Ηλεκτρονικές απάτες – phishing

Ποιο είναι το νομικό πλαίσιο στην Ελλάδα για την αντιμετώπιση του Caller ID Spoofing; Επαρκεί η υπάρχουσα νομοθεσία για την καταπολέμηση του φαινομένου;

Αντιμετωπίζεται όπως όλες οι άλλες διαδικτυακές και άλλου τύπου απάτες, αφού εδώ το caller ID Spoofing αποτελεί μέθοδο προκειμένου να πειστούν τα θύματα. Κατά τα λοιπά ισχύει ό,τι ισχύει για όλες τις απάτες. Η νομική μεταχείριση του φαινομένου επιχειρείται μέσω του ν. 4537/2018, ο οποίος ρυθμίζει εν γένει το φαινόμενο της υποκλοπής τραπεζικών δεδομένων. Πρόσφατα η Ένωση Ελληνικών Τραπεζών εξέδωσε ανακοίνωση μέσω της οποίας παρέχει προς τους καταναλωτές «κατευθυντήριες γραμμές» προκειμένου να μην πέφτουν θύματα επιτηδείων που επιχειρούν να αποκτήσουν πρόσβαση στα προσωπικά τους δεδομένα και εν τέλει στις τραπεζικές τους καταθέσεις. Η ισχύουσα νομοθεσία κρίνεται εν μέρει ικανοποιητική αλλά εκ του αποτελέσματος φαίνεται πως δεν επαρκεί για να προστατευτεί το καταναλωτικό κοινό από το ηλεκτρονικό έγκλημα το οποίο συνεχώς εξελίσσεται.  Ειδικότερα, ο εν λόγω  νόμος καθιέρωσε – επί παραδείγματι – ευθύνη των τραπεζικών ιδρυμάτων να εγκαταστήσουν τεχνητή νοημοσύνη στα ηλεκτρονικά συστήματά τους, γεγονός που εκ πρώτης κρίνεται ικανοποιητικό στην πραγματικότητα όμως  φαίνεται ότι οι τράπεζες δεν είναι σε θέση να εντοπίζουν εγκαίρως τις ύποπτες συναλλαγές ενώ η εκπαίδευση των υπαλλήλων της δεν επαρκεί  προκειμένου να καθοδηγούν σωστά τους πελάτες των τραπεζών.

Επίσης η εξοικείωση και η γνώση των καταναλωτών ως προς τη χρήση των ηλεκτρονικών συναλλαγών δεν είναι αρκετή ενώ υπάρχει ελλιπής ενημέρωση ως προς αυτού του είδους την εγκληματικότητα και τον τρόπο που αυτή κάθε φορά εξελίσσεται.

Σε περίπτωση τραπεζικής απάτης, έχουν ποινικές συνέπειες οι τράπεζες και οι τηλεπικοινωνιακοί πάροχοι;

Από στη στιγμή που την απάτη διαπράττει τρίτο πρόσωπο εκτός της τράπεζας η τράπεζα δεν έχει ποινικές ευθύνες ούτε ο τηλεφωνικός πάροχος. Υπάρχουν όμως αστικές ευθύνες των τραπεζών να αποζημιώσουν τα θύματα απάτης, βεβαίως, ανάλογα με τις ιδιαίτερες συνθήκες που ισχύουν σε κάθε περίπτωση και με το κατά πόσον η τράπεζα δεν προστάτευσε επαρκώς τους πελάτες της με βάση όσα ορίζει ο νόμος και η ευρωπαϊκή νομοθεσία. Εννοείται πως υπάρχει ποινική ευθύνη αυτών που τήρησαν προσωπικά δεδομένα και αυτά διέρρευσαν και έπεσαν στα χέρια των απατεώνων και στη συνέχεια τα χρησιμοποίησαν,  προκειμένου να εξαπατήσουν τα θύματά τους. Μεγάλο βεβαίως ερώτημα γεννάται και για τους τηλεπικοινωνιακούς παρόχους οι οποίοι  στις περιπτώσεις του caller ID Spoofing και εφόσον έγινε παραποίηση του πραγματικού τηλεφωνικού αριθμού του καλούντος,  μπορούσε τεχνικά να λάβει μέτρα για να μη συμβαίνει.

Ποια μέτρα θα πρέπει να λάβουν οι τράπεζες, προκειμένου να προστατεύσουν τους πελάτες τους από τέτοιου είδους απάτες;

Οι τράπεζες διαχειριζόμενες τις καταθέσεις των καταναλωτών οφείλουν να είναι σε θέση να προστατεύσουν και τα συμφέροντα τους από κακόβουλες συμπεριφορές τρίτων προσώπων, οι οποίες εκδηλώνονται ποικιλότροπως.

Οι τράπεζες οφείλουν να εγκαταστήσουν στα ηλεκτρονικά τους συστήματα τις πιο πρόσφατες τεχνολογικές καινοτομίες. Ειδικότερα, μπορούν να εγκαταστήσουν στα ηλεκτρονικά τους συστήματα τεχνητή νοημοσύνη και ΑΙ, ώστε στις περιπτώσεις που ανιχνεύεται ύποπτη συναλλαγή η οποία πιθανώς να μην έχει πραγματοποιηθεί από τον πραγματικό χρήστη του e-banking αλλά από τρίτο πρόσωπο, θα πρέπει να αναστέλλεται αυτομάτως η λειτουργία του e-banking και να αναζητείται αν πράγματι την συναλλαγή έκανε ο αληθής χρήστης του e-banking και όχι τρίτο – κακόβουλο – πρόσωπο.

Ειδικότερα οι Τράπεζες θα πρέπει:

1. Να εντοπίζουν άμεσα με σύγχρονα τεχνικά μέσα τις ύποπτες συναλλαγές και να τις σταματούν.
2. Να καλούν άμεσα τον πελάτη σε περίπτωση ύποπτης συναλλαγής για να επιβεβαιώσουν αν όντως αυτός επιθυμεί να γίνουν οι συναλλαγές αυτές.
3. Να ενημερώνουν και να προτείνουν στους πελάτες τους για το ημερήσιο και ανά συναλλαγή ανώτατο όριο συναλλαγών και να τους προτρέπουν να το θέτουν σε χαμηλό ποσό.
4. Να κάνουν αποτελεσματικές πανελλήνιες καμπάνιες ενημέρωσης προς το καταναλωτικό κοινό. Φαίνεται ότι δεν αρκούν μόνο τα email. και οι ανακοινώσεις τους.
5. Να εκπαιδεύσουν καλύτερα το προσωπικό τους για να ενημερώνουν τους πελάτες τους και να τους καθοδηγούν σωστά για τις επόμενες ενέργειες που πρέπει να κάνουν τα θύματα τέτοιων απατών.

Πόσο εύκολο είναι να εντοπιστούν οι δράστες μιας τέτοιας απάτης;

Αφού υποβληθεί έγκληση κατ’ αγνώστων και ενημερωθεί η δίωξη ηλεκτρονικού εγκλήματος, ακόμα και αν η μεταφορά των χρημάτων έγινε στο εξωτερικό από απατεώνες που δρουν στο εξωτερικό,  σε πολλές περιπτώσεις μπορούν να εντοπιστούν οι δράστες καθώς και σε ποια τράπεζα και λογαριασμό μπήκαν τα χρήματα καθώς και σε ποιον ανήκει ο λογαριασμός και ποιος έκανε την ανάληψη των χρημάτων. Επομένως, θεωρητικά μπορούν να εντοπιστούν οι δράστες τέτοιας απάτης. Είναι όμως διαφορετικό να αναζητήσεις τα χρήματα από τους ανθρώπους αυτούς, οι οποίοι ενδεχομένως  να μην τα έχουν πια στην κατοχή τους και να  μην έχουν και περιουσιακό στοιχείο για να ικανοποιηθεί το θύμα και διαφορετικό να αναζητήσεις τα χρήματα σου από την τράπεζα, εφόσον βεβαίως ευθύνεται και η τράπεζα.

Τι συμβαίνει αν οι δράστες βρίσκονται στο εξωτερικό; Υπάρχουν διεθνείς συμφωνίες που καλύπτουν τέτοιες περιπτώσεις απάτης;

Είναι διαφορετικό ζήτημα η ποινική ευθύνη αυτών που διαπράττουν το ποινικό αδίκημα και άλλο η ευθύνη των τραπεζών που το επέτρεψαν. Σε κάθε περίπτωση, ακόμα και αν η απάτη έγινε από πρόσωπο στο εξωτερικό,  η τράπεζα εξακολουθεί  να ευθύνεται για τις πράξεις και τις παραλείψεις της,  εφόσον δεν προστάτευσε επαρκώς τους πελάτες της. Υπάρχουν διεθνείς συμφωνίες που καλύπτουν τέτοιες περιπτώσεις, αυτές όμως  δεσμεύουν  όμως μόνο τα συμβαλλόμενα κράτη.

Τι θα πρέπει να κάνει κάποιος αν του ζητήσουν τηλεφωνικά ή διαδικτυακά προσωπικά του δεδομένα;

Θα πρέπει να αρνηθεί να δώσει οποιοδήποτε προσωπικό δεδομένο. Ποτέ δεν θα το ζητήσει κανείς τηλεφωνικά. Να κλείσει το τηλέφωνο και στη συνέχεια να προσπαθήσει να επικοινωνήσει με την τράπεζά του και την  δίωξη ηλεκτρονικού εγκλήματος. Είναι κρίσιμο να μην πανικοβληθεί για να έχει καθαρή σκέψη και να ενεργήσει σύμφωνα με τη λογική και όχι τον πανικό.

Τι θα πρέπει να κάνει αν πέσει θύμα τέτοιας απάτης, ώστε να πάρει πίσω τα χρήματά του;

1. Θα πρέπει να ενημερώσει άμεσα την τράπεζα.
2. Να κάνει άμεσα αίτημα στην τράπεζα για ακύρωση των συναλλαγών που έκανε.
3. Να κάνει αίτημα στην Τράπεζα να του επιστραφούν τα χρήματα.
4. Να κάνει αίτημα για να λάβει τις απομαγνητοφωνημένες συνομιλίες με τους υπαλλήλους της τράπεζας.
5. Να υποβάλει άμεσα έγκληση κατ’ αγνώστων και να ενημερώσει τη δίωξη ηλεκτρονικού εγκλήματος.
6. Να επισκεφθεί δικηγόρο για την παροχή νομικών συμβουλών για τυχόν περαιτέρω ενέργειες όπως εξώδικες δηλώσεις και άσκηση αγωγής κατά της Τράπεζας.