Κρίθηκε ότι η τράπεζα δεν έχει λάβει καμία προφύλαξη για να αποτρέπει τέτοιου είδους περιστατικά κι ότι δεν εντόπισε έγκαιρα την κακόβουλη ενέργεια.
Το Μονομελές Πρωτοδικείο Ρόδου έκανε δεκτή την αγωγή πελάτη τράπεζας που είχε πέσει θύμα ηλεκτρονικής απάτης από «spoofed bank website», δηλαδή μια ιστοσελίδα “κλώνο”, της κανονικής ιστοσελίδας της τράπεζας όπου διέθετε τραπεζικό λογαριασμό.
Πως έπεσε θύμα ηλεκτρονικής απάτης ο ενάγων
Τον Οκτώβρη του 2022, ο δικαιούχος του λογαριασμού θέλησε να εισέλθει στο ebanking του προκειμένου να ελέγξει το υπόλοιπο του συνταξιοδοτικού του λογαριασμού και να προβεί σε συναλλαγές.
Σύμφωνα με την dimokratiki.gr, χρησιμοποίησε μηχανή αναζήτησης για να μπει στην ιστοσελίδα της τράπεζας, όπου ως πρώτη επιλογή εμφανίστηκε σελίδα με το όνομα της τράπεζας και την επιλογή να συνδεθεί απευθείας (log in). Σελίδα την οποία και επέλεξε. Μπαίνοντας στο διαδικτυακό περιβάλλον, είδε ότι ήταν ολόιδιο με αυτό που είχε συνηθίσει να βλέπει κάθε φορά που έμπαινε στη σελίδα της τράπεζας, οπότε και δεν του δημιουργήθηκε καμία αμφιβολία. Στην ιστοσελίδα είχε εισέρθει ξανά τον Σεπτέμβρη του ίδιου έτους κι ήταν σίγουρος και την ομοιότητα.
Εισερχόμενος σε αυτή, πληκτρολόγησε τα στοιχεία εισόδου, ήτοι τον Κωδικό Πελάτη και τον Μυστικό Κωδικό Πελάτη και του ζητήθηκε περαιτέρω να καταχωρήσει τον Μοναδικό Μυστικό Κωδικό (One Time Password), προκειμένου να εισέλθει. Τον κωδικό αυτό έλαβε την 28η Οκτωβρίου 2022 και ώρα 10:49:04 με μήνυμα στο κινητό του.
Αφού πληκτρολόγησε αυτόν τον κωδικό, ο οποίος πίστευε ότι απαιτείται για την ταυτοποίηση του, εισήλθε στην ιστοσελίδα, η οποία ωστόσο ακινητοποιήθηκε.
Εξαιτίας της ομοιότητας ο κάτοχος του λογαριασμού πίστευε ότι ακολουθείται η τυπική διαδικασία ώστε να εισέλθει στο διαδικτυακό περιβάλλον της τράπεζας του. Ωστόσο, επρόκειτο για σελίδα-κλώνο, δημιούργημα κάποιον με σκοπό να πάρουν παράνομα τους κωδικούς και να “αδειάσουν” λογαριασμούς όπως αποδείχθηκε.
Βάζοντας τους κωδικούς εισόδου ήταν σαν να τους παρέδιδε στους δράστες, ενώ με την εισαγωγή του 8ψήφιου κωδικού άλλαξε την συσκευή ταυτοποίησης. Αναλυτικότερα, για οποιαδήποτε άλλη ενέργεια σκόπευαν να εκτελέσουν από τον λογαριασμό του, ο κωδικός επιβεβαίωσης και αποδοχής θα πήγαινε σε άλλο κινητό τηλέφωνο και όχι σε αυτό του δικαιούχου – θύματος.
Ο δικαιούχος ενημέρωσε το τηλεφωνικό κέντρο της τράπεζας, υπάλληλος της οποίας του ανέφερε ότι ο ίδιος δεν μπορούσε να προβεί σε κάποια ενέργεια και ότι έπρεπε να ενημερώσει την δίωξη ηλεκτρονικού εγκλήματος, όπως και έπραξε.
Οι δράστες έχοντας πια τους κωδικούς του, μπήκαν στον λογαριασμό του και αφαίρεσαν το ποσό των 37.340 ευρώ. Η έγκριση δόθηκε από την συσκευή η οποία είχε ταυτοποιηθεί προηγουμένως με τον 8ψήφιο κωδικό.
Το δικαστήριο καταλόγισε ελαφρά αμέλεια στον δικαιούχο του λογαριασμού όσον αφορά την παραχώρηση του 8ψήφιου μοναδικού κωδικού αλλά η τράπεζα δεν κατάφερε να αποδείξει ότι ο ενάγων υπέχει ευθύνη για τις τραπεζικές μεταφορές και έτσι έγινε δεκτή η ύπαρξη ευθύνης της κατά τις διατάξεις του ν. 4624/2018. Επίσης αναφέρθηκε ότι η τράπεζα παρότι γνωρίζει το πλήθος των απατών που διαπράττονται με παρόμοιο τρόπο (ήτοι αλλαγή κωδικών πρόσβασης, μαζική μεταφορά κεφαλαίων εντός ολίγων λεπτών και σχεδόν μηδενισμό του υπολοίπου του λογαριασμού), αλλά και της υποχρέωσης επιμέλειας που έχει, δεν έχει λάβει ουδεμία προφύλαξη για την αποτροπή τέτοιων πρακτικών και καθιστά δυνατή και την μελλοντική παρόμοια διάπραξη- τέτοιες δε προφυλάξεις εμφανίζονται ευχερείς (π.χ. τηλεφωνική επικοινωνία με τον δικαιούχο του λογαριασμού, χρονική καθυστέρηση της μετακίνησης των κεφαλαίων) και δύνανται ακόμη και να αποτελέσουν αντικείμενο προγραμματισμού του συστήματος της τράπεζας.
Κρίθηκε πως η τράπεζα παραβίασε την υποχρέωση προειδοποίησης του εντολέα της ενόψει συγκεκριμένου επικείμενου κινδύνου, δεδομένου ότι η κακόβουλη απειλή δεν είχε εξουδετερωθεί, ενώ ίδια φέρει ευθύνη δε και για τον μη έγκαιρο εντοπισμό του, ενώ παρόλο που εντόπισε την εντελώς ασυνήθιστη κίνηση που εμφάνισε εντός δέκα λεπτών ο λογαριασμός του ενάγοντος με μεταβολή του τηλεφωνικού αριθμού με τον οποίο γίνεται η επαλήθευση και με πραγματοποίηση μέσω του νέου αριθμού τεσσάρων συναλλαγών, μεταφορών μεγάλων χρηματικών ποσών σε λογαριασμούς εξωτερικού, θα έπρεπε τουλάχιστον να κινητοποιήσει τους μηχανισμούς ασφαλείας της, εκείνη όχι μόνο δεν κάλεσε τον ενάγονται είτε στον δηλωθέντα από αυτόν τηλεφωνικό αριθμό ή μέσω email όπως πράττουν σε παρόμοιες περιπτώσεις άλλες τράπεζες, αλλά αντιθέτως επέτρεψε και την πραγματοποίηση συναλλαγών.
Το δικαστήριο υποχρέωσε την τράπεζα να καταβάλει στον ενάγοντα το ποσό των 37.290 ευρώ, ως θετική του ζημία, νομιμότοκα από την επίδοση της αγωγής, το ποσό των 1.000 ευρώ, ως αποζημίωση λόγω ηθικής βλάβης, νομιμότοκα από την επίδοση της αγωγής και κήρυξε την απόφαση εν μέρει προσωρινά εκτελεστή και δη για το ποσό των 5.000 ευρώ.