Τις τελευταίες ημέρες έχουν αποσταλεί σε χιλιάδες χρήστες SMS ότι δήθεν δικαιούνται το τρέχον επίδομα καυσίμων (Fuel Pass III), με τα μηνύματα μάλιστα να είναι τόσο αληθοφανή που ακόμη και τεχνολογικά εξοικειωμένοι χρήστες μπερδεύονται. Για την ακρίβεια, χρειάζεται μεγάλη προσοχή, για να παρατηρήσει κανείς ότι το link για την υποτιθέμενη αίτηση δεν λήγει σε gr, αλλά cc και επομένως είναι ύποπτο, αφού δεν προέρχεται από τον επίσημο ιστότοπο του gov.gr.

Αυτό το νέο κύμα μαζικών μηνυμάτων phishing επαναφέρει με εξαιρετική σοβαρότητα το ζήτημα τέτοιου είδους προσπαθειών εξαπάτησης, δεδομένου ότι εδώ δεν έχουμε απλώς μια πρόχειρη απόπειρα εξαπάτησης, αλλά μια μεθοδικά σχεδιασμένη προσέγγιση που μιμείται τη γλώσσα και τη δομή της διοικητικής διαδικασίας.

1

Το πρόβλημα είναι ότι αν και υπάρχει σαφές νομοθετικό πλαίσιο με τον ν. 4537/2018 που ενσωματώνει την Οδηγία PSD2, οι τράπεζες σπάνια αποζημιώνουν οικειοθελώς τον καταθέτη, αν αυτός εξαπατηθεί και δώσει τα τραπεζικά του στοιχεία. Η μόνη ελπίδα του καταθέτη είναι με ξεκάθαρες κινήσεις που θα κάνει άμεσα να αποδείξει ότι δεν στοιχειοθετείται η έννοια της βαριάς αμέλειας εκ μέρους του.

Τι ισχύει με τη βαριά αμέλεια και γιατί οι τράπεζες δεν αποζημιώνουν

Η έννοια της «βαριάς αμέλειας» είναι το πιο κρίσιμο σημείο σε κάθε υπόθεση phishing, γιατί από αυτή εξαρτάται ποιος τελικά θα επωμιστεί τη ζημία. Με βάση τον ν. 4537/2018 (PSD2), όταν μια συναλλαγή δεν έχει εγκριθεί από τον πελάτη, η τράπεζα υποχρεούται κατ’ αρχήν να επιστρέψει τα χρήματα.

Αυτό όμως αλλάζει αν αποδειχθεί ότι ο χρήστης ενήργησε με βαριά αμέλεια, δηλαδή ότι δεν επέδειξε την στοιχειώδη προσοχή που θα αναμενόταν, όπως για παράδειγμα αν κοινοποίησε εύκολα τους προσωπικούς του κωδικούς.

Στην πράξη, εδώ είναι το επίκεντρο όλης της σύγκρουσης. Οι τράπεζες επικαλούνται σχεδόν πάντα τη βαριά αμέλεια για να μην αποζημιώσουν, με το σκεπτικό ότι από μόνη της η πράξη κοινοποίησης των κωδικών συνιστά έλλειψη στοιχειώδους προσοχής, ενώ οι χρήστες υποστηρίζουν ότι εξαπατήθηκαν από ιδιαίτερα πειστικές μεθόδους.

Το θέμα είναι ότι δεν είναι πάντα σαφές πότε κάποιος απλώς έκανε ένα λάθος και πότε θεωρείται ότι ενήργησε τόσο απρόσεκτα ώστε να χάσει την προστασία του νόμου. Οι πρόσφατες περιπτώσεις phishing με «κρατική» μορφή, όπως τα μηνύματα για δήθεν Fuel Pass, κάνουν το όριο αυτό ακόμη πιο θολό, γιατί η απάτη μοιάζει όλο και περισσότερο με κανονική, επίσημη διαδικασία.

Υπό αυτό το πρίσμα, το τι θα κάνει ο χρήστης τις πρώτες ώρες μετά την εξαπάτησή του είναι κρίσιμο, ώστε να αποδείξει πως επιδεικνύει την απαιτούμενη προσοχή και επομένως δικαιούται να αποζημιωθεί.

Το «παράθυρο των 24 ωρών»

Εφόσον ο χρήστης εξαπατηθεί, πατήσει το link για τη δήθεν αίτηση και δώσει τους κωδικούς του, το πρώτο πράγμα που πρέπει να κάνει είναι να ενημερώσει την τράπεζα. Αυτό δεν είναι απλώς μια τυπική υποχρέωση, αλλά συνδέεται άμεσα με τη δυνατότητα ανάκτησης των χρημάτων που έχουν κλαπεί με βάση την αξιολόγηση της συμπεριφοράς του χρήστη. Όσο πιο άμεση είναι η αντίδραση, τόσο δυσκολότερο είναι να υποστηρίξει η τράπεζα ότι υπήρξε βαριά αμέλεια.

Παράλληλα, ιδιαίτερη σημασία έχει και η άμεση προσφυγή στις αρμόδιες αρχές, τόσο στην αστυνομία όσο και στη Δίωξη Ηλεκτρονικού Εγκλήματος. Το λάθος που κάνουν πολλοί εξαπατηθέντες είναι ότι δεν προχωρούν σε καταγγελία, θεωρώντας (και λογικά) ότι οι δράστες είναι σχεδόν αδύνατον να εντοπιστούν. Παρόλο που αυτό όντως ισχύει στις περισσότερες περιπτώσεις, η καταγγελία δεν λειτουργεί μόνο σε επίπεδο εντοπισμού των δραστών, αλλά δημιουργεί και ένα επίσημο αποδεικτικό γεγονός ως προς τον χρόνο και τις συνθήκες της απάτης, το οποίο μπορεί να αξιοποιηθεί σε ενδεχόμενη διαφορά με την τράπεζα ή σε δικαστική διεκδίκηση.

Με τον ίδιο τρόπο, η ενημέρωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αποκτά ιδιαίτερη σημασία όταν έχουν διαρρεύσει προσωπικά στοιχεία, καθώς ενεργοποιεί ένα επιπλέον επίπεδο προστασίας και τεκμηρίωσης της παραβίασης, ιδίως σε περιπτώσεις που η ζημία δεν περιορίζεται μόνο σε χρηματική απώλεια αλλά επεκτείνεται και στη χρήση των δεδομένων του χρήστη.

Η στάση των δικαστηρίων

Το ζητούμενο, φυσικά, είναι να μην χρειαστεί κανείς να αντιδικήσει για χρόνια με την τράπεζα, ώστε να αποζημιωθεί, όμως δυστυχώς η πραγματικότητα αυτή τη στιγμή είναι πως οι τράπεζες σπάνια αποζημιώνουν και οι περισσότερες υποθέσεις ότι επιλύονται δικαστικά είτε οι καταθέτες απλώς παραιτούνται από τις αξιώσεις τους.

Ωστόσο, σε νομολογιακό επίπεδο παρατηρείται μια μετατόπιση υπέρ του καταναλωτή, η οποία μπορεί να ωθήσει και τις τράπεζες σε επανεξέταση της άτεγκτης στάσης τους, ειδικά αν οι καταθέτες επιμένουν για το δικαίωμα αποζημίωσης και δεν παραιτούνται στην πρώτη άρνηση.

Ενώ αρχικά η στάση των δικαστηρίων ήταν πιο αυστηρή έναντι του χρήστη, πλέον διαμορφώνεται σταδιακά μια πιο ισορροπημένη προσέγγιση, η οποία δεν αποδέχεται άκριτα τον ισχυρισμό ότι ο πελάτης φταίει. Τα δικαστήρια δεν εξετάζουν πλέον μόνο το αν ο χρήστης πληκτρολόγησε κωδικούς ή ακολούθησε έναν σύνδεσμο. Αντιθέτως, στρέφονται και προς την πλευρά της τράπεζας, αξιολογώντας το κατά πόσον έχουν ληφθεί επαρκή μέτρα ασφαλείας, αν τα συστήματα ανίχνευσης ύποπτων συναλλαγών λειτουργούν αποτελεσματικά και αν υπήρξε εγκαίρως αντίδραση σε ασυνήθιστη δραστηριότητα.

Χαρακτηριστική είναι περίπτωση απόφασης δικαστηρίου, όπου κρίθηκε ότι η τράπεζα φέρει ευθύνη λόγω ανεπαρκών μηχανισμών ασφαλείας και καταδικάστηκε σε αποζημίωση άνω των 350.000 ευρώ σε πελάτη που είχε πέσει θύμα phishing.

Έτσι, διαμορφώνεται ένα νέο δεδομένο, με τα δικαστήρια να μην δέχονται πλέον εύκολα τη βαριά αμέλεια ως αυτονόητη συνέπεια του phishing, αλλά να την εξετάζουν υπό το πρίσμα των πραγματικών συνθηκών της απάτης, ανοίγοντας έτσι τον δρόμο για μια πιο ουσιαστική προστασία του καταναλωτή.

Αυτό, άλλωστε, είναι η αυτονόητη συνέπεια της μετατόπισης του phishing από το ατομικό επίπεδο σε μια συστηματική πλέον απειλή, όπου συζητιούνται ανοιχτά τυχόν ευθύνες και των τηλεπικοινωνιακών παρόχων.

Το phishing σε νέο δομικό επίπεδο

Η μετατόπιση αυτή δεν είναι τυχαία. Αντανακλά μια βαθύτερη κατανόηση του ίδιου του φαινομένου του phishing. Για χρόνια, η κυρίαρχη αφήγηση ήταν ότι πρόκειται για λάθος του χρήστη, όμως αυτή η προσέγγιση αποδεικνύεται πλέον ανεπαρκής.

Το σύγχρονο phishing και ιδίως οι καμπάνιες τύπου Fuel Pass δεν βασίζεται στην τύχη ή στην απροσεξία. Είναι δομημένη εξαπάτηση. Οι επιτήδειοι αξιοποιούν κρατική ορολογία, αναφορές σε επιδόματα, έννοιες όπως «δικαιούχος», «υποβολή αίτησης» ή «επιβεβαίωση στοιχείων», δημιουργώντας ένα περιβάλλον που μοιάζει απολύτως οικείο στον μέσο πολίτη. Παράλληλα, ενσωματώνουν στοιχεία ψυχολογικής πίεσης, όπως προθεσμίες και ειδοποιήσεις «τελευταίας ευκαιρίας», ενισχύοντας την αίσθηση επείγοντος.

Το αποτέλεσμα είναι ότι ο χρήστης δεν βρίσκεται απλώς μπροστά σε ένα ύποπτο μήνυμα, αλλά μέσα σε ένα πλαίσιο που μιμείται τη λειτουργία του ίδιου του κράτους. Υπό αυτές τις συνθήκες, η έννοια της βαριάς αμέλειας δεν μπορεί να αντιμετωπίζεται απλουστευτικά. Το ερώτημα δεν είναι μόνο τι έκανε ο χρήστης, αλλά και πόσο πειστικό ήταν το περιβάλλον μέσα στο οποίο ενήργησε.

Και βέβαια, αναδύεται ένα ακόμη ερώτημα: Μπορεί να υπάρχει ευθύνη πέρα από την τράπεζα και στους τηλεπικοινωνιακούς παρόχους;

Οι μαζικές αποστολές SMS phishing, πολλές φορές με τεχνικές spoofing που εμφανίζουν το μήνυμα ως μέρος νόμιμης αλυσίδας επικοινωνίας, φέρνουν στο προσκήνιο τον ρόλο των τηλεπικοινωνιακών παρόχων. Μέχρι σήμερα, αυτοί θεωρούνται καταρχήν ουδέτεροι διαμετακομιστές, που απλώς μεταφέρουν την επικοινωνία χωρίς να ευθύνονται για το περιεχόμενό της.

Ωστόσο, η κλίμακα και η επαναληψιμότητα των επιθέσεων δημιουργούν νέα δεδομένα. Όταν παρατηρούνται μαζικά μοτίβα αποστολής, όταν χρησιμοποιούνται εμφανώς ύποπτα domains ή όταν υπάρχουν επαναλαμβανόμενες καταγγελίες, τίθεται εύλογα το ερώτημα αν υπάρχει, ή αν θα έπρεπε να υπάρχει, μια υποχρέωση ενεργητικής πρόληψης ή φιλτραρίσματος.

Ακόμη δεν έχει δοθεί σαφής απάντηση σε αυτό, αν και εξετάζονται νομοθετικές πρωτοβουλίες σε ευρωπαϊκό επίπεδο, για να αντιμετωπιστούν τέτοιου είδους φαινόμενα. Το σίγουρο είναι ότι πλέον η πολυπλοκότητα των επιθέσεων και η τεχνολογική τους εξέλιξη καθιστούν σαφές ότι η προστασία δεν μπορεί να βασίζεται μόνο στην ατομική προσοχή.

Η ελπίδα κάθε εξαπατηθέντος, λοιπόν, είναι να αποδείξει ότι εκείνος ενήργησε συνετά, ενημερώνοντας τους αρμόδιους για το περιστατικό όσο το δυνατόν ταχύτερα, όμως αυτή τη στιγμή και μέχρι νεότερων ρυθμίσεων τέτοιες υποθέσεις βρίσκονται σε γκρίζα ζώνη σχετικά με το επίπεδο και το πρόσωπο ευθύνης.