• Τι έκρινε το δικαστήριο για θύμα «spoofed bank website» από την Ρόδο
Με απόφαση του Μονομελούς Πρωτοδικείου Ρόδου (τακτική διαδικασία) έγινε δεκτή η αγωγή που άσκησε ένας κάτοικος της Ρόδου, θύμα ηλεκτρονικής απάτης κατά συστημικής τράπεζας.
Ο ενάγων, ο οποίος τυγχάνει συνταξιούχος, είναι δικαιούχος τραπεζικού λογαριασμού που τηρείται στην εναγόμενη.
Την 28η Οκτωβρίου 2022 και σε ώρα μη ακριβώς προσδιορίσιμη, επιχείρησε να εισέλθει στην διαδικτυακή ιστοσελίδα της εναγόμενης προκειμένου να ελέγξει το υπόλοιπο του συνταξιοδοτικού του λογαριασμού και να προβεί σε συναλλαγές.
Προκειμένου να εισέλθει σε αυτήν, πληκτρολόγησε τα στοιχεία της εναγόμενης σε μηχανή αναζήτησης και εμφανίστηκε ως πρώτη επιλογή το «Attikabanklogin».
Τα παραπάνω επιβεβαιώνει στην κατάθεσή της η σύζυγος του ενάγοντος και δεν αμφισβητούνται από την εναγόμενη.
Εν συνεχεία, εισήλθε στην ιστοσελίδα, η οποία δεν φαινόταν να παρουσιάζει καμία διαφορά με το σύνηθες δικτυακό περιβάλλον της ιστοσελίδας της εναγόμενης στο οποίο είχε εισέλθει τελευταία φορά τον Σεπτέμβριο του ιδίου έτους ώστε να μην δημιουργηθεί οποιαδήποτε αμφιβολία στον ενάγοντα ότι πράγματι πρόκειται για την επίσημη ιστοσελίδα της εναγόμενης.
Εισερχόμενος σε αυτή, πληκτρολόγησε τα στοιχεία εισόδου, ήτοι τον Κωδικό Πελάτη και τον Μυστικό Κωδικό Πελάτη και του ζητήθηκε περαιτέρω να καταχωρήσει τον Μοναδικό Μυστικό Κωδικό (One Time Password), προκειμένου να εισέλθει.
Τον κωδικό αυτό έλαβε την 28η Οκτωβρίου 2022 και ώρα 10:49:04 με μήνυμα στο κινητό του.
Αφού πληκτρολόγησε αυτόν τον κωδικό, ο οποίος πίστευε ότι απαιτείται για την ταυτοποίηση του, εισήλθε στην ιστοσελίδα, η οποία ωστόσο ακινητοποιήθηκε.
Ο ενάγων, πίστευε ότι καταχωρώντας τα στοιχεία στην παραπάνω ιστοσελίδα εισερχόταν στο διαδικτυακό περιβάλλον της εναγόμενης, στην πραγματικότητα όμως επρόκειτο για απατηλή ιστοσελίδα τράπεζας (spoofed bank website) που σκοπό είχε να υφαρπάξει προς όφελος τρίτων προσώπων τους κωδικούς i-bank που χρησιμοποιούσε ο ενάγων.
Με την είσοδό του, περιήλθαν σε γνώση αυτών των προσώπων οι κωδικοί εισόδου, ενώ με την καταχώρηση του οκταψήφιου Μοναδικού Μυστικού Κωδικού, οι δράστες πέτυχαν την έγκριση καταχώρησης έτερης συσκευής κινητού τηλεφώνου, που απαιτείται για την ταυτοποίησή του, ώστε να προβούν ευχερέστερα στην μεταφορά των χρηματικών ποσών.
Προέκυψε μεταξύ άλλων πως μάρτυρας ενημέρωσε το τηλεφωνικό κέντρο της τράπεζας, υπάλληλος της οποίας του ανέφερε ότι ο ίδιος δεν μπορούσε να προβεί σε κάποια ενέργεια και ότι έπρεπε να ενημερώσει την δίωξη ηλεκτρονικού εγκλήματος, όπως και έπραξε.
Σημειώνεται ότι η ομοιότητα ανάμεσα στις δύο σελίδες ήταν μεγάλη και ο ίδιος αντιλήφθηκε τη διαφορά, λόγω της εργασίας του ως ηλεκτρονικού μηχανικού και της ενασχόλησής του με το διαδίκτυο (χρησιμοποιούσε 7-8 φορές την εβδομάδα το e-banking της εναγόμενης).
Μετά την καταχώρηση των στοιχείων εισόδου στην ιστοσελίδα, τρίτα πρόσωπα απέκτησαν πρόσβαση στους κωδικούς του ενάγοντος και κατόπιν της καταχώρησης του οκταψήφιου κωδικού από τον τελευταίο και την έγκριση νέας συσκευής πιστοποίησης, οι άγνωστοι δράστες προχώρησαν στην μεταφορά από τον λογαριασμό του ενάγοντος του χρηματικού του ποσού των 37.340, εντός δέκα λεπτών από την καταχώρηση της νέας συσκευής, ώστε σταδιακά ο λογαριασμός του ενάγοντος να απομειωθεί από το αρχικό υπόλοιπο των 37.426,40 στο ποσό των 69,40 ευρώ,
Κρίθηκε ότι τα σφάλματα της πλευράς του ενάγοντος εξαντλούνται στην δυνατότητα που παρείχε στους δράστες της απάτης να μεταβάλουν τα στοιχεία εισόδου και να εισέλθουν στο σύστημα της εναγόμενης ως κατ’ επίφαση δικαιούχοι του λογαριασμού για την οποία και βαρύνεται με ελαφρά αμέλεια.
Ο ενάγων, όπως κρίθηκε, αποδεικνύει ότι φέρει εν μέρει ελαφρά αμέλεια για τις περιουσιακές μετακινήσεις που έλαβαν χώρα, ενώ η εναγόμενη δεν αποδεικνύει το αντίθετο, καθότι δεν επιτυγχάνει να αποδείξει ότι ο ενάγων υπέχει ευθύνη για τις τραπεζικές μεταφορές και έτσι έγινε δεκτή η ύπαρξη ευθύνης της κατά τις διατάξεις του ν. 4624/2018.
Τονίζεται ακόμη ότι η εναγόμενη, παρότι γνωρίζει το πλήθος των απατών που διαπράττονται με παρόμοιο τρόπο (ήτοι αλλαγή κωδικών πρόσβασης, μαζική μεταφορά κεφαλαίων εντός ολίγων λεπτών και σχεδόν μηδενισμό του υπολοίπου του λογαριασμού), αλλά και της υποχρέωσης επιμέλειας που έχει, δεν έχει λάβει ουδεμία προφύλαξη για την αποτροπή τέτοιων πρακτικών και καθιστά δυνατή και την μελλοντική παρόμοια διάπραξη- τέτοιες δε προφυλάξεις εμφανίζονται ευχερείς (π.χ. τηλεφωνική επικοινωνία με τον δικαιούχο του λογαριασμού, χρονική καθυστέρηση της μετακίνησης των κεφαλαίων) και δύνανται ακόμη και να αποτελέσουν αντικείμενο προγραμματισμού του συστήματος της τράπεζας.
Κρίθηκε πως η τράπεζα παραβίασε την υποχρέωση προειδοποίησης του εντολέα της ενόψει συγκεκριμένου επικείμενου κινδύνου, δεδομένου ότι η κακόβουλη απειλή δεν είχε εξουδετερωθεί, ενώ ίδια φέρει ευθύνη δε και για τον μη έγκαιρο εντοπισμό του, ενώ παρόλο που εντόπισε την εντελώς ασυνήθιστη κίνηση που εμφάνισε εντός δέκα λεπτών ο λογαριασμός του ενάγοντος με μεταβολή του τηλεφωνικού αριθμού με τον οποίο γίνεται η επαλήθευση και με πραγματοποίηση μέσω του νέου αριθμού τεσσάρων συναλλαγών, μεταφορών μεγάλων χρηματικών ποσών σε λογαριασμούς εξωτερικού, θα έπρεπε τουλάχιστον να κινητοποιήσει τους μηχανισμούς ασφαλείας της, εκείνη όχι μόνο δεν κάλεσε τον ενάγονται είτε στον δηλωθέντα από αυτόν τηλεφωνικό αριθμό ή μέσω email όπως πράττουν σε παρόμοιες περιπτώσεις άλλες τράπεζες, αλλά αντιθέτως επέτρεψε και την πραγματοποίηση συναλλαγών.
Τούτο διότι, η Τράπεζα, ανάλογα και με το μέγεθος και την φύση της επικείμενης απειλής, υποχρεούται είτε να αντιμετωπίσει και εξουδετερώσει αμέσως κακόβουλες ενέργειες τρίτων, είτε να τις εντοπίσει, να τις απομονώσει και να ειδοποιήσει τους νόμιμους χρήστες, προβαίνοντας σε απενεργοποίηση των λογαριασμών, προς αποφυγή αθέμιτων και μη εγκεκριμένων συναλλαγών – απάτης.
Το δικαστήριο υποχρεώνει την εναγόμενη να καταβάλει στον ενάγοντα το ποσό των 37.290 ευρώ, ως θετική του ζημία, νομιμότοκα από την επίδοση της αγωγής, το ποσό των 1.000 ευρώ, ως αποζημίωση λόγω ηθικής βλάβης, νομιμότοκα από την επίδοση της αγωγής και κήρυξε την απόφαση εν μέρει προσωρινά εκτελεστή και δη για το ποσό των 5.000 ευρώ.
Ο ενάγων εκπροσωπήθηκε από την κ. Ευσταθία Τσατταλιού και η τράπεζα από τον κ. Σπύρο Σαλαμαστράκη.