Του Δημήτρη Χρ. Αναστασόπουλου

Δεν "κομίζει γλαύκας εις Αθήνας" αν επισημάνει κάποιος το γεγονός ότι η τεχνολογία τρέχει με τέτοιους ρυθμούς που ξεπερνά όχι μόνο το εκάστοτε νομοθετικό πλαίσιο αλλά και τις δυνατότητες των διωκτικών αρχών να παρεμβαίνουν εγκαίρως και να εξιχνιάζουν εγκληματικές πράξεις που λαμβάνουν χώρα χάρη της τεχνολογίας ή μέσω της τεχνολογίας. Ωστόσο, μπορούμε να παραδεχτούμε ότι είναι εντυπωσιακή και η ικανότητα πλέον ορισμένων ανθρώπων να αξιοποιούν τόσο τις δυνατότητες όσο και, ταυτόχρονα, τις αδυναμίες της τεχνολογίας και του διαδικτύου, προκειμένου να αποκομίζουν πολύ μεγάλα κέρδη, προβαίνοντας σε σειρά εγκληματικών πράξεων. Και μάλιστα, χωρίς συχνά να καθίσταται δυνατός ο εντοπισμός και η σύλληψή τους. 

Ιδίως τα τελευταία χρόνια, οι ηλεκτρονικές απάτες φαίνεται να έχουν ξεπεράσει κάθε προηγούμενο, καθώς αποδεικνύεται ότι το διαδίκτυο προσφέρει έναν οικονομικό παράδεισο για εγκληματίες που έχουν τις γνώσεις να εξαπατούν φυσικά και νομικά πρόσωπα, παραβιάζοντας διαδικασίες ασφαλείας και προηγμένα συστήματα πληροφορικής. Μια τέτοια περίπτωση, που απασχολεί συχνά και τις ελληνικές αρχές τα τελευταία χρόνια, είναι η περίπτωση της "SIM swapping" ηλεκτρονικής απάτης. Η ιδιαιτερότητα της περίπτωσης αυτής είναι ότι οι εγκληματίες κατορθώνουν να εξαπατάνε παράλληλα περισσότερα πρόσωπα και εταιρείες: το φυσικό (ή νομικό) πρόσωπο που διαθέτει τον τραπεζικό λογαριασμό, την τράπεζα και την εταιρεία κινητής τηλεφωνίας.

Ειδικότερα, ο τρόπος δράσης των εγκληματιών σε αυτές τις περιπτώσεις ηλεκτρονικής απάτης είναι ο εξής: αρχικώς υποκλέπτουν τα στοιχεία ηλεκτρονικής τραπεζικής σύνδεσης (i-bank) του θύματος, username και password, είτε μέσω απομακρυσμένης πρόσβασης στον υπολογιστή του είτε και με άλλους τρόπους. Παράλληλα, με πλαστή εξουσιοδότηση που αναγράφει τα στοιχεία του θύματος προς κάποιο από τα μέλη του κυκλώματος, μεταβαίνουν σε κατάστημα κινητής τηλεφωνίας, συνήθως σε άλλη πόλη από εκείνη που πραγματικά διαμένει το θύμα, και ζητάνε αλλαγή της κάρτας sim, επειδή δήθεν έχασε το κινητό του ο κάτοχος της τηλεφωνικής σύνδεσης. Όταν αποκτούν τη νέα κάρτα sim, εξαπατώντας τους υπαλλήλους του καταστήματος, συνδέονται άμεσα στον τραπεζικό λογαριασμό του θύματος και πραγματοποιούν μεταφορά του χρηματικού ποσού που έχει ο λογαριασμός σε δικό τους τραπεζικό λογαριασμό, συνήθως κάποιας εταιρείας. Έχοντας, δε, τοποθετήσει την κάρτα sim σε κινητό τους, μπορούν και εγκρίνουν τη συναλλαγή, είτε μέσω του sms (λήψη κωδικών ασφαλείας μιας χρήσης OTP) που στέλνει η τράπεζα είτε μέσω του σχετικού notification. Έτσι, έχουν επιτύχει την ολοκλήρωση της ηλεκτρονικής απάτης "νομότυπα", μέχρι το θύμα είτε να διαπιστώσει ότι η τηλεφωνική του σύνδεση δεν λειτουργεί είτε να μπει στον τραπεζικό του λογαριασμό. Αλλά πλέον είναι ήδη αργά, ο λογαριασμός του πλέον έχει μηδενικό υπόλοιπο. Δυστυχώς, ακόμα και στις περιπτώσεις που το θύμα συνειδητοποιήσει άμεσα τι έχει συμβεί και προβεί σε αμφισβήτηση της συναλλαγής στην τράπεζά του, συνήθως οι τράπεζες αφενός αργούν να ανταποκριθούν στο σχετικό αίτημα και αφετέρου δεν είναι συνεργάσιμες, ως προς την ακύρωση της συναλλαγής ή την αναζήτηση των χρημάτων, με το επιχείρημα ότι δεν ευθύνονται εκείνες για ό,τι συνέβη. 

Τέτοιες περιπτώσεις έχουν κριθεί ήδη τόσο δικαστικά όσο και με αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Έτσι, με πρόσφατη απόφαση του 2025 του Μονομελούς Πρωτοδικείου Αθηνών, οι εναγόμενες εταιρείες παροχής κινητής τηλεφωνίας υποχρεώθηκαν να καταβάλουν στον ζημιωθέντα το σύνολο του ποσού της ζημίας που υπέστη από την εις βάρος του ηλεκτρονική απάτη με τη μέθοδο "sim swapping", επιδικάζοντας επιπλέον και χρηματική ικανοποίηση λόγω ηθικής βλάβης. Στην περίπτωση αυτή, το θύμα ήταν συνδρομητής μεγάλης εταιρείας κινητής τηλεφωνίας και διατηρούσε ηλεκτρονικό λογαριασμό (e-banking) σε επίσης μεγάλη συστηματική τράπεζα, στην οποία είχε δηλώσει τον αριθμό της κινητής του σύνδεσης για τη λήψη κωδικών ασφαλείας μιας χρήσης (OTP). Σε ανύποπτο χρόνο, η κάρτα SIM του έπαψε αιφνιδίως να λαμβάνει και να εκπέμπει σήμα, με αποτέλεσμα να αδυνατεί να πραγματοποιήσει ή να δεχθεί οποιαδήποτε επικοινωνία. Την ίδια ημέρα, ελέγχοντας τον τραπεζικό του λογαριασμό μέσω e-banking, διαπίστωσε ότι είχε πραγματοποιηθεί μη εγκεκριμένη από τον ίδιο μεταφορά χρηματικού ποσού ύψους 25.500 ευρώ, προς άγνωστο σε αυτόν δικαιούχο. 

Κατά την κρίση του Δικαστηρίου, η περίπτωση αυτή συνιστά τυπικό περιστατικό "SIM swapping", καθόσον έλαβε χώρα αντικατάσταση της κάρτας SIM σε κατάστημα δικτύου εταιρείας κινητής τηλεφωνίας χωρίς τη φυσική παρουσία του πραγματικού κατόχου και βάσει καταφανώς πλαστής εξουσιοδότησης. Η αντικατάσταση αυτή επέτρεψε σε άγνωστους τρίτους να αποκτήσουν πρόσβαση στους κωδικούς OTP του θύματος και να προβούν σε μη εγκεκριμένη ηλεκτρονική τραπεζική συναλλαγή. Για το λόγο αυτό, το Δικαστήριο, λαμβάνοντας υπόψη τις προϋποθέσεις της αδικοπρακτικής ευθύνης, επισήμανε ότι η παρανομία δεν απαιτεί κατ’ ανάγκη παραβίαση ρητής ειδικής διάταξης, αλλά αρκεί αντίθεση της συμπεριφοράς στο γενικότερο πνεύμα του δικαίου ή στις επιταγές της έννομης τάξης και, ιδίως, παράβαση της κοινωνικώς επιβεβλημένης γενικής υποχρέωσης πρόνοιας και ασφάλειας στο πλαίσιο της συναλλακτικής δραστηριότητας, ως έκφανση της καλής πίστης και της υποχρέωσης συνεπούς συμπεριφοράς, η οποία συνεπάγεται τη λήψη των αναγκαίων μέτρων επιμέλειας προς αποφυγή πρόκλησης ζημίας σε έννομα αγαθά τρίτων προσώπων. Υπό το πρίσμα αυτό, η πλημμελής τήρηση των διαδικασιών ταυτοπροσωπίας από τους υπαλλήλους του καταστήματος κινητής τηλεφωνίας κατά την αντικατάσταση SIM του θύματος, κρίθηκε ως παράνομη και υπαίτια συμπεριφορά, δεδομένου ότι αφορά γνωστό και προβλέψιμο τρόπο τέλεσης απάτης. 

Περαιτέρω, το Δικαστήριο έκρινε ότι θεμελιώνεται ευθύνη των εναγομένων παρόχων κινητής τηλεφωνίας και βάσει του άρθρου 12 Ν.3471/2006, λόγω παράλειψης λήψης κατάλληλων τεχνικών και οργανωτικών μέτρων για την ασφάλεια των υπηρεσιών και του δημοσίου δικτύου ηλεκτρονικών επικοινωνιών. Η αιτιώδης συνάφεια κρίθηκε με βάση τα διδάγματα της κοινής πείρας, ήτοι ότι η αντικατάσταση SIM αποτελεί πρόσφορο μέσο για την πρόσβαση σε κωδικούς OTP και, συνακόλουθα, για την τέλεση μη εξουσιοδοτημένων συναλλαγών μέσω e-banking. Επίσης, το Δικαστήριο εφάρμοσε το άρθρο 8 Ν.2251/1994 περί ευθύνης του παρέχοντος υπηρεσίες έναντι του καταναλωτή, επισημαίνοντας ότι ο ζημιωθείς υποχρεούται να αποδείξει τη ζημία και την αιτιώδη συνάφεια, ενώ ο πάροχος φέρει το βάρος απόδειξης της έλλειψης παρανομίας και υπαιτιότητας. Στο πλαίσιο αυτό, κρίθηκε ότι οι εναγόμενες εταιρείες παροχής κινητής τηλεφωνίας δεν απέδειξαν ότι οι διαδικασίες ασφαλείας που εφάρμοζαν ανταποκρίνονταν στην ευλόγως προσδοκώμενη προστασία των παρεχόμενων υπηρεσιών. 

Ιδιαίτερη σημασία αποδόθηκε στο ζήτημα της ευθύνης εντός δικτύου καταστημάτων δικαιόχρησης (franchise) εταιρείας κινητής τηλεφωνίας. Το Δικαστήριο έκρινε ότι ο δικαιοπάροχος (franchisor) ευθύνεται εις ολόκληρον για την αδικοπρακτική συμπεριφορά του καταστήματος λιανικής και του εκάστοτε υπαλλήλου του, καθόσον από τη σύμβαση δικαιόχρησης και την πραγματική λειτουργία του δικτύου προέκυπτε σχέση πρόστησης, με δικαίωμα παροχής οδηγιών και εποπτείας, ανεξαρτήτως του τυπικού χαρακτηρισμού του δικαιοδόχου ως ανεξάρτητου επιχειρηματία. 

Εν κατακλείδι, το Δικαστήριο κατέληξε ότι η συγκεκριμένη απάτη "SIM swapping" δεν αντιμετωπίζεται ως ένα τυχαίο έγκλημα τρίτων, άγνωστων δραστών, αλλά ως ένας προβλέψιμος κίνδυνος που ενεργοποιεί συγκεκριμένες υποχρεώσεις ασφάλειας και προστασίας των καταναλωτών των παρόχων κινητής τηλεφωνίας. Ως εκ τούτου, η πλημμελής οργάνωση και εφαρμογή των σχετικών πρωτοκόλλων, σε συνδυασμό με τη δομή και τον τρόπο λειτουργίας του δικτύου δικαιόχρησης (franchise–πρόστηση), οδηγεί σε σαφή καταλογισμό ευθύνης στους κατά νόμον και κατά λειτουργία υπόχρεους. 

Κομβικής σημασίας, άλλωστε, για τις υποθέσεις αυτές είναι οι αποφάσεις 38/2022 και 39/2022 της Ολομέλειας της ΑΠΔΠΧ, με τις οποίες επιβλήθηκαν πρόστιμα ύψους 150.000 ευρώ σε εταιρείες κινητής τηλεφωνίας, καθώς κρίθηκε ότι δεν τηρούσαν τα αναγκαία μέτρα ασφαλείας, ώστε να μην είναι δυνατή η τέλεση αυτού του είδους της ηλεκτρονικής απάτης.  

Συμπερασματικά, είναι δεδομένο ότι το έγκλημα, σε κάθε μορφή του, γνωρίζει, και θα συνεχίσει να γνωρίζει, εξαιρετικά μεγάλη άνθηση στον κόσμο του διαδικτύου και της τεχνολογίας εν γένει. Για το λόγο αυτό, κράτος και εταιρείες θα πρέπει διαρκώς να ενημερώνουν τους κανονισμούς και το νομοθετικό πλαίσιο και, κυρίως, να λαμβάνουν όλα τα αναγκαία τεχνικά μέσα ώστε να αποτρέπεται, άλλως περιορίζεται, αυτή η εγκληματική δράση. Παράλληλα, θα πρέπει να ενημερώνονται διαρκώς και οι πολίτες, ώστε να έχουν προφυλαγμένα με τον καταλληλότερο τρόπο, στο μέτρο πάντα του εφικτού, όλα τα προσωπικά τους δεδομένα. Πρόκειται για μια διαρκή μάχη, που όμως οφείλουμε όλοι, ο καθένας στον τομέα του, να δίνουμε.

*Δικηγόρος Αθηνών