Την έντονη αντίδραση της Ένωσης Καταναλωτών Ποιότητα Ζωής (ΕΚΠΟΙΖΩ) προκάλεσαν οι αλλαγές που έγιναν σε άρθρο νομοσχεδίου που έφερε προς συζήτηση η κυβέρνηση στη Βουλή και αφορά την προστασία των καταναλωτών από απάτες (phishing) στις ηλεκτρονικές συναλλαγές και για την υποχρέωση των τραπεζών.
Το άρθρο περιλαμβάνεται στο νομοσχέδιο για την προστασία των καταναλωτών που βρίσκεται υπό συζήτηση στη Βουλή.
Η ΕΚΠΟΙΖΩ καλεί τους βουλευτές να ψηφίσουν την αρχική διάταξη, όπως αυτή τέθηκε στο αρχικό κείμενο της διαβούλευσης προκειμένου να υπάρξει αποτελεσματική προστασία των καταναλωτών.
Υπενθυμίζεται από την οργάνωση των καταναλωτών ότι, συμμετείχε με συγκεκριμένες προτάσεις στο νομοσχέδιο του υπουργείου Ανάπτυξης και Επενδύσεων που είχε τεθεί σε δημόσια διαβούλευση και ειδικότερα μεταξύ άλλων για την ευθύνη των τραπεζών σε ό,τι αφορά τις απάτες (phishing) στις ηλεκτρονικές συναλλαγές και την υποχρέωση των τραπεζών να αποζημιώνουν για ποσά άνω των 1.000 ευρώ τον πελάτη τους που έπεσε θύμα απάτης.
Phishing: Η ανακοίνωση του ΕΚΠΟΙΖΑ για το νομοσχέδιο
Η ΕΚΠΟΙΖΩ σε ανακοίνωσή της αναφέρει τα εξής:
«Με μεγάλη έκπληξη διαπιστώσαμε ότι, στο νομοσχέδιο προς συζήτηση στη Βουλή στο εν λόγω άρθρο έγινε νέα προσθήκη, η οποία είναι άκρως επαχθής για τους καταναλωτές και ακυρώνει τελείως την ευθύνη των τραπεζών, αφού αφήνει στη διακριτική τους ευχέρεια να αποδείξουν ότι διαθέτουν και εφαρμόζουν εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, πράγμα που δεν δύναται να ελέγξει ο καταναλωτής.
»Στην ουσία καθίσταται πρακτικά μη εφαρμόσιμη η αίτηση του καταναλωτή για αποζημίωση και ως εκ τούτου δεν θα είναι προς όφελος του καταναλωτή με κίνδυνο να υπονομεύσει δυσανάλογα το οικονομικό του συμφέρον. Τη ζημία θα πρέπει να αναλάβει η τράπεζα ως έχουσα την ευθύνη για τη υιοθέτηση επαρκών και αποτελεσματικών μέτρων ασφάλειας στα συστήματά της και μόνο σε περίπτωση δόλου να ευθύνεται ο καταναλωτής».
Η οργάνωση των καταναλωτών υπενθυμίζει ότι οι καταγγελίες για τις ηλεκτρονικές απάτες σε τραπεζικούς λογαριασμούς παρουσιάζουν σημαντική αύξηση καθώς, μόνο το 2022 έλαβε πάνω από 600 καταγγελίες, προφορικές και γραπτές, με ζημίες που κυμαίνονται από 300 έως 50.000 ευρώ.
Η ΕΚΠΟΙΖΩ προσθέτει ότι «η όλη προσέγγιση των τραπεζών δεν συνάδει επίσης στο πνεύμα της πρότασης αναθεώρησης της Ευρωπαϊκής Οδηγίας για τις Υπηρεσίες Πληρωμών PSD2 (ν. 4537/2018 “Ευθύνη του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής”), στην οποία οι εθνικές αρχές καλούνται να υιοθετήσουν μια συντονισμένη προσέγγιση για τη ρύθμιση της ευθύνης και της κατανομής ζημιών, όπου τα μεγαλύτερα μέρη της ζημίας μετά από διαδικτυακή οικονομική απάτη θα πρέπει να κατανέμεται από τους καταναλωτές στα χρηματοπιστωτικά ιδρύματα».
Προτάσεις του ΕΚΠΟΙΖΩ
Η ΕΚΠΟΙΖΩ προτείνει να υποχρεωθούν οι τράπεζες να υιοθετήσουν συγκεκριμένες διαδικασίες ασφάλειας και προστασίας των καταναλωτών και των συστημάτων τους ώστε να βελτιώσουν τις εσωτερικές διαδικασίες εξαλείφοντας χρονοβόρες πρακτικές, όπως ενδεικτικά:
- άμεση εξέταση και διευθέτηση των καταγγελιών προκειμένου για τη γρήγορη αποτροπή της απάτης εις βάρος του καταναλωτή.
- ευθύνη της τράπεζας στην περίπτωση μη τήρησης των καθηκόντων επιμέλειάς της προς τον καταναλωτή. Τα καθήκοντα αυτά συνίστανται σε υποχρεώσεις αντίστοιχες προς αυτές του καταναλωτή, δηλαδή στην υποχρέωση συνεχούς εποπτείας και ασφαλείας στο σύστημα και το λογαριασμό και άμεση προειδοποίηση του καταναλωτή, σε περίπτωση που αντιληφθεί κάποια ύποπτη κίνηση εις βάρος του.
- επιπλέον ευθύνη της τράπεζας σε περίπτωση αδράνειας ή καθυστέρησης και της έκθεσης του καταναλωτή στον κίνδυνο απώλειας της περιουσίας του.
- εγκαθίδρυση συστήματος εντοπισμού των ύποπτων συναλλαγών και υιοθέτηση τεχνικών επαλήθευσης της γνησιότητας της εντολής.
- ασφαλείς ηλεκτρονικές πληρωμές με όριο συναλλαγών και σύμφωνα με το προφίλ του πελάτη.
- οι καταναλωτές θα πρέπει να ενημερώνονται σε τακτά διαστήματα για τους κινδύνους που ενέχουν οι ηλεκτρονικές συναλλαγές και να έχουν τη δυνατότητα να προσαρμόζουν τη συμβατική τους σχέση με την τράπεζα, περιορίζοντας ή οριοθετώντας, με βάση και τις ανάγκες τους σε διαδικτυακές τραπεζικές υπηρεσίες.
- περιορισμός της ευθύνης των καταναλωτών με ανώτατο όριο των 1.000 ευρώ και εφόσον η ζημία οφείλεται σε βαριά αμέλεια.
Διαπιστώσεις
Η ΕΚΠΟΙΖΩ αναφέρει ότι οι καταναλωτές αισθάνονται ευάλωτοι, εκτεθειμένοι και θυμωμένοι και προσθέτει τι έχει διαπιστώσει ότι συμβαίνει σε περιπτώσεις απάτης:
- Νομοθετικές ελλείψεις ως προς τη μετακύληση των ζημιών στον πελάτη υπό το πρίσμα της ύπαρξης ή μη βαριάς αμέλειας.
- Κενά και ανεπαρκής τραπεζική ασφάλεια. Οι τράπεζες δεν έχουν καμία εσωτερική διαδικασία για τις εν λόγω περιπτώσεις ούτε κάποια πολιτική διαχείρισης περιστατικών ασφάλειας.
- Οι καταναλωτές αισθάνονται ευάλωτοι, εκτεθειμένοι και θυμωμένοι.
- Μη ενημέρωση για τις επόμενες ενέργειες που θα ήταν σκόπιμο να προβεί άμεσα ο καταναλωτής που έπεσε θύμα απάτης (π.χ. αίτηση αμφισβήτησης στην τράπεζα, μήνυση κατά αγνώστου και κατάθεση της μήνυσης στη Δ/νση Ηλεκτρονικού Εγκλήματος, φραγή του τραπεζικού λογαριασμού και αλλαγή κωδικών κλπ.)
- Οι περισσότεροι καταναλωτές δεν είναι εξοικειωμένοι με τις ηλεκτρονικές συναλλαγές και ως εκ τούτου θα πρέπει η τράπεζα να τους ενημερώνει επαρκώς ώστε να μην εκτίθενται σε κίνδυνο.
- Στις περισσότερες περιπτώσεις οι τράπεζες δεν αποζημιώνουν τα θύματα απάτης. Στις περιπτώσεις της ΕΚΠΟΙΖΩ μόνο στο 5% των θυμάτων επιστράφηκαν χρήματα. Το 95% των περιπτώσεων χάνουν τα χρήματά τους.
- Καθυστερημένη αντίδραση έως και αδιαφορία εκ μέρους των τραπεζών για να σταματήσουν οι ύποπτες δραστηριότητες και αποτυχία ενεργοποίησης του One-Time Password (OTP), που θα απαιτούσε από τους πελάτες τους να εξουσιοδοτήσουν τις συναλλαγές με έναν κωδικό.
- Σε όλες τις περιπτώσεις, οι καταναλωτές που αντιλήφθηκαν την απάτη επικοινώνησαν με την τράπεζα για να ακυρώσουν τις συναλλαγές και το προσωπικό της τράπεζας τους παρέπεμπε να επικοινωνήσουν την επόμενη ημέρα με την αιτιολογία ότι δεν φαινόταν στο σύστημα ακόμα η συναλλαγή.
- Μη χρήση ισχυρών κωδικών ταυτοποίησης από τις τράπεζες.
SMS phishing: Τι πρέπει να προσέξετε για να μην πέσετε θύμα παραπλανητικών μηνυμάτων
Η Εθνική Αρχή Κυβερνοασφάλειας απευθύνει χρήσιμες οδηγίες για την ενίσχυση της ασφάλειας και της ιδιωτικότητας των πολιτών καθώς το τελευταίο διάστημα παρατηρούνται αυξημένες αναφορές για αποστολή παραπλανητικών μηνυμάτων τύπου smishing (SMS phishing).
Το Smishing (γνωστό και ως phishing μέσω SMS) συνιστά μια μορφή απόπειρας ηλεκτρονικής απάτης η οποία πραγματοποιείται μέσω σύντομων μηνυμάτων κειμένου (SMS) μέσω κινητού τηλεφώνου.
Πώς γίνεται μία επίθεση phishing μέσω SMS
Μια επίθεση τύπου smishing εξελίσσεται ως εξής:
- Το θύμα λαμβάνει ένα μήνυμα SMS στο οποίο ο αποστολέας υποδύεται μία αξιόπιστη οντότητα, οργανισμό ή πρόσωπο.
- Το SMS είναι σύντομο, και περιέχει ένα σύνδεσμο (link).
- Κάνοντας κλικ ο ανυποψίαστος χρήστης κατεβάζει στη συσκευή του κακόβουλο λογισμικό (malware) ή ανακατευθύνεται σε παραπλανητική ιστοσελίδα (malicious website) όπου του ζητείται να παραχωρήσει δεδομένα του, όπως ευαίσθητα ιδιωτικά στοιχεία, κωδικούς, στοιχεία ταυτότητας ή διαβατηρίου, τραπεζικό λογαριασμό, τραπεζική κάρτα και άλλα.
Περιστατικά τύπου smishing αντιμετωπίζονται σε παγκόσμια κλίμακα. Ειδικά για την Ελληνική επικράτεια έχουν αναφερθεί κακόβουλα μηνύματα που φαίνεται να αφορούν δήθεν κάποια έκδοση εγγράφου από την Ενιαία Ψηφιακή Πύλη (Gov.gr), ή να έχουν περιεχόμενο φορολογικού ενδιαφέροντος (όπως επιστροφή φόρου), η να προέρχονται από τραπεζοπιστωτικά ιδρύματα, ή ακόμα και από εταιρείες εντοπισμού/παράδοσης δεμάτων.
Τι πρέπει να προσέξετε
Η Εθνική Αρχή Κυβερνοασφάλειας στην ανακοίνωσή της καλεί τους πολίτες να διαχειρίζονται με προσοχή και υπομονή τα SMS και γενικότερα τα μηνύματα που λαμβάνουν ακόμα και αν με μια πρώτη ματιά φαίνονται αληθή. Ειδικότερα συστήνονται τα ακόλουθα μέτρα πρόληψης και προστασίας:
- Δεν θα πρέπει να πατήσετε κανένα σύνδεσμο (link) που περιλαμβάνεται μέσα στο μήνυμα.
- Δε θα πρέπει να απαντάτε και να αντιδράτε βιαστικά σε τέτοια μηνύματα ακόμα και αν παρουσιάζονται ως επείγοντα. Αφιερώστε λίγο χρόνο αναζήτησης στο διαδίκτυο για να διερευνήσετε την γνησιότητα του μηνύματος. Αν είναι δυνατό επικοινωνήστε με τον φερόμενο ως αποστολέα για να επιβεβαιώσετε τη γνησιότητα του.
- Μην δίνετε προσωπικά στοιχεία όπως κωδικούς πρόσβασης, αριθμούς/PIN καρτών, όνομα χρήστη κλπ.
- Σε κάθε περίπτωση η πρόσβαση στον εκάστοτε φορέα δεν πρέπει να πραγματοποιείται μέσω συνδέσμων από κάποιο SMS μήνυμα ή email που λάβατε. Θα πρέπει να γίνεται μέσω της επίσημης ιστοσελίδας του φορέα, του οργανισμού ή της τράπεζας (ή μέσω της επίσημης εφαρμογής στο κινητό).
- Διατηρείτε τη συσκευή σας και τις εφαρμογές σας ενημερωμένες.