Του Δημήτρη Τσαρούχα*
Τα ηλεκτρονικά μηνύματα που υπόσχονται «επικαιροποίηση στοιχείων», οι ψεύτικες ιστοσελίδες τραπεζών και οι «γνωστοί» που ζητούν βοήθεια μέσω messenger ή άλλων εφαρμογών κοινωνικής δικτύωσης - όλα αυτά - συνθέτουν το σκηνικό μιας ψηφιακής απάτης που εξαπλώνεται με ρυθμούς επιδημίας. Το λεγόμενο phishing (ηλεκτρονικό «ψάρεμα» στοιχείων) έχει μετατραπεί από μεμονωμένο περιστατικό σε καθημερινό φαινόμενο, πλήττοντας χιλιάδες πολίτες στην Ελλάδα και εκατομμύρια σε όλο τον κόσμο.
Η επιτυχία των δραστών δεν οφείλεται τόσο στη δεξιοτεχνία τους στους υπολογιστές ή στην εξοικείωσή τους με την τεχνολογία, όσο στην ικανότητά τους να χειραγωγούν το συναίσθημα. Το μήνυμα που φτάνει στο κινητό ή στο email μοιάζει απολύτως αληθινό: έχει λογότυπα τραπεζών, σωστή γλώσσα, και έναν επείγοντα τόνο: «ο λογαριασμός σας θα μπλοκαριστεί», «επιβεβαιώστε τα στοιχεία σας τώρα». Μόλις ο ανυποψίαστος πολίτης πατήσει στον σύνδεσμο, οδηγείται σε ένα ψηφιακό περιβάλλον-αντίγραφο της πραγματικής ιστοσελίδας, όπου καταχωρεί τα προσωπικά του στοιχεία ή τους κωδικούς e-banking. Από το σημείο εκείνο και έπειτα επέρχεται οικονομική ζημία, καθώς ο δράστης αποκτά άμεση πρόσβαση στους λογαριασμούς του θύματος και αποκομίζει παράνομο περιουσιακό όφελος από την βλαπτόμενη περιουσία του ανυποψίαστου πολίτη.
Πέρα από τις πρόδηλες οικονομικές απώλειες, το phishing αφήνει πίσω του βαθύτερες πληγές καθώς τα θύματά του περιγράφουν αισθήματα ντροπής, θυμού, ανικανότητας. Η απάτη, όμως, δεν κάνει διακρίσεις. Σύμφωνα με ειδικό σε θέματα κυβερνοασφάλειας: «Κατά καιρούς έχουν αποτελέσει θύματα του phishing άνθρωποι όλων των ηλικιών και μορφωτικών επιπέδων καθώς η ψυχολογική πίεση, ο φόβος απώλειας λογαριασμού ή προσωπικών δεδομένων, μπορεί να παρασύρει τον καθένα». Σύμφωνα με εκτιμήσεις τραπεζικών κύκλων, οι απώλειες από τέτοιου είδους επιθέσεις ξεπερνούν ετησίως τα δεκάδες εκατομμύρια ευρώ μόνο στην ελληνική αγορά, ενώ τα περιστατικά καταγγελιών στην ΕΛ.ΑΣ. αυξάνονται κάθε χρόνο με διψήφιο ποσοστό.
Το νομικό πλαίσιο – και τα όριά του
Η ελληνική νομοθεσία δεν αφήνει ατιμώρητη τη διαδικτυακή απάτη. Τα άρθρα 386 και 386 Α του Ποινικού Κώδικα προβλέπουν ποινές για όσους αποσπούν παράνομα περιουσιακό όφελος μέσω εξαπάτησης και μέσω υπολογιστή. Σύμφωνα με αυτά, όποιος με την εν γνώσει του παράσταση ψευδών γεγονότων ως αληθινών, την αθέμιτη απόκρυψη ή παρασιώπηση αληθινών γεγονότων, ή την επέμβασή του σε κάποιο ηλεκτρονικό σύστημα επηρεάζει την διαδικασία επεξεργασίας δεδομένων υπολογιστή, εφόσον μέσω των προαναφερθέντων πράξεων του, καταφέρει να αποκομίσει ο ίδιος ή άλλος παράνομο περιουσιακό όφελος από την βλάβη της περιουσίας του θύματος, τιμωρείται με φυλάκιση έως 5 χρόνια, ποινή η οποία μπορεί να ανέλθει σε κάθειρξη μέχρι 10 έτη σε περίπτωση που η ζημία υπερβαίνει το ποσό των 120.000 ευρώ. Παράλληλα, η προστασία προσωπικών δεδομένων (Ν. 4624/2019 και Γενικός Κανονισμός GDPR) επιβάλλει αυστηρές υποχρεώσεις σε Οργανισμούς που διαχειρίζονται δεδομένα πολιτών και επισύρει αντίστοιχες κυρώσεις.
Όταν κάποιος αντιληφθεί ότι έχει πέσει θύμα απάτης, πρέπει να ενεργήσει όσο πιο άμεσα γίνεται, επικοινωνώντας άμεσα αρχικά με την τράπεζά του, ώστε να ακυρωθεί η κάρτα ή να «παγώσουν» οι λογαριασμοί του, να υποβάλει ένσταση για μη εξουσιοδοτημένες συναλλαγές και να αλλάξει όλους τους κωδικούς πρόσβασης ενεργοποιώντας, όπου είναι δυνατόν, τη διπλή επιβεβαίωση ταυτότητας. Εν συνεχεία, οφείλει να ενημερώσει τη Δίωξη Ηλεκτρονικού Εγκλήματος και, σε ποινικό επίπεδο, εφόσον έχει υποστεί οικονομική ζημία, και να υποβάλει έγκληση κατά αγνώστων για απάτη μέσω διαδικτύου, σύμφωνα με τα οριζόμενα στα άρθρα 386 και 386Α του Ποινικού Κώδικα. Είναι ιδιαιτέρως κρίσιμο να τονιστεί στο σημείο αυτό ότι πρέπει να διατηρηθούν όλα τα αποδεικτικά στοιχεία όπως, μηνύματα, emails, screenshots και αποδείξεις συναλλαγών, ώστε να διευκολυνθεί η διερεύνηση της υπόθεσης. Σε αστικό επίπεδο, δύναται να διεκδικηθεί και αποζημίωση, εφόσον βέβαια προκύπτει υπαιτιότητα τρίτου.
Η κοινωνική απάντηση: εκπαίδευση και ευθύνη
Το κράτος και οι τράπεζες έχουν εντείνει τις εκστρατείες ενημέρωσης, ωστόσο οι ειδικοί υπογραμμίζουν ότι η μάχη κερδίζεται στην παιδεία. Την ίδια στιγμή, οι τράπεζες οφείλουν - όπως προβλέπεται από τον νόμο για την προστασία των καταναλωτών και τις ευρωπαϊκές οδηγίες - να διαθέτουν ισχυρά συστήματα ελέγχου ταυτότητας και μηχανισμούς αποζημίωσης θυμάτων, όπου αποδεικνύεται ότι η απάτη δεν οφείλεται σε αμέλεια του πελάτη, αλλά σε αδυναμία του συστήματος.
Το phishing δεν αποτελεί πλέον απλά μία μορφή απάτης μέσω της τεχνολογίας αλλά ένα κοινωνικό φαινόμενο που δοκιμάζει την εμπιστοσύνη μας στον ψηφιακό κόσμο. Η τεχνολογία εξελίσσεται με γοργούς ρυθμούς και μαζί της εξελίσσονται και οι τρόποι με τους οποίους επιτήδειοι προσπαθούν να βλάψουν τις περιουσίες ανυποψίαστων πολιτών εκμεταλλευόμενοι πολλές φορές την βιασύνη τους και την δικαιολογημένη – μέχρι ενός βαθμού – ανθρώπινη αφέλεια. Όπως λένε οι ειδικοί, «η ασφάλεια στο διαδίκτυο ξεκινά από εμάς». Γιατί στο τέλος, το πιο ισχυρό «τείχος προστασίας» δεν είναι το λογισμικό, αλλά η κρίση του ίδιου του πολίτη.
*Ο Δημήτρης Τσαρούχας (dimitristsaro@gmail.com) είναι δικηγόρος, μέλος του «Ομίλου Νομικών Σ.Προβατά -Μ.Αθανασάκη»