.

Τετάρτη 29 Αυγούστου 2018

ΔΟΛΙΑ ΧΡΗΣΗ ΔΕΔΟΜΕΝΩΝ ΠΙΣΤΩΤΙΚΗΣ ΚΑΡΤΑΣ ΑΠΟ ΤΡΙΤΟ !!!




Της Ευδοκίας Φουντούκη, 
Δικηγόρου Θεσσαλονίκης, 
ΜΔΕ Εμπορικού & Οικονομικού Δικαίου Νομικής Α.Π.Θ.

Ως μέσο πληρωμής, η πιστωτική κάρτα συγκεντρώνει τα προτερήματα της ευελιξίας και της ταχύτητας, εγκυμονεί παρ’ όλα αυτά και κινδύνους για τον κάτοχο. Συγκεκριμένα, αποστέλλοντας ο καταναλωτής με ηλεκτρονικό τρόπο τον αριθμό και την ημερομηνία λήξης της κάρτας του στον προμηθευτή, δίνει την «άδεια» να διαβιβαστεί η εντολή πληρωμής, χωρίς να είναι ο ίδιος παρών και χωρίς να κάνει αυτούσια χρήση του δελτίου. Σε αυτή τη διαδικασία διαβίβασης των δεδομένων εντοπίζεται ο κίνδυνος υποκλοπής τους από οποιονδήποτε τρίτο που μπορεί πολύ εύκολα έχοντας πληροφορηθεί τα παραπάνω στοιχεία να χρεώνει τον κάτοχο της κάρτας για δικές του συναλλαγές, χωρίς να απαιτείται γι’ αυτό η πρόσβαση στην κάρτα. Αυτός είναι ο λόγος που παρατηρούνται πολυάριθμες απάτες στις πληρωμές από απόσταση μέσω πιστωτικών καρτών. 

Πράγματι, στον παγκόσμιο ιστό συναντά κανείς πολύ συχνά διαδικτυακές «παγίδες», που σκοπό έχουν να προσελκύσουν τον καταναλωτή μέσω μιας ιδιαίτερα δελεαστικής προσφοράς, με μοναδικό στόχο να του αποσπάσουν τα στοιχεία της κάρτας του. Δεν είναι πάντως λίγες και οι φορές που παρατηρούνται παράνομες χρεώσεις καρτών από τρίτους μετά από απώλεια ή κλοπή του δελτίου. Σε όλες αυτές τις περιπτώσεις, η μη πληροφορηθείσα την υποκλοπή εκδότρια τράπεζα χρεώνει κανονικά το λογαριασμό του κατόχου για τις συναλλαγές που ο τρίτος πραγματοποίησε με συμβεβλημένες επιχειρήσεις. Σε εξαιρετικές περιπτώσεις μάλιστα, εκτός από την οικονομική ζημία που υφίσταται ο κάτοχος από τις αγορές του τρίτου, θα μπορούσε να θεμελιωθεί και ευθύνη του για αποζημίωση της τράπεζας επειδή δεν τήρησε τις συμφωνημένες υποχρεώσεις επιμέλειας, όπως διατήρηση μυστικού του Προσωπικού Αριθμού Αναγνώρισης (PIN) ή φύλαξη της κάρτας από έκθεση στον κίνδυνο κλοπής. Αντίθετα, για τα στοιχεία που αναγράφονται πάνω στην κάρτα δε φαίνεται να προκύπτει υποχρέωση φύλαξης από διαρροή σε τρίτα πρόσωπα, καθώς αυτά γνωστοποιούνται πάντα στις συμβεβλημένες επιχειρήσεις προκειμένου για πληρωμή από απόσταση σε ηλεκτρονικές συμβάσεις. Άρα, δεν μπορεί να θεωρηθεί ότι η περιέλευση αυτών σε γνώση τρίτου συνιστά ταυτόχρονα και παράβαση συμβατικής υποχρέωσης από τον κάτοχο.

Ο κοινοτικός νομοθέτης μπροστά στη διαφαινόμενη αλματώδη διάδοση της χρήσης των ηλεκτρονικών υπολογιστών και του Διαδικτύου ανέλαβε από πολύ νωρίς πρωτοβουλία, προκειμένου να προστατέψει τους αγοραστές από τους προκύπτοντες κινδύνους. Για το λόγο αυτό εξέδωσε τη Σύσταση 97/489, η οποία παρά την έλλειψη δεσμευτικότητάς της ενσωματώθηκε από τον Έλληνα νομοθέτη με την Υ.Α. Ζ1 – 178/2001. Παρ’ όλα αυτά στα υπόλοιπα κράτη-μέλη είναι αμφίβολο ότι έλαβε χώρα ανάλογη εναρμόνιση, με αποτέλεσμα τη διατήρηση της ανασφάλειας των καταναλωτών σχετικά με τις υποχρεώσεις των εκδοτών που προβλέπονται σε κάθε κράτος. Πλήττεται έτσι η εμπιστοσύνη των αγοραστών στις διασυνοριακές συναλλαγές εντός Ευρώπης, με όλα τα δυσμενή για την αγορά αποτελέσματα που αυτό συνεπάγεται. Μέσα σε αυτό το κλίμα ο κοινοτικός νομοθέτης, αφού παρέλειψε να αντιμετωπίσει το ζήτημα με την Οδ. 2000/31 για το ηλεκτρονικό εμπόριο, εξέδωσε τελικά την Οδ. 2007/64 «για τις υπηρεσίες πληρωμών στην εσωτερική αγορά», υποχρεώνοντας τα κράτη να συμμορφωθούν με τις δεσμευτικής ισχύος διατάξεις της. Προστατεύτηκε έτσι με ενιαίο τρόπο στο εσωτερικό της ΕΕ ο καταναλωτής με τη στενή έννοια. Αξιοσημείωτο είναι πάντως ότι ο ενωσιακός νομοθέτης παρείχε την ευχέρεια στους εθνικούς νομοθέτες να μεριμνήσουν και για τις «πολύ μικρές επιχειρήσεις» υπογραμμίζοντας το άξιο προστασίας τους. Για την προσαρμογή της ελληνικής νομοθεσίας ψηφίστηκε, αν και καθυστερημένα, ο ν. 3862/2010 μεταφέροντας σχεδόν αυτούσια τα άρθρα της οδηγίας. Πάντως πρέπει να σημειώσουμε ότι οι ρυθμίσεις του δεν είναι πρωτόγνωρες στη ελληνική έννομη τάξη, αφού όπως είπαμε, η χώρα μας είχε ήδη ενσωματώσει από το 2001 την προηγούμενη Σύσταση 97/489 που περιείχε όμοιες ρυθμίσεις.

Ξεκινώντας την προσέγγιση της Οδ. 2007/64 για τις υπηρεσίες πληρωμών, αρχικά κρίνεται σκόπιμο να αναφέρουμε ότι πρόκειται για νομοθέτημα πλήρους εναρμόνισης, επιλογή που έχει ως απώτερο στόχο τη μέγιστη ενοποίηση της αγοράς στον τομέα της προστασίας των καταναλωτών. Αντικείμενο της ρύθμισης είναι οι «υπηρεσίες πληρωμών» του παραρτήματος εφόσον παρέχονται μέσα στην ΕΕ. Σε αυτές δεν περιλαμβάνονται οι πληρωμές αποκλειστικά σε μετρητά ή με έντυπη επιταγή, ενώ εισάγονται και πολυάριθμες άλλες εξαιρέσεις. Οι διατάξεις της εφαρμόζονται αποκλειστικά στις σχέσεις μεταξύ πληρωτή και φορέα παροχής υπηρεσιών πληρωμών του πληρωτή (σχέση κάλυψης) καθώς και μεταξύ δικαιούχου και φορέα παροχής υπηρεσιών πληρωμών του δικαιούχου(σχέση είσπραξης), ενώ δεν εμπλέκονται καθόλου στη σχέση αξίας μεταξύ πληρωτή και δικαιούχου. Όσον αφορά στο ζήτημα της ασφάλειας των πληρωμών που μας ενδιαφέρει στην παρούσα, στις πληρωμές μέσω διαδικτύου με πιστωτική κάρτα εφαρμόζονται τα άρθρα 54 επ. της Οδηγίας και τα αντίστοιχα 51 επ. του εγχώριου νόμου.

Συγκεκριμένα προβλέπεται ότι σε περίπτωση απώλειας, κλοπής ή υπεξαίρεσης της κάρτας, που είναι και οι πλέον συνήθεις τρόποι υποκλοπής δεδομένων, ή γενικότερα μη εγκεκριμένης χρήσης της, ο καταναλωτής βαρύνεται με την υποχρέωση να «ειδοποιεί αμελλητί» μόλις το πληροφορηθεί, τον εκδότη (άρθ. 53 ν. 3862/2010, άρθ. 56 Οδ. 2007/64). Διαφορετικά, κατά τη νομολογία είναι επιτρεπτή η πλήρης μετακύλιση του κινδύνου στον κάτοχο, αν από υπαίτια βραδύτητα παραλείψει την άμεση προς την τράπεζα αναγγελία της απώλειας. Αυτό απορρέει ακριβώς από την υποχρέωση του νόμιμου κατόχου να διαφυλάξει το δελτίο από την απώλεια, αλλά και αν αυτό συμβεί επιβάλλεται να αποτρέψει τα περαιτέρω δυσμενή αποτελέσματα που θα έχει η βραδύτητα αναγγελίας της απώλειας στην εκδότρια. Αν τελικά πραγματοποιηθεί η μη εγκεκριμένη πράξη, η τράπεζα «υποχρεούται να επιστρέψει αμέσως στον πληρωτή το ποσό της μη εγκεκριμένης πράξης και εφόσον συντρέχει περίπτωση, να επαναφέρει το χρεωθέντα λογαριασμό πληρωμών στην κατάσταση που θα βρισκόταν εάν δεν είχε πραγματοποιηθεί η μη εγκεκριμένη πράξη πληρωμής»(άρθ. 57 ν. 3862/2010, άρθ. 60 Οδ. 2007/64). Από τη μεριά του ο πληρωτής σε τέτοιες περιπτώσεις ευθύνεται μόνο μέχρι το όριο των 150 ευρώ για τις ζημίες που υπέστη, εκτός αν «οι ζημίες αυτές οφείλονται στο γεγονός ότι ενήργησε με δόλο ή δεν εκπλήρωσε μία ή περισσότερες […] υποχρεώσεις του από πρόθεση ή βαριά αμέλεια.», οπότε ευθύνεται για όλη τη ζημία (άρθ. 58 ν. 3862/2010, άρθ. 61 Οδ. 2007/64). Περιορίζεται επομένως η ευθύνη του στα 150 ευρώ για τις ζημίες που θα προκύψουν από τη μη εγκεκριμένη πράξη μέχρι τη στιγμή της γνωστοποίησης της απώλειας στην τράπεζα. Για οποιαδήποτε πράξη λάβει χώρα από το χρονικό αυτό σημείο και μετά, δεν ευθύνεται ούτε για τα 150 ευρώ «εκτός αν ενήργησε με δόλο» (άρθ. 58 παρ. 4 ν. 3862/2010, άρθ. 61 παρ. 4 Οδ. 2007/64), επιλογή που υιοθετήθηκε προκειμένου να παρακινηθούν οι χρήστες να ειδοποιούν άμεσα το φορέα πληρωμών σε περιπτώσεις απώλειας ή μη εγκεκριμένης χρήσης του μέσου πληρωμών. Πάντως, αυτό που συμβαίνει στην πράξη είναι να σταθμίζεται in concreto το μέτρο επιμέλειας που επέδειξε το κάθε μέρος στη συγκεκριμένη περίπτωση και να καταλογίζεται τελικά στον καταναλωτή ποσό μεγαλύτερο ή μικρότερο από 150 ευρώ ανάλογα με το αν το πταίσμα του κριθεί βαρύτερο από αυτό της τράπεζας ή όχι. Συγκεκριμένα , η τράπεζα έχει τη δυνατότητα να αποφύγει τη ζημία αν αποδείξει ότι ο κάτοχος παρέβη τις υποχρεώσεις επιμέλειας που προβλέπονται στη σύμβαση της κάρτας, οπότε μπορεί να προβληθεί κατά του κατόχου αξίωση αποζημίωσης. Δεν αμφισβητείται βεβαίως ότι ο καταναλωτής απαλλάσσεται κατά μείζονα λόγο όταν η ζημία ξεπερνά το επίπεδο της αμέλειας και φτάνει σε περιπτώσεις ανωτέρας βίας.

Τέλος, το βάρος απόδειξης της υπαιτιότητας μη τήρησης των υποχρεώσεων του καταναλωτή αλλά και των δικών της, το φέρει η τράπεζα, στην πρώτη περίπτωση λόγω της εξαιρετικής διατύπωσης («εκτός αν…») και στη δεύτερη βάσει του ΑΚ και του άρθ. 8 του ν. 2251/1994. Ακόμα και το βάρος απόδειξης του χρόνου γνωστοποίησης της απώλειας το φέρει η ίδια, αυτή τη φορά λόγω της δυνατότητάς της για άμεση πρόσβαση στην κίνηση του λογαριασμού και γενικά στα αποδεικτικά της βιβλία. Τυχόν ρήτρα στους ΓΟΣ που προβλέπει αντιστροφή του βάρους απόδειξης, έτσι ώστε ο κάτοχος να πρέπει να αποδείξει ο ίδιος ότι δεν έχει προκαλέσει τη συγκεκριμένη συναλλαγή είναι ανίσχυρη σύμφωνα με το άρθρο 2 του ν. 2251/1994, λόγω «σημαντικής διατάραξης της ισορροπίας των δικαιωμάτων και υποχρεώσεων των συμβαλλομένων σε βάρος του καταναλωτή».

Ποιος φέρει τον κίνδυνο;

Γίνεται φανερό ότι η ζημία που επιφέρουν οι παραπάνω περιπτώσεις υποκλοπής των δεδομένων της κάρτας δεν επιρρίπτεται εκ πρώτης όψεως στον καταναλωτή, αφού η ευθύνη του δεν υπερβαίνει το ποσό των 150 ευρώ αν δεν τον βαραίνει πταίσμα. Σε αυτό το σημείο ανακύπτει το ερώτημα ποιος θα επωμιστεί το βάρος της ευθύνης, ποιος θα είναι δηλαδή αυτός που τελικά θα «πληρώσει». 

Οι επιλογές είναι δύο. Είτε θα δεχτούμε ότι ο κίνδυνος θα παραμείνει στον εκδότη, είτε ότι θα μετακυλιστεί στη συμβεβλημένη επιχείρηση. Είναι γεγονός ότι ο προμηθευτής δεν έχει τη δυνατότητα να ελέγξει πριν την πληρωμή τη γνησιότητα και την ισχύ των στοιχείων που του διαβιβάζονται. Με αυτά τα στοιχεία όμως ζητά από την τράπεζα να του καταβληθεί το «αβέβαιο» από άποψη νομιμοποιήσεως χρέος. Μία αποτελεσματική λύση για την εξυπηρέτηση των αντιτιθέμενων συμφερόντων θα ήταν να λαμβάνει χώρα επικοινωνία της τράπεζας με τον πελάτη πριν την εκτέλεση της εντολής πληρωμής, προκειμένου να επιβεβαιωθεί το νόμιμο της συναλλαγής. Παρ’ όλα αυτά η παραπάνω διαδικασία θα αποστερούσε από τον τρόπο αυτόν πληρωμής τα βασικά πλεονεκτήματά του, όπως είναι η ταχύτητα, η απλότητα και το μικρό κόστος. Γι’ αυτό και η πρακτική αυτή σπάνια ακολουθείται από τις τράπεζες, ίσως μόνο για συναλλαγές μεγάλων χρηματικών ποσών. 

Ως αντιστάθμισμα του κινδύνου, οι τελευταίες εισάγουν με τη μορφή ΓΟΣ έναν πρόσθετο όρο. Συμφωνούν με τις συμβεβλημένες επιχειρήσεις ότι οι εκδότες θα παρέχουν τη δυνατότητα τους προμηθευτές να δέχονται πληρωμές με πιστωτική κάρτα μέσω Διαδικτύου χωρίς να χρειάζεται να ελέγχουν την ταυτότητα του αντισυμβαλλομένου τους, σε αντάλλαγμα όμως θα διατηρούν το δικαίωμα να απαιτήσουν επιστροφή των καταβληθέντων κάθε φορά που ο κάτοχος της κάρτας υπαναχωρήσει από τη συγκεκριμένη σύμβαση και απαιτήσει πίσω το χρηματικό ποσό που του χρεώθηκε. Μετακυλίεται επομένως ο κίνδυνος μη είσπραξης του τιμήματος στις συμβεβλημένες επιχειρήσεις, υπέρ των οποίων η πληρωμή δεν είναι τελικά «εγγυημένη» από τις τράπεζες. Ως προς αυτό τον όρο έχουν βέβαια διατυπωθεί από τους εφαρμοστές του δικαίου επιφυλάξεις για λόγους καταχρηστικότητας. Αλλά ακόμα κι αν η καταχρηστικότητα τεθεί υπό εξέταση, ζήτημα γεννιέται σχετικά με τις διατάξεις που θα εφαρμοστούν για την απόδειξή της. Άλλοι θεωρητικοί θεωρούν την επιχείρηση που χρησιμοποιεί τις τραπεζικές υπηρεσίες ως καταναλωτή, οπότε ελέγχουν τον παραπάνω όρο σύμφωνα με το άρθ. 2 του ν. 2251/1994, ενώ άλλοι προσφεύγουν στις γενικές διατάξεις των άρθ. 179, 281 και 288 ΑΚ, μη δεχόμενοι την ιδιότητα του καταναλωτή για τις επιχειρήσεις αυτές.

Παρ’ όλα αυτά οι τράπεζες δε μένουν αμέτοχες στη δυσμενή κατάσταση που διαμορφώνεται για τις επιχειρήσεις και αναζητούν τρόπους για να εξασφαλίσουν εκ των προτέρων τις επιχειρήσεις και τους καταναλωτές από τις επιπτώσεις της δόλιας χρησιμοποίησης των δεδομένων της κάρτας από μη νομιμοποιούμενους τρίτους. Το πιο απλό μέτρο πρόληψης είναι η αναγραφή ενός κωδικού ασφαλείας στην κάρτα, ο οποίος θα ζητείται πριν από τη διαβίβαση της εντολής πληρωμής και θα καθιστά αδύνατο για τον τρίτο να χρεώσει την κάρτα αν δεν έχει πρόσβαση σε αυτή. Ωστόσο, η πρακτική των τραπεζών έχει αναπτύξει πιο σύνθετα συστήματα κρυπτογράφησης των δεδομένων της κάρτας, όπως το σύστημα SSL (Secure Sockets Layer) που είναι και το πιο συνηθισμένο. Σύμφωνα με αυτό, τα δεδομένα κρυπτογραφούνται βάσει ενός πρωτοκόλλου που συνδέεται με ασφαλή τρόπο με έναν εξυπηρετητή, αποστολή του οποίου είναι να προστατεύει τα διακινούμενα μέσω του διαδικτύου δεδομένα. Τη στιγμή της πληρωμής στο διαδίκτυο εμφανίζεται στην οθόνη του υπολογιστή ένα μήνυμα που πληροφορεί το χρήστη ότι ο τόπος που εισέρχεται είναι ασφαλής. Το μήνυμα συνίσταται συνήθως σε ένα εικονίδιο κλειδαριάς ή κλειδιού. Οι ειδικοί τονίζουν ότι με αυτόν τον τρόπο τα δεδομένα είναι αδύνατο να αποκρυπτογραφηθούν από τρίτο, παρ’ όλα αυτά και πάλι δεν προηγείται ταυτοποίηση του αντισυμβαλλόμενου προσώπου και αρκεί η απλή πληροφόρηση των στοιχείων της κάρτας για να πραγματοποιηθούν ηλεκτρονικές αγορές από μη νομιμοποιούμενο τρίτο. Ίδια λειτουργία επιτελεί και το σύστημα SET (Secure Electronic Transaction), με το οποίο τα στοιχεία κλειδαριθμούνται με αλγόριθμο, σύστημα που αποδεικνύεται πάντως δύσχρηστο τόσο για το χρήστη όσο και για την επιχείρηση.

Τέλος, προς την κατεύθυνση της ασφάλειας των πληρωμών διαμορφώθηκε μια πρόσθετη υπηρεσία από τις τράπεζες που περιλαμβάνει αυτή τη φορά την πιστοποίηση της ταυτότητας του κατόχου. Πρόκειται για το πρότυπο «3D – Secure», που υποστηρίζεται από εταιρίες παγκόσμιας εμβέλειας, όπως Visa ή Mastercard. Όταν ο χρήστης – πληρωτής συναντήσει σε μια ιστοσελίδα αγορών το ειδικό σύμβολο της υπηρεσίας και προβεί στην πληρωμή μέσω πιστωτικής κάρτας, τότε η μεσολαβούσα τράπεζα του προμηθευτή ζητά από την εκδότρια της κάρτας – που υποστηρίζει και αυτή το σύστημα «3D –Secure» - να πιστοποιήσει την ταυτότητα του πελάτη της. Η εκδότρια απευθύνεται τότε στον πελάτη της και του ζητά να συμπληρώσει σε ένα νέο αναδυόμενο παράθυρο «pop up window» τον κωδικό που του έχει χορηγήσει για το σκοπό αυτόν. Με τον τρόπο αυτόν πιστοποιείται η ταυτότητα του χρήστη και καταρτίζεται πλέον η σύμβαση απαλλασσόμενη από τον κίνδυνο πληρωμής από μη δικαιούχο τρίτο.



Δεν υπάρχουν σχόλια :

Δημοσίευση σχολίου

SSL Certificates