση και την επαλήθευση της ταυτότητας του πελάτη ή του πραγματικού δικαιούχου. Σύμφωνα δε, με το άρθρο 13 παρ. 1 εδ. β΄ και δ΄ του Ν 4557/2018 τα μέτρα της δέουσας επιμέλειας που πρέπει να εφαρμόζουν οι τράπεζες περιλαμβάνουν: α) την εξακρίβωση της ταυτότητας του πραγματικού δικαιούχου, την επικαιροποίηση των στοιχείων και τη λήψη εύλογων μέτρων, όπως αυτά εξειδικεύονται με αποφάσεις της ΤτΕ και άλλων φορέων και β) την άσκηση συνεχούς εποπτείας όσον αφορά στην επιχειρηματική σχέση, με ενδελεχή εξέταση των συναλλαγών που πραγματοποιούνται κατά τη διάρκειά της, για να εξασφαλίζεται ότι οι συναλλαγές ή δραστηριότητες συνάδουν με τις γνώσεις που έχουν οι τράπεζες σχετικά με τον πελάτη, τις επαγγελματικές δραστηριότητες και το προφίλ κινδύνου του, καθώς και, εφόσον απαιτείται, την προέλευση των κεφαλαίων, σύμφωνα με κριτήρια που μπορεί να ορίζουν οι αρμόδιες αρχές. Σύμφωνα με το άρθρο 13 παρ. 2 του Ν 4557/2018, αν το υπόχρεο πρόσωπο δεν μπορεί να συμμορφωθεί με τις απαιτήσεις της δέουσας επιμέλειας ως προς τον πελάτη του, οφείλει να αρνηθεί να εκτελέσει τη συναλλαγή του και σε κάθε περίπτωση σύμφωνα με το άρθρο 13 παρ. 2 εδ. α’ του Ν 4557/2018 οι τράπεζες πρέπει να συνεκτιμούν το συνολικό χαρτοφυλάκιο το οποίο διατηρεί ο συναλλασσόμενος για να εξακριβώσουν τη συμβατότητα της υπό εξέταση συναλλαγής με την οικονομική-συναλλακτική του εικόνα. Περαιτέρω, σύμφωνα με το άρθρο 16 παρ. 3 του Ν 4557/2018 οι τράπεζες εξετάζουν, όσο είναι ευλόγως δυνατό, το ιστορικό και τον σκοπό όλων των συναλλαγών που πληρούν έστω μια από τις εξής περιπτώσεις: α) είναι πολύπλοκες, β) είναι ασυνήθιστα μεγάλες, γ) ακολουθούν μια ασυνήθιστη πρακτική, δ) πραγματοποιούνται χωρίς προφανή οικονομικό ή νόμιμο σκοπό.
5. Η εφαρμογή του Ν 4624/2019 περί προστασίας δεδομένων προσωπικού χαρακτήρα
Αξίζει να επισημανθεί ότι στην περίπτωση της ηλεκτρονικής απάτης με i-banking ο πελάτης της τράπεζας, στην προσπάθειά του να διερευνήσει την συμβατική ή/και αδικοπρακτική ευθύνη της τράπεζας σε σχέση με τη τελεσθείσα σε βάρος του ηλεκτρονική απάτη, αιτείται συχνά αντίγραφα των τηλεφωνικών συνομιλιών που πραγματοποίησε με αρμόδιους υπαλλήλους της τράπεζας, για να προβεί σε ακύρωση και αμφισβήτηση των επίμαχων συναλλαγών, με αποτέλεσμα να ενεργοποιούνται οι διατάξεις του Ν 4624/2019, με τον οποίο ενσωματώθηκε στην ελληνική έννομη τάξη ο Κανονισμός (ΕΕ) 2016/679 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων. Σε περίπτωση μη ικανοποίησης του αιτήματος αυτού, εγείρεται ζήτημα παραβίασης του άρθρου 15 του Ν 4624/2019 και μπορεί να θεμελιωθεί, κατ’ άρθρο 82 του Ν 4624/2019, αξίωση χρηματικής ικανοποίησης λόγω ηθικής βλάβης, συνιστάμενης στη μη ικανοποίηση του δικαιώματος πρόσβασης στα αρχεία των τηλεφωνικών συνομιλιών. Μάλιστα, δυνάμει της ΜΠρΧίου 245/2022 επιδικάστηκε ποσό 1.000 ευρώ ως χρηματική ικανοποίηση της ηθικής βλάβης του ενάγοντος για μη ικανοποίηση δικαιώματος πρόσβασης σε τηλεφωνικές του συνομιλίες με αρμόδιους υπαλλήλους της τράπεζας που έγιναν για την ακύρωση μη εγκεκριμένης συναλλαγής του. Αυτές είναι οι νομικές βάσεις, τις οποίες έχουν στη διάθεσή τους τα φυσικά και νομικά πρόσωπα προκειμένου να εγείρουν σχετικές αξιώσεις έναντι των τραπεζών για την αποκατάσταση της ζημίας που προκλήθηκε σε βάρος τους από ηλεκτρονική απάτη στο πλαίσιο λειτουργίας του i-banking.
IV. Η διερεύνηση της υπαιτιότητας / ευθύνης του πιστωτικού ιδρύματος
1. Ύπαρξη ή μη συστήματος προστασίας από ηλεκτρονικούς ιούς
Σε περίπτωση που έχει συντελεστεί μία ηλεκτρονική απάτη με i-banking, προκειμένου να εξαχθεί ένα ασφαλές συμπέρασμα σε σχέση με τον καταλογισμό της ευθύνης απαιτείται η έρευνα να διέλθει από επιμέρους στάδια. Το πρώτο βήμα έγκειται στη διαπίστωση ύπαρξης
Σελ. 341 ή μη προγράμματος προστασίας από κακόβουλο λογισμικό στην ηλεκτρονική συσκευή του πελάτη της τράπεζας, ικανού να εμποδίσει τη τελεσθείσα ηλεκτρονική απάτη. Ο μέσος χρήστης του διαδικτύου οφείλει να έχει εγκαταστήσει στον υπολογιστή του ένα λογισμικό προστασίας, το οποίο θα είναι σε θέση να παρέχει ένα επίπεδο προστασίας από κακόβολους ιούς. Από τη στιγμή που προγράμματα προστασίας από κακόβολους ιούς κυκλοφορούν (και) δωρεάν στην αγορά, δε δικαιολογείται η μη εγκατάσταση και χρήση τέτοιου μέσου προστασίας, το οποίο θα μπορούσε ενδεχομένως να αποτελέσει μία πρόσθετη ασφαλιστική δικλείδα για τον πελάτη της τράπεζας έναντι ορισμένων μορφών ηλεκτρονικής απάτης με i-banking. Επομένως, σε συμβάντα ηλεκτρονικής απάτης με i-banking πρέπει να διερευνάται και να διαπιστώνεται πρώτον αν κατά το επίμαχο χρονικό σημείο ο πελάτης της τράπεζας είχε εγκατεστημένο πρόγραμμα προστασίας από ιούς στην ηλεκτρονική συσκευή που ενεπλάκη στο συμβάν της ηλεκτρονικής απάτης και δεύτερον αν με την ύπαρξη ενός λογισμικού προστασίας από κακόβουλους ιούς θα μπορούσε να προστατευτεί αποτελεσματικά, δεδομένου ότι οι δράστες των ηλεκτρονικών απατών εξελίσσουν διαρκώς τη τεχνογνωσία τους και δεν αποκλείεται ένα συνηθισμένο πρόγραμμα προστασίας από επιβλαβείς ιούς να μην αποτελεί κατάλληλο εργαλείο για την αποσόβηση μίας ηλεκτρονικής απάτης μέσω i-banking. Κατά το σκέλος αυτό παρουσιάζει νομολογιακό ενδιαφέρον η ΜΕφΑθ 2908/2021, η οποία είναι η μόνη δημοσιευμένη απόφαση που ασχολήθηκε με το ανωτέρω επιμέρους θέμα και εκδόθηκε μετά από την άσκηση εκατέρωθεν εφέσεων από τους διαδίκους έναντι της πρωτόδικης απόφασης και έκρινε με βάση το προϊσχύσαν δίκαιο, ήτοι με βάση το Ν 3862/2010 (δεδομένου ότι η αγωγή ασκήθηκε το 2012), δεχόμενη τη συμβατική ευθύνη της τράπεζας βάσει των διατάξεων των άρθρων 713 επ. και 681 επ. ΑΚ και του Ν 3862/2010 για την ηλεκτρονική απάτη με i-banking που υπέστη ο πελάτης της, ο οποίος ωστόσο κρίθηκε συνυπαίτιος κατά 50%, καθώς δεν είχε εγκαταστήσει στον υπολογιστή του πρόγραμμα προστασίας από κακόβουλο λογισμικό, χωρίς ωστόσο η ΜΕφΑθ 2908/2021 να εξετάσει αν τυχόν η εγκατάσταση ενός λογισμικού προστασίας από ηλεκτρονικούς ιούς θα μπορούσε να εμποδίσει αποτελεσματικά την εν λόγω ηλεκτρονική επίθεση. Ο πελάτης της τράπεζας μπορεί να υποστεί ηλεκτρονική απάτη από τη λειτουργία του i-banking, λόγω παραβίασης των συστημάτων ασφαλείας της τράπεζας, αλλά για να μην τυχόν μετριαστεί η ευθύνη μεταξύ των μερών οφείλει να έχει εγκατεστημένο σχετικό πρόγραμμα προστασίας από ηλεκτρονικούς ιούς, χωρίς βέβαια να σημαίνει ότι η ανυπαρξία antivirus μπορεί να θεμελιώσει άνευ τινός συνυπαιτιότητα.
2. Κατάλληλη πληροφόρηση από την τράπεζα προς τους πελάτες της
Επόμενο κρίσιμο στοιχείο είναι κατά πόσο η συγκεκριμένη τράπεζα που εμπλέκεται στο επίμαχο συμβάν είχε οργανώσει προωθητικές καμπάνιες προς τους πελάτες της για την αποτροπή συμβάντων ηλεκτρονικής απάτης με i-banking. Στο τέλος του 2021 το Υπουργείο Προστασίας του Πολίτη, η ΤτΕ, η Ελληνική Αστυνομία και η Ελληνική Ένωση Τραπεζών οργάνωσαν από κοινού μία εκστρατεία ενημέρωσης και ευαισθητοποίησης των φυσικών και νομικών προσώπων σε σχέση με τις ηλεκτρονικές απάτες με τον τίτλο «Μία παύση αρκεί για να αποφύγουμε την ηλεκτρονική απάτη». Σίγουρα πρόκειται για μία πρωτοβουλία προς τη σωστή κατεύθυνση, αλλά δεν είναι αρκετή, δεδομένου ότι η ΕιρΜυτιλ 54/2017, η οποία επιλήφθηκε με βάση το καθεστώς του Ν 3862/2010, διατύπωσε τη θέση ότι η ηλεκτρονική απάτη με i-banking στηρίζεται κυρίως στην έλλειψη γνώσεων των πελατών των τραπεζών και παρόλα αυτά έκρινε ότι δικαιολογημένα ο πελάτης της τράπεζας εξαπατήθηκε και δεδομένου ότι ενήργησε άμεσα, ακυρώνοντας τις επίμαχες συναλλαγές του και ενημερώνοντας την τράπεζα, διατάχθηκε να του επιστραφεί το ποσό που απώλεσε λόγω των επίμαχων μη εγκεκριμένων συναλλαγών.
Απαιτείται η ανάληψη πρωτοβουλίας ξεχωριστά από κάθε πιστωτικό ίδρυμα, το οποίο οφείλει να διαθέσει τους κατάλληλους πόρους, ώστε να οργανώσει και να επικοινωνήσει στους πελάτες του τη δική του καμπάνια πληροφόρησης και αποφυγής από συμβάντα ηλεκτρονικής απάτης, τόσο κατά το προσυμβατικό στάδιο, όσο και κατά τη διάρκεια της συναλλακτικής επαφής και λειτουργίας της σύμβασης. Οι τράπεζες οφείλουν να επενδύσουν κονδύλια από τους διαθέσιμους πόρους τους, ώστε να γίνεται προβολή τηλεοπτικών ή/και ραδιοφωνικών σποτ, που θα εξηγούν το φαινόμενο και θα δίνουν κατευθυντήριες οδηγίες στους πελάτες τους. Τέλος, είναι δεδομένο ότι οι τράπεζες διαθέτουν μία πολύ μεγάλη βάση δεδομένων προσωπικού χαρακτήρα των πελατών τους, την οποία είναι καθ’ όλα νόμιμο να αξιοποιήσουν προς το σκοπό ενημέρωσης των πελατών τους για τα διαρκώς εξελισσόμενα φαινόμενα ηλεκτρονικής απάτης. Αυτή η ενημέρωση μπορεί να γίνει με αποστολή ενημερωτικών επιστολών, με αποστολή μηνυμάτων στις εφαρμογές του i-banking ή με αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου (emails) στις δηλωθείσες διευθύνσεις ηλεκτρονικού ταχυδρομείου των πελατών των τραπεζών. Συνεπώς, κατά τη διερεύνηση της υπαιτιότητας του πιστωτικού ιδρύματος σε σχέση με ένα συμβάν ηλεκτρονικής απάτης είναι κρίσιμο να εξεταστεί και να διαπιστωθεί αν πριν το εν λόγω συμβάν η συγκεκριμένη τράπεζα είχε αναλάβει γενικευμένες και εξατομικευμένες δράσεις για την καταπολέμηση του φαινομένου του phishing.

Σελ. 3423. Λειτουργία ειδικών τμημάτων στις τράπεζες και εφαρμογή μέτρων ισχυρής ταυτοποίησης
Τρίτο στοιχείο που αξίζει ειδικής αναφοράς είναι ότι οι τράπεζες, δεδομένου ότι είναι επιχειρήσεις εξαιρετικά οργανωμένες, που διαθέτουν την κατάλληλη τεχνογνωσία, οφείλουν να διαθέτουν ένα ειδικό τμήμα, το οποίο θα ασχολείται πρακτικά με το φαινόμενο της καταπολέμησης της ηλεκτρονικής απάτης. Ειδικότερα, το ειδικό τμήμα αυτό θα μπορούσε να μελετάει και να διερευνά επιστημονικά και πρακτικά τρόπους διαρκούς ενίσχυσης των μέτρων ασφαλείας των τραπεζών προς τους πελάτες τους, ιδίως ενόψει του γεγονότος ότι και οι δράστες των ηλεκτρονικών απατών εξελίσσουν συνεχώς τις μεθόδους τους. Δεδομένου ότι η τεχνολογία αναπτύσσεται διαρκώς, τα πιστωτικά ιδρύματα οφείλουν να την εκμεταλλευτούν προς το συμφέρον των πελατών τους αναζητώντας νέα, σύγχρονα, μέσα προστασίας από φαινόμενα ηλεκτρονικής απάτης. Ήδη ορισμένα πιστωτικά ιδρύματα στο πλαίσιο της ενίσχυσης των μέτρων για την προστασία των πελατών τους απέναντι στην απειλή εξαπάτησής τους, έχουν εγκαινιάσει και εφαρμόζουν έναν πρόσθετο προειδοποιητικό μηχανισμό για τον έλεγχο και την επιβεβαίωση, μέσω των κινητών τηλεφώνων των πελατών τους, συναλλαγών ή άλλων ενεργειών που διενεργούν στα ψηφιακά κανάλια. Ο νέος μηχανισμός, ενεργοποιείται, υπό συνθήκες, σε ορισμένες συναλλαγές ή άλλες ενέργειες στο i-banking που μπορεί να φαίνονται ασυνήθιστες ή που φέρουν ουσιώδεις ενδείξεις που τις καθιστούν επισφαλείς.

Άλλωστε, βάσει του άρθρου 96 του Ν 4537/2018, οι τράπεζες οφείλουν να εφαρμόζουν ισχυρή ταυτοποίηση του πελάτη, η οποία περιλαμβάνει στοιχεία που συνδέουν δυναμικά τη συναλλαγή με συγκεκριμένο ποσό και συγκεκριμένο δικαιούχο, στις περιπτώσεις που ο πελάτης: α) έχει πρόσβαση στο λογαριασμό πληρωμών του σε απευθείας ηλεκτρονική σύνδεση (on line), β) εκκινεί ηλεκτρονική πράξη πληρωμής και γ) εκτελεί οποιαδήποτε ενέργεια μέσω, εξ αποστάσεως διαύλου, η οποία μπορεί να ενέχει κίνδυνο απάτης στις πληρωμές ή άλλες παραβιάσεις. Οι τράπεζες καλούνται να εφαρμόζουν κατάλληλα μέτρα ασφαλείας με σκοπό την προστασία της εμπιστευτικότητας και της ακεραιότητας των εξατομικευμένων διαπιστευτηρίων ασφαλείας των πελατών τους. Τέλος, δεδομένου ότι παρατηρείται έντονα η διενέργεια ηλεκτρονικών απατών με τη μέθοδο των ιστοσελίδων κλώνων, θα μπορούσε ένα ειδικό τμήμα της τράπεζας να ελέγχει τακτικά στο διαδίκτυο την ύπαρξη απατηλών ιστοσελίδων που προσιδιάζουν στην ιστοσελίδα της τράπεζας, ώστε να τις αναφέρει και όχι απλά να καταργούνται, αλλά να αναζητούνται και οι δημιουργοί και οι διαχειριστές τους, οι οποίοι θα διώκονται σχετικά.
Τα ανωτέρω προτεινόμενα μέτρα τελούν σε πλήρη σύμπνοια με το άρθρο 94 του Ν 4537/2018, βάσει του οποίου οι τράπεζες οφείλουν να καταρτίζουν πλαίσιο με κατάλληλα μέτρα μείωσης κινδύνων και μηχανισμούς ελέγχου για τη διαχείριση των λειτουργικών κινδύνων και των κινδύνων ασφαλείας, που σχετίζονται με τις υπηρεσίες πληρωμών τις οποίες παρέχουν. Ως μέρος του πλαισίου αυτού, οι τράπεζες καλούνται να θεσπίζουν και να διατηρούν αποτελεσματικές διαδικασίες διαχείρισης συμβάντων, μεταξύ άλλων, για τον εντοπισμό και την ταξινόμηση των μεγάλης σημασίας συμβάντων που άπτονται της λειτουργίας και της ασφάλειας. Επίσης, οι τράπεζες οφείλουν να παρέχουν στην ΤτΕ σε ετήσια βάση ή και σε βραχύτερα διαστήματα, επικαιροποιημένη και ολοκληρωμένη αξιολόγηση α) των λειτουργικών κινδύνων και των κινδύνων ασφαλείας που συνδέονται με τις παρεχόμενες υπηρεσίες πληρωμών, καθώς και β) της επάρκειας των μέτρων μείωσης κινδύνων και των μηχανισμών ελέγχου που εφαρμόζονται για την αντιμετώπιση των κινδύνων αυτών.
Σύμφωνα δε, με το άρθρο 95 του Ν 4537/2018, σε περίπτωση μεγάλης σημασίας λειτουργικού συμβάντος ή συμβάντος που αφορά την ασφάλεια, οι τράπεζες οφείλουν να προβούν σε σχετική γνωστοποίηση, χωρίς υπαίτια καθυστέρηση, στην ΤτΕ. Αν το συμβάν επηρεάζει ή μπορεί να επηρεάσει τα οικονομικά συμφέροντα των πελατών της τράπεζας, τότε η τράπεζα ενημερώνει χωρίς υπαίτια καθυστέρηση τους πελάτες της για το συμβάν και για όλα τα μέτρα που μπορούν να λάβουν για τη μείωση των αρνητικών επιπτώσεων του συμβάντος.
Σελ. 3434. Η είσοδος του πελάτη της τράπεζας στο i-banking και η συνήθης συναλλακτική συμπεριφορά του
Είναι ευρέως γνωστό ότι για να εκτελεστεί μία συναλλαγή μέσω i-banking, απαιτείται πρώτον ο πελάτης της τράπεζας να συνδεθεί με τους προσωπικούς του κωδικούς (username και password) στην εφαρμογή τους i-banking και δεύτερον να εγκρίνει την εκτέλεσή της μέσω του κωδικού μίας χρήσης (one time password) που αποστέλλεται στο κινητό του τηλέφωνο. Η είσοδος του πελάτη, με τους προσωπικούς του κωδικούς, στην εφαρμογή του i-banking καλείται από τους ειδικούς της ασφάλειας των πληροφοριών ως πρώτος παράγοντας αυθεντικοποίησης. Η είσοδος του πελάτη της τράπεζας με τους προσωπικούς του κωδικούς στην εφαρμογή του i-banking έχει καθαρά ενημερωτικό και διερευνητικό χαρακτήρα, με την έννοια ότι ο πελάτης της τράπεζας απλώς και μόνο αποκτά εικόνα των λογαριασμών του και των κινήσεών τους υπό τη μορφή χρεοπιστώσεων και για να πραγματοποιήσει οποιαδήποτε συναλλαγή πρέπει να λάβει χώρα και δεύτερος παράγοντας αυθεντικοποίησης που γίνεται με την συμπλήρωση στην ηλεκτρονική συσκευή του κωδικού μίας χρήσης (one time password) που αποστέλλετε στο κινητό τηλέφωνο του πελάτη. Αν ο πελάτης τράπεζας δεν εισήλθε με τους προσωπικούς του κωδικούς ή δεν έλαβε και δεν συμπλήρωσε τον κωδικό μίας χρήσης, τότε μπορεί να ειπωθεί με ασφάλεια ότι δεν πρόκειται για εγκεκριμένη συναλλαγή και είναι βέβαιο ότι οι δράστες εκμεταλλεύτηκαν τα κενά ασφαλείας της τράπεζας για τη τέλεση σε βάρος του πελάτη της ηλεκτρονικής απάτης. Άλλωστε, βάσει του άρθρου 70 του Ν 4537/2018, η τράπεζα έχει την υποχρέωση να διασφαλίζει ότι τα εξατομικευμένα διαπιστευτήρια ασφαλείας (προσωπικοί κωδικοί και κωδικός μίας χρήσης) δεν είναι προσβάσιμα σε τρίτους, παρά μόνο στο πελάτη της και οφείλει να μην αποστείλει μέσο πληρωμής χωρίς προηγούμενο σχετικό αίτημα του πελάτης της. Επομένως, σε αυτές τις περιπτώσεις πρέπει να διερευνηθεί αφενός μεν αν συνδέθηκε ο πελάτης της τράπεζας με τους προσωπικούς του κωδικούς στην εφαρμογή του i-banking, αφετέρου δε αν επιβεβαίωσε τις κρίσιμες συναλλαγές με κωδικό μίας χρήσης. Σε περίπτωση που η απάντηση έστω σε ένα από τα παραπάνω ερωτήματα είναι αρνητική, τότε κάλλιστα μπορεί να στοιχειοθετηθεί υπαιτιότητα της τράπεζας.
Σε κάθε περίπτωση, η τράπεζα πριν εκτελέσει μία συναλλαγή μέσω i-banking για λογαριασμό του πελάτη της, έχει την υποχρέωση να διερευνήσει ορισμένους παράγοντες, όπως το ύψος και ο τύπος της συναλλαγής και αν υπάρχει συμβατότητα με το προφίλ και το ιστορικό των συναλλαγών του πελάτη της. Π.χ. αν ένας πελάτης της τράπεζας κάνει αποκλειστικά εγχώριες συναλλαγές μέχρι 500 ευρώ, η τράπεζα οφείλει να μην εκτελέσει άμεσα μία διακρατική συναλλαγή χιλιάδων ευρώ, αλλά να διερευνήσει περαιτέρω την περίπτωση αυτή. Ένας άλλος παράγοντας που πρέπει να εξεταστεί από την τράπεζα πριν την εκτέλεση της συναλλαγής με i-banking είναι αν υπάρχει οικονομικός ή νόμιμος σκοπός ή υποκείμενη αιτία μεταξύ του πελάτης της και του δικαιούχου του λογαριασμού στον οποίο πρόκειται να μεταφερθούν τα χρήματα. Αν η τράπεζα δεν μπορεί να εντοπίσει οικονομικό ή νόμιμο σκοπό ή υποκείμενη αιτία και η εν λόγω συναλλαγή δεν είναι συνηθισμένη, τότε πρέπει να την θεωρήσει ύποπτη και να απέχει από την εκτέλεσή της και το ειδικό τμήμα της τράπεζας να επικοινωνήσει άμεσα με τον πελάτη της. Τέτοια περίπτωση είναι όταν αναγράφονται περίεργες αιτιολογίες ή φαίνονται ως δικαιούχοι των λογαριασμών που πρόκειται να πιστωθούν τα χρήματα αλλοδαπά φυσικά πρόσωπα που διαμένουν στο εξωτερικό. Η τράπεζα οφείλει να τηρήσει τις ανωτέρω παραμέτρους, λαμβανομένου υπόψη ιδίως και των κανόνων δέουσας επιμέλειας που προβλέπονται για την καταπολέμηση της νομιμοποίησης εσόδων από εγκληματικές δραστηριότητες μέσω του χρηματοπιστωτικού συστήματος.
5. Αμφισβήτηση των επίμαχων συναλλαγών από τον πελάτη της τράπεζας
Βάσει τόσο του προϊσχύσαντος δικαίου (Ν 3862/2010), όσο και υπό το νέο νομοθετικό καθεστώς (Ν 4537/2018), έχει ιδιαίτερη σημασία για τη σταχυολογήσει της ευθύνης της τράπεζας για τη τελεσθείσα σε βάρος του πελάτη της ηλεκτρονική απάτη το γεγονός της άμεσης αμφισβήτησης της επίμαχης συναλλαγής από τον πελάτη προς την τράπεζα. Ειδικότερα, βάσει του άρθρου 71 παρ. 1 του Ν 4537/2018, η τράπεζα έχει την υποχρέωση αποκατάστασης μίας μη εγκεκριμένης ή εσφαλμένα εκτελεσθείσας πράξης πληρωμής στον πελάτη της, εφόσον ο πελάτης προβεί σε σχετική ενημέρωση, χωρίς υπαίτια καθυστέρηση, μόλις αντιληφθεί οποιαδήποτε απατηλή συναλλαγή, και το αργότερο μέσα σε χρονικό διάστημα δεκατριών μηνών από την ημερομηνία χρέωσης. Η ανωτέρω προθεσμία δεν ισχύει όταν η τράπεζα δεν χορήγησε και δεν κατέστησε διαθέσιμες στον πελάτη της τις πληροφορίες για την απατηλή πράξη πληρωμής. Η τράπεζα πρέπει να παρέχει σε διαρκή βάση τη δυνατότητα στον πελάτη της να μπορεί να αμφισβητήσει οιαδήποτε συναλλαγή. Μάλιστα, η τράπεζα είναι υποχρεωμένη να παρέχει στον πελάτη της για δεκαοκτώ μήνες από το συμβάν όλα τα μέσα για την απόδειξη της ενέργειάς του περί αμφισβήτησης της συναλλαγής.
Όπως ήδη αναφέρθηκε, ιδιαίτερο πρακτικό ενδιαφέρον παρουσιάζει το άρθρο 72 του Ν 4537/2018, το οποίο επί περιπτώσεων ηλεκτρονικής απάτης με i-banking προβλέπει νόθο αντικειμενική ευθύνη, ήτοι αντιστροφή του βάρους απόδειξης μεταξύ των εμπλεκόμενων μερών. Ειδικότερα, εφόσον ο πελάτης της τράπεζας αρνείται ότι έχει εγκρίνει εκτελεσθείσα συναλλαγή ή ισχυρίζεται ότι η συναλλαγή εκτελέσθηκε εσφαλμένα, η τράπεζα έχει το βάρος να αποδείξει ότι έχει ταυτοποιηθεί η γνησιότητα της συναλλαγής ή ότι εκτελέστηκε ορθά και δεν επηρεάστη
Σελ. 344κε από τεχνική βλάβη ή άλλη δυσλειτουργία της παρεχόμενης από την τράπεζα υπηρεσίας i-banking. Περαιτέρω, αν ο πελάτης της τράπεζας αρνείται ότι έχει εγκρίνει εκτελεσθείσα συναλλαγή, η χρήση ενός μέσου πληρωμών που έχει καταγραφεί από την τράπεζα, περιλαμβανομένου του παρόχου υπηρεσιών εκκίνησης πληρωμής ανάλογα με την περίπτωση, δεν αποτελεί αναγκαστικά, άνευ ετέρου επαρκή απόδειξη ότι ο πελάτης είχε εγκρίνει την πράξη πληρωμής ή ότι είχε ενεργήσει με δόλο ή δεν είχε εκπληρώσει από πρόθεση ή βαριά αμέλεια την απαιτούμενη γνωστοποίηση περί αμφισβήτησης της συναλλαγής. Η τράπεζα, συμπεριλαμβανομένου, κατά περίπτωση, του παρόχου υπηρεσίας εκκίνησης πληρωμής, πρέπει να παρέχει αποδεικτικά στοιχεία για την απόδειξη απάτης ή βαριάς αμέλειας εκ μέρους του πελάτης της.
Βάσει του άρθρου 73 του Ν 4537/2018, εφόσον ο πελάτης αμφισβήτησε άμεσα την επίμαχη συναλλαγή, η τράπεζα οφείλει να επιστρέψει αμέσως και σε κάθε περίπτωση το αργότερο έως το τέλος της επόμενης εργάσιμης ημέρας στον πελάτη της το χρηματικό ποσό της μη εγκεκριμένης πράξης πληρωμής και να επαναφέρει το χρεωθέντα λογαριασμό του πελάτη της στην πρότερη κατάσταση, χωρίς να αποκλείεται περαιτέρω αποζημίωση με βάση το δίκαιο που διέπει τη σύμβαση παροχής υπηρεσιών πληρωμής. Στο άρθρο 75 του Ν 4537/2018 προβλέπονται ορισμένες εξαιρέσεις από τον πιο πάνω κανόνα που επιχειρούν τον μετριασμό της ευθύνης σε περιπτώσεις που το μέσο πληρωμής έχει απολεστεί ή έχει κλαπεί ή έχει υπεξαιρεθεί, ήδη δε εισήχθη νέα ρύθμιση για τον περαιτέρω περιορισμό της ευθύνης της τράπεζας. Από το σύνολο των ανωτέρω δεδομένων προκύπτει ότι για τη διερεύνηση της υπαιτιότητας της τράπεζας επί ηλεκτρονικής απάτης που συντελέστηκε σε βάρος πελάτη της από τη χρήση του i-banking υπάρχει κατάλληλο νομοθετικό πλαίσιο, από το οποίο μάλιστα δε χωρεί παρέκκλιση, καθότι αποτελεί αναγκαστικό δίκαιο (άρθρο 103 του Ν 4537/2018) και συνεπώς τυχόν αντίθετοι όροι που περιέχονται σε σχετικές συμβάσεις είναι άκυροι και δεν έχουν οποιαδήποτε νομική ισχύ.

V. Καταληκτικές επισημάνσεις
Είναι σαφές ότι τα τελευταία χρόνια η ηλεκτρονική τραπεζική εξελίχθηκε σημαντικά στη χώρα. Το εγχείρημα αυτό «αγκαλιάστηκε» από τους πελάτες των τραπεζών, οι οποίοι εξοικειώθηκαν γρήγορα με το i-banking. Πλην όμως σχεδόν ταυτόχρονα παρατηρήθηκαν χιλιάδες υποθέσεις ηλεκτρονικών απατών, όπου οι δράστες εκμεταλλεύονται τα κενά ασφαλείας των τραπεζών ή/και την έλλειψη προσοχής των χρηστών και αποσπούν κρίσιμες πληροφορίες, τις οποίες χρησιμοποιούν εν αγνοία των χρηστών προβαίνοντας σε μεταφορές χρημάτων από τους λογαριασμούς τους. Είναι πολύ λίγες οι περιπτώσεις όπου οι πελάτες των τραπεζών θα καταφέρουν να ανακτήσουν τα χρήματά τους από τους δράστες, καθώς τα χρήματα μεταφέρονται συνήθως σε «μουλάρια» μεταφοράς χρημάτων (money mules), με αποτέλεσμα η προβληματική να επικεντρώνεται στη στοιχειοθέτηση της ευθύνης μεταξύ της τράπεζας και των πελατών της. Έγινε παραβίαση των συστημάτων ασφαλείας της τράπεζας ή ευθύνεται ο πελάτης της ή υπάρχει συνδυασμός των δύο περιπτώσεων; Μετά την τελεσθείσα ηλεκτρονική απάτη ενήργησε άμεσα ο πελάτης της τράπεζας και πως ανταποκρίθηκε η τράπεζα; Όπως προκύπτει από τη μέχρι σήμερα διαμορφωθείσα νομολογία, δεν μπορεί να δοθεί μία ξερή απάντηση, καθώς υπάρχουν πολλοί επιμέρους παράγοντες και επομένως κάθε υπόθεση πρέπει να κρίνεται in concreto. Σε κάθε περίπτωση, για την απόδοση αστικών ευθυνών σημαντικό ρόλο διαδραματίζει τόσο η κατάσταση πριν το συμβάν, όσο και οι ενέργειες που έλαβαν χώρα αμέσως μετά την ηλεκτρονική απάτη. Επομένως, ο εφαρμοστής του δικαίου καλείται να εντοπίσει τα κρίσιμα πραγματικά περιστατικά για να διαπιστώσει αν πληρούνται οι προϋποθέσεις των εφαρμοζόμενων κανόνων δικαίου και να εκδώσει μία δίκαιη απόφαση. Το έργο αυτό δεν είναι εύκολο, διότι ενίοτε απαιτούνται (και) ειδικές γνώσεις στο τομέα της ασφάλειας των πληροφοριών. Πάντως, το θέμα που πραγματεύεται η μελέτη αυτή είναι εξαιρετικά επίκαιρο, δεδομένου ότι στις 14.02.2023 ψηφίστηκε ο Ν 5019/2023, ο οποίος με το άρθρο 22 τροποποίησε το άρθρο 74 παρ. 1 του Ν 4537/2018 για τον περιορισμό της ευθύνης του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής μέχρι το ποσό των 1.000 ευρώ για τις περιπτώσεις βαριάς αμέλειας. Λόγω της έντασης του φαινομένου των ηλεκτρονικών απατών μέσω i-banking η ως άνω ρύθμιση πριν ακόμα εισαχθεί αναπαράχθηκε από πλήθος δημοσιευμάτων. Έχει προκαλέσει ευλόγως προβληματισμό στη θεωρία α) το γεγονός ότι στην εν λόγω ρύθμιση γίνεται λόγος μόνο για καταναλωτή, με αποτέλεσμα να τίθενται εκ ποδών οι πολύ μικρές επιχειρήσεις καθώς και β) η δημιουργία θυμάτων δύο ταχυτήτων, με την καλλιέργεια αισθήματος αδικίας για τους πελάτες των τραπεζών με ζημία έως 1000 ευρώ, ενώ έντονη ήταν η αντίδραση των ενώσεων καταναλωτών.