ΚΑΤΑΔΙΚΗ ΤΡΑΠΕΖΑΣ ΣΕ ΑΠΟΖΗΜΙΩΣΗ ΛΟΓΩ ΥΠΟΚΛΟΠΗΣ 400.000€ ΑΠΟ ΛΟΓΑΡΙΑΣΜΟ ΠΕΛΑΤΩΝ ΜΑΣ, ΠΟΥ ΕΠΕΣΑΝ ΘΥΜΑΤΑ ΗΛΕΚΤΡΟΝΙΚΗΣ ΑΠΑΤΗΣ

Με την υπ’ αριθ. 43542/2025 απόφαση του Πολυμελούς Πρωτοδικείου Θεσσαλονίκης έγινε δεκτή η αγωγή των εντολέων μας κατά τράπεζας, που αφορούσε σε μη εγκεκριμένη μεταφορά ποσού 400.000 ευρώ από τον τραπεζικό τους λογαριασμό, έπειτα από ηλεκτρονική απάτη τύπου “phishing”.

Ειδικότερα, άγνωστος δράστης προσποιούμενος τον λογιστή των πελατών, απέσπασε τηλεφωνικά τον αριθμό της τραπεζικής τους κάρτας, καθώς και εξαψήφιους κωδικούς, χρησιμοποιώντας τα στοιχεία αυτά για αλλαγή των κωδικών πρόσβασης στο web-banking και για καταχώρηση νέας συσκευής κινητού τηλεφώνου. Έτσι, απέκτησε πλήρη πρόσβαση στον λογαριασμό και χρήση των υπηρεσιών του web-banking, με κωδικούς που πλέον λάμβανε ο ίδιος στη νέα συσκευή, έχοντας έτσι τη δυνατότητα να παρέχει όλες τις εγκρίσεις για τις συναλλαγές που πραγματοποιούνται από τον λογαριασμό. Στη συνέχεια, με μία μόνο συναλλαγή προέβη σε μεταφορά ποσού 400.000 ευρώ σε λογαριασμό τρίτου προσώπου.

Η τράπεζα, χωρίς να διαπιστώσει την παραβίαση ασφαλείας και την ασυνήθιστη αυτή δραστηριότητα, επέτρεψε τη συναλλαγή, η οποία είχε εγκριθεί από τον άγνωστο δράστη και όχι από τους δικαιούχους του λογαριασμού. Παρά τις επανειλημμένες οχλήσεις και αιτήματα αμφισβήτησης, η τράπεζα αρνήθηκε να αποκαταστήσει τη ζημία, αποδίδοντας την ευθύνη στους πελάτες - εντολείς μας.

Το Δικαστήριο ανέλυσε εκτενώς τις διατάξεις του Ν. 4537/2018 που ενσωματώνει την Οδηγία (ΕΕ) 2015/2366 σχετικά με τις υπηρεσίες πληρωμών, καθώς και τις αρχές της νόθου αντικειμενικής ευθύνης των παρόχων υπηρεσιών πληρωμών, κρίνοντας ότι:

• Η τράπεζα φέρει το βάρος απόδειξης της γνησιότητας και της έγκρισης της συναλλαγής (άρθρο 72 Ν. 4537/2018).
• Μόνη η χρήση του μέσου πληρωμής (λ.χ. καταχώρηση κωδικών) δεν αρκεί για να τεκμηριώσει έγκριση του χρήστη.
• Η τράπεζα όφειλε να εφαρμόζει “ισχυρή ταυτοποίηση” και να διαθέτει σύγχρονα, λειτουργικά συστήματα ασφαλείας.
• Ο πελάτης απαλλάσσεται από την ευθύνη εφόσον δεν ενήργησε με δόλο ή βαριά αμέλεια. Στην προκειμένη περίπτωση η συμπεριφορά των εναγόντων κρίθηκε ελαφρώς αμελής.
• Η τράπεζα παραβίασε τις υποχρεώσεις πρόνοιας και ασφάλειας που απορρέουν από τον Ν. 4537/2018, το άρθρο 8 Ν. 2251/1994 για την προστασία των καταναλωτών, το άρθρο 288 ΑΚ και από τις διατάξεις περί αδικοπραξίας.

Ειδικότερα, το Δικαστήριο δέχθηκε ότι η τράπεζα δεν εξασφάλισε ασφαλές σύστημα ηλεκτρονικών πληρωμών και δεν προειδοποίησε εγκαίρως τους πελάτες της για τη συναλλαγή, την οποία όφειλε να εντοπίσει ως ασυνήθιστη και ύποπτη και να την εμποδίσει ή να προχωρήσει σε αυστηρότερη ταυτοποίηση, λ.χ. με τηλεφωνική κλήση προς αυτούς.

Άλλωστε, οι πελάτες δεν είχαν πραγματοποιήσει στο παρελθόν ανάλογη συναλλαγή, ενώ εντός μόλις τριάντα πέντε λεπτών πραγματοποιήθηκε αλλαγή των κωδικών πρόσβασης, εγγραφή νέας συσκευής, ενεργοποίηση της υπηρεσίας Push Notifications στη νέα συσκευή, η οποία δεν είχε χρησιμοποιηθεί ποτέ στο παρελθόν από τους δικαιούχους του λογαριασμού, καταχώριση του λογαριασμού στον οποίο έγινε η μεταφορά ως «φιλικού» και τέλος μεταφορά σε αυτόν ποσού 400.000 ευρώ με μία συναλλαγή.

Περαιτέρω, κρίθηκε ότι η τράπεζα δεν έλαβε όλα τα μέτρα πρόνοιας και ασφάλειας που μπορούσε να λάβει, κατά τρόπο ώστε οι παρεχόμενες από αυτήν υπηρεσίες να μη θέτουν σε κίνδυνο τα συμφέροντα των καταναλωτών.

Επίσης, κρίθηκε ότι η συμπεριφορά της τράπεζας συνιστά και αδικοπραξία, υπό την έννοια της παράνομης και υπαίτιας παράλειψης των επιβαλλόμενων από το νόμο ενεργειών.

Και τούτο διότι η τράπεζα επέδειξε βαριά αμέλεια, αφού δεν έλαβε ολοκληρωμένα και βελτιωμένα μέσα προστασίας με σκοπό την πληρέστερη προστασία των πελατών της από κακόβουλες επιθέσεις και διαδικτυακές απάτες. Επίσης, δεν τήρησε τις υποχρεώσεις διαφώτισης, ορθής ενημέρωσης και προειδοποίησης των καταναλωτών-πελατών της, καθώς παρέλειψε να τους ενημερώσει επαρκώς για τις προσπάθειες υποκλοπής των προσωπικών τους στοιχείων. Μόνη η ανάρτηση στην ιστοσελίδα της πρακτικών συμβουλών και οδηγιών για ασφαλείς συναλλαγές δεν αποτελεί επαρκή ενημέρωση. Το γεγονός δε ότι η τράπεζα προέβη μετά το περιστατικό σε σημαντική ενημέρωση προς τους καταναλωτές για την προσοχή που πρέπει να δείχνουν σε απάτες όπως η επίμαχη, δείχνει ότι το κρίσιμο χρονικό διάστημα δεν είχε λάβει όλα τα μέτρα ασφαλείας.

Η συμπεριφορά της τράπεζας κρίθηκε επιπροσθέτως παράνομη ως αντίθετη στον Ν. 4537/2018, στον Ν. 2251/1994, στις αρχές της καλής πίστης και των συναλλακτικών ηθών, και στο κατά το άρθρο 914 ΑΚ επιβαλλόμενο γενικό καθήκον να μη ζημιώνει κάποιος τον άλλον υπαιτίως.

Παράλληλα, το Δικαστήριο απέρριψε τον ισχυρισμό περί συντρέχοντος πταίσματος των πελατών, κρίνοντας ότι η ευθύνη της ενάγουσας ΔΕΝ φθάνει τα όρια της βαριάς αμέλειας, λόγω της πλάνης στην οποία βρισκόταν θεωρώντας ότι συνομιλεί με πρόσωπο της εμπιστοσύνης της.

Έτσι, το Δικαστήριο υποχρέωσε την τράπεζα να αποκαταστήσει πλήρως την οικονομική ζημία των εναγόντων ύψους 356.672,63 ευρώ, που αντιστοιχεί στο ποσό που δεν κατέστη εφικτό να ανακτηθεί, ενώ έκανε δεκτή και την αξίωση για χρηματική ικανοποίηση λόγω ηθικής βλάβης ποσού 10.000 ευρώ σε κάθε συνδικαιούχο του λογαριασμού.

Η απόφαση αποτελεί σημαντικό νομολογιακό προηγούμενο για την προστασία των χρηστών υπηρεσιών web-banking έναντι των τραπεζών σε περιπτώσεις ηλεκτρονικής απάτης και παραβίασης συστημάτων ασφαλείας, ενισχύοντας την αρχή, ότι η ευθύνη για τη γνησιότητα των συναλλαγών βαρύνει τον πάροχο και όχι τον καταναλωτή.

Η απόφαση είναι δημοσιευμένη στην ΤΝΠ Ισοκράτης και στην ΤΝΠ Nomos.