Τι συμβαίνει όταν ο κάτοχος μιας κάρτας παραπλανάται και παραχωρεί τα στοιχεία του σε κυβερνοεγκληματίες; Πότε ευθύνεται ο ίδιος και πότε η τράπεζα;
Η τύχη δεν ήταν με το μέρος του Αντώνη Ανηψητάκη. Τον Ιούλιο του 2022, ένα ζευγάρι Αμερικανών ενοικίαζε το Αirbnb της συζύγου του στη Σητεία. Οι τουρίστες περίμεναν ένα δέμα από τη Φλόριντα των ΗΠΑ και ο συνταξιούχος πολιτικός μηχανικός προθυμοποιήθηκε να τους βοηθήσει. Δήλωσαν εκείνον ως παραλήπτη. Συμπτωματικά, λίγες ημέρες αργότερα, ο 71χρονος έλαβε ένα e-mail με υποτιθέμενο αποστολέα τα ΕΛΤΑ Courier. «Το δέμα σας έχει αποθηκευτεί στο Κέντρο Διαλογής Αθηνών μέχρι να επιβεβαιώσετε τα στοιχεία σας», έγραφε το απατηλό μήνυμα. Του έδιναν τρεις ημέρες διορία και προειδοποιούσαν ότι έπειτα θα τον χρέωναν με 2,84 ευρώ για κάθε ημέρα αποθήκευσης.
«Τσίμπησα»
Όπως ανεφέρεται σε ρεπορτάζ του Γιάννη Παπαδόπουλου στην ΚΑΘΗΜΕΡΙΝΗ, ο κ. Ανηψητάκης ακολούθησε τις οδηγίες στο e-mail, μεταφέρθηκε σε μια απατηλή ιστοσελίδα-κλώνο της τράπεζάς του και καταχώρισε τα στοιχεία της κάρτας του. Σε λιγότερο από τρεις ώρες πραγματοποιήθηκαν τέσσερις μεταφορές χρημάτων δίχως τη δική του έγκριση. Εχασε 5.674 ευρώ, ποσό που αποτελούσε μέρος του εφάπαξ του.
«Μου ήρθε ένα μήνυμα που είχε σταλεί μαζικά σε πολλούς και τσίμπησα», λέει. «Ολες αυτές οι κινήσεις της κάρτας, όμως, ήταν εντελώς ασυνήθιστες. Δεν θα έπρεπε ένα σύστημα να χτυπάει κουδουνάκια;». Προσέφυγε στα αστικά δικαστήρια κατά της τράπεζας και πρόσφατα δικαιώθηκε σε πρώτο βαθμό. Στις 15 Μαΐου 2026, το Μονομελές Πρωτοδικείο Λασιθίου έκρινε ότι πρέπει να του επιστραφούν τα χρήματα. Η τράπεζα έχει δυνατότητα έφεσης.
Είχε προηγηθεί στις 21 Απριλίου 2026 μια απόφαση του Μονομελούς Πρωτοδικείου Αθηνών για παρόμοιο συμβάν. Σε αυτήν την περίπτωση, στη θέση του θύματος βρισκόταν ένα διαγνωστικό εργαστήριο στην Ξάνθη. Οι κυβερνοεγκληματίες κατάφεραν τον Οκτώβριο του 2022 να αποκτήσουν πρόσβαση στον εταιρικό λογαριασμό του εργαστηρίου και να αποσπάσουν 75.000 ευρώ. Το ποσό διοχετεύθηκε με 14 εμβάσματα σε λογαριασμούς στην Ιρλανδία, στη Γερμανία, στην Κύπρο και στη Λιθουανία.
Το σκεπτικό του δικαστηρίου στην Αθήνα εμφανίζει ομοιότητες με την αντίστοιχη απόφαση στη Σητεία. Στα δικαστικά έγγραφα που είναι στη διάθεση της «Κ» σημειώνεται ότι η τράπεζα έχει υποχρέωση να διερευνήσει το ύψος και τον τύπο της συναλλαγής, καθώς και εάν υπάρχει συμβατότητα με το προφίλ και το ιστορικό του πελάτη της για να ανιχνεύσει τυχόν υποψία απάτης. Σύμφωνα με πληροφορίες της «Κ», αυτές δεν είναι οι μοναδικές πρόσφατες πρωτοβάθμιες δικαστικές κρίσεις που δικαιώνουν θύματα ηλεκτρονικής απάτης έναντι τραπεζών.
Η «βαριά αμέλεια»
Οι κινήσεις των δραστών στην περίπτωση του κ. Ανηψητάκη ήταν μεθοδικές. Αρχικά εκείνος μοιράστηκε εν αγνοία του το όνομα χρήστη και τον κωδικό πρόσβασης στο mobile banking του. Οι κυβερνοεγκληματίες προχώρησαν έπειτα στην καταχώριση δικού τους κινητού τηλεφώνου ώστε να λαμβάνουν οι ίδιοι και όχι εκείνος όλες τις ειδοποιήσεις. Επειτα ζήτησαν τη λήψη των αναλυτικών στοιχείων της κάρτας (αριθμό, ημερομηνία λήξης, CVV), άλλαξαν το όριο συναλλαγής από 1.500 ευρώ σε 10.000 ευρώ, μετέφεραν χρήματα από άλλους συνδεδεμένους λογαριασμούς στους οποίους ο 71χρονος ήταν μοναδικός δικαιούχος ή συνδικαιούχος και προχώρησαν σε έξι ηλεκτρονικές αγορές. Μόνο οι δύο τελευταίες, ύψους 140 ευρώ και 330 ευρώ, ακυρώθηκαν από την τράπεζα.
Επιχειρώντας να αντικρούσει τους ισχυρισμούς του ενάγοντος η τράπεζα υποστήριξε ότι η διαρροή των στοιχείων οφείλεται σε δική του απροσεξία. Επισήμανε ότι ο 71χρονος είχε παρακολουθήσει το 2019 ενημερωτική καμπάνια για την κυβερνοασφάλεια και όφειλε να μην επιτρέψει τη διαρροή των μυστικών κωδικών του. Σημείωσε ότι ο ενάγων αγνόησε ειδοποιήσεις ασφαλείας που του είχαν σταλεί και ότι η τράπεζα δεν είχε τη δυνατότητα να μπλοκάρει τις επίμαχες χρεώσεις.
Ωστόσο, το δικαστήριο έκρινε ότι η εξαπάτηση «οφείλεται σε έλλειμμα στην ασφάλεια των ηλεκτρονικών συστημάτων της τράπεζας». Σύμφωνα με την απόφαση, το θύμα δεν επέδειξε «βαριά αμέλεια», η οποία υφίσταται μόνο στην περίπτωση που ο εξαπατηθείς παράσχει στους δράστες και τον κωδικό μιας χρήσης (OTP). Στην περίπτωση του κ. Ανηψητάκη, οι δράστες είχαν αποκτήσει πρόσβαση στα μηνύματά του και απέσπασαν εκείνοι άμεσα το OTP που του έστειλε η τράπεζα για την καταχώριση νέου κινητού στο mobile banking του. Ακόμη, το δικαστήριο θεώρησε ότι τα πρωτόκολλα ασφαλείας της τράπεζας ενεργοποιήθηκαν καθυστερημένα, με την απόρριψη μόνο των δύο τελευταίων συναλλαγών.
Και στην υπόθεση του διαγνωστικού εργαστηρίου στην Ξάνθη κρίθηκε από το δικαστήριο ότι δεν συντρέχει αμέλεια, καθώς ο νόμιμος εκπρόσωπος της εταιρείας δεν είχε λάβει στο κινητό του τον κωδικό OTP για να εγκρίνει εκείνος τις συναλλαγές.
Δεν ήχησε συναγερμός – «Μου ήρθε ένα μήνυμα που είχε σταλεί μαζικά σε πολλούς και τσίμπησα», λέει o Αντώνης Ανηψητάκης. «Οι κινήσεις της κάρτας, όμως, ήταν εντελώς ασυνήθιστες. Δεν θα έπρεπε ένα σύστημα να χτυπάει κουδουνάκια;».
Τον περασμένο Μάρτιο, με αφορμή μια αντίστοιχη υπόθεση ηλεκτρονικής απάτης που δικάζεται στην Πολωνία, ο γενικός εισαγγελέας του Δικαστηρίου της Ευρωπαϊκής Ενωσης, Αθανάσιος Ράντος, εκτίμησε ότι η τράπεζα υποχρεούται να επιστρέψει άμεσα στον πελάτη το ποσό μιας μη εγκεκριμένης συναλλαγής. Αυτή η επιστροφή, πάντως, δεν έχει οριστικό χαρακτήρα. Οπως ανέφερε στην πρότασή του ο κ. Ράντος, η τράπεζα δύναται να ζητήσει έπειτα πίσω τα χρήματα εάν αποδείξει πρόθεση ή βαριά αμέλεια του θύματος.
Πρόσθετα μέτρα
Τα τελευταία χρόνια, από την πλευρά των τραπεζών έχουν ληφθεί πρόσθετα μέτρα για την αντιμετώπιση περιπτώσεων ηλεκτρονικής απάτης. Από την Ελληνική Ενωση Τραπεζών (ΕΕΤ) επισημαίνεται ότι ένα εξ αυτών είναι η ισχυρή ταυτοποίηση τριών σταδίων (3-factor authentication) για ηλεκτρονικές μεταφορές κεφαλαίων ή πληρωμές με κάρτες από 1.000 ευρώ και άνω, παρότι βάσει της ευρωπαϊκής νομοθεσίας είναι υποχρεωτική η ταυτοποίηση σε δύο βήματα. Ακόμη, από τον Οκτώβριο του 2025 παρέχεται η υπηρεσία ταυτοποίησης του δικαιούχου μεταφοράς πίστωσης για εμβάσματα στην Ελλάδα και στην Ευρωζώνη. Ελέγχεται, δηλαδή, πριν από τη χρέωση του λογαριασμού εάν το IBAN στο οποίο θέλει κάποιος να στείλει χρήματα συμπτίπτει με αυτό του πραγματικού δικαιούχου.
Μια σειρά άλλων μέτρων οδήγησε, κατά την ΕΕΤ, και στη δραστική μείωση των περιστατικών απάτης Caller ID Spoofing. Σε αυτές τις περιπτώσεις, με τη χρήση ειδικών λογισμικών οι κυβερνοεγκληματίες καλούσαν τα θύματα από αριθμούς οι οποίοι παρέπεμπταν σε κάποια ελληνική τράπεζα. Υποδύονταν τα τραπεζικά στελέχη και υφάρπαζαν ευαίσθητα τραπεζικά στοιχεία (κωδικούς πρόσβασης, αριθμούς καρτών, PIN, ΟΤΡ). Από τον Απρίλιο του 2025 ενεργοποιήθηκε σταδιακά η φραγή εισερχομένων κλήσεων από το εξωτερικό (όπου βρίσκεται η πλειονότητα των δραστών) για τηλεφωνικούς αριθμούς τραπεζών. Το αποτέλεσμα, σύμφωνα με την ΕΕΤ, ήταν να μειωθούν τα περιστατικά και από τον Ιούνιο του 2025 έως τον Ιανουάριο του 2026 να μην καταγραφεί νέο.
Σύμφωνα με πηγές από τον τραπεζικό κλάδο, αυτές οι κινήσεις σε συνδυασμό με ενημερωτικές εκστρατείες για την κυβερνοασφάλεια έχουν οδηγήσει σε μείωση των περιπτώσεων εξαπάτησης. Βάσει στοιχείων της ΕΕΤ, το πρώτο τρίμηνο του 2026 μειώθηκαν κατά 16% οι ηλεκτρονικές απάτες (με κάρτες και μεταφορές κεφαλαίων από λογαριασμούς) που οδήγησαν σε απώλειες χρημάτων σε σχέση με την ίδια περίοδο πέρυσι. Για όλο το 2025 η αντίστοιχη μείωση είχε φτάσει στο 35% σε σύγκριση με το 2024.
Από στοιχεία της Τράπεζας της Ελλάδος προκύπτει ότι τα θύματα επωμίστηκαν το μεγαλύτερο βάρος της απώλειας χρημάτων σε ποσοστό 62% για το 2025. Αντίστοιχα, σε ποσοστό 31% επιβαρύνθηκαν με τη ζημία οι τράπεζες των εμπόρων (σε περιπτώσεις ηλεκτρονικής συναλλαγής) και σε ποσοστό 7% οι τράπεζες που εξέδωσαν τις πιστωτικές ή χρεωστικές κάρτες.
Οι συμβουλές
«Οι δράστες “χακάρουν” ανθρώπους. Εκμεταλλεύονται συγκεκριμένες ψυχολογικές αδυναμίες που είναι κοινές σε όλους μας», αναφέρει στην «Κ» ο Ανδρέας Βενιέρης, υπεύθυνος ασφαλείας ηλεκτρονικών συστημάτων. Αρκετά από τα παραπλανητικά μηνύματα δημιουργούν την αίσθηση του επείγοντος με φράσεις όπως: «Ο λογαριασμός σας κλειδώνει σε δύο ώρες» ή «τελευταία ειδοποίηση από ΑΑΔΕ». Ο φόβος των συνεπειών παραλύει την όποια κριτική σκέψη. «Σε άλλα περιστατικά εκμεταλλεύονται την ενστικτώδη συμμόρφωσή μας σε “επίσημους” αποστολείς. Η αναφορά “επίσημη ειδοποίηση” σε ένα παραπλανητικό μήνυμα αφοπλίζει την καχυποψία», παρατηρεί ο κ. Βενιέρης.
Ο ίδιος επισημαίνει ότι κάθε μήνυμα που δημιουργεί πίεση στον παραλήπτη πρέπει να θεωρείται ύποπτο εξ ορισμού. Μία από τις πρώτες κινήσεις θα πρέπει να είναι ο έλεγχος ολόκληρης της διεύθυνσης αποστολής ενός e-mail ή της υποτιθέμενης τραπεζικής ιστοσελίδας στην οποία παραπέμπουν οι δράστες. Ανορθογραφίες ή παύλες θα πρέπει να κινήσουν άμεσα υποψίες.
«Αντί να πατήσει κάποιος το link που λαμβάνει σε κάποιο μήνυμα, θα πρέπει να ανοίξει ο ίδιος τον browser και να πληκτρολογήσει τη διεύθυνση της τράπεζας ή της ιστοσελίδας», εξηγεί ο κ. Βενιέρης. «Εάν λάβει κάποιος ένα “επείγον” μήνυμα από την τράπεζα, θα πρέπει να το κλείσει και να καλέσει μόνος του τον επίσημο αριθμό που βρίσκεται πάνω στην κάρτα του ή στην επίσημη ιστοσελίδα της τράπεζας».
Βασική αρχή, όπως τονίζει, είναι να μην παρασυρθεί ο κάτοχος της κάρτας σε κάποια βεβιασμένη ενέργεια. «Οι επιτιθέμενοι χρειάζονται μόνο μία στιγμή απροσεξίας. Εσείς χρειάζεστε μόνο 30 δευτερόλεπτα σκέψης πριν από κάθε κλικ».
Πηγή : Ανατολή
