Advertisement
Η αύξηση των περιστατικών phishing και ηλεκτρονικής τραπεζικής απάτης έχει οδηγήσει τα ελληνικά δικαστήρια σε πιο σύνθετη αξιολόγηση της ευθύνης των τραπεζών και της επιμέλειας των πελατών. Πλέον, η χρήση των προσωπικών κωδικών ή ενός OTP δεν αρκεί από μόνη της για να θεωρηθεί ότι ο πελάτης ενέκρινε πράγματι τη συναλλαγή. Αντίθετα, τα δικαστήρια εξετάζουν αν η τράπεζα είχε εφαρμόσει επαρκείς μηχανισμούς ασφαλείας, ισχυρή ταυτοποίηση, συστήματα εντοπισμού ύποπτων συναλλαγών και άμεση αντίδραση σε ασυνήθιστες μεταφορές χρημάτων.
Σημείο αναφοράς αποτελεί ο Ν. 4537/2018 για τις υπηρεσίες πληρωμών, ο οποίος αντιμετωπίζεται από τη νομολογία ως ειδικό και αναγκαστικό πλαίσιο προστασίας του χρήστη. Στη ΜΠρΑθ 5379/2025, το δικαστήριο έκρινε ότι πράξη πληρωμής που πραγματοποιήθηκε από τρίτο, μετά από εξαπάτηση μέσω ψεύτικης ιστοσελίδας web banking, δεν ήταν εγκεκριμένη, παρότι τεχνικά χρησιμοποιήθηκαν οι μηχανισμοί ταυτοποίησης της τράπεζας. Η τράπεζα υποχρεώθηκε να επιστρέψει στον πελάτη το ποσό των 15.000 ευρώ.
Advertisement
Ιδιαίτερα αυστηρή για τις τράπεζες είναι η ΠΠρΑθ 2071/2024, στην οποία οι ενάγοντες έχασαν 99.200 ευρώ μέσω διαδοχικών εμβασμάτων. Το δικαστήριο έκρινε ότι η τράπεζα δεν αντέδρασε στον ασυνήθιστο όγκο και ρυθμό των συναλλαγών, ούτε ενεργοποίησε επαρκώς μηχανισμούς ελέγχου και πρόληψης ύποπτων συναλλαγών. Της επιδικάστηκε υποχρέωση καταβολής 99.271,70 ευρώ για τη θετική ζημία και 3.000 ευρώ σε κάθε ενάγοντα για ηθική βλάβη.
Στην ίδια κατεύθυνση κινείται και η ΜΠρΑθ 11632/2025, η οποία έκρινε ότι οι τράπεζες έχουν υποχρέωση να εντοπίζουν και να μπλοκάρουν απατηλές ιστοσελίδες που μιμούνται το περιβάλλον web banking. Το δικαστήριο απέδωσε τη ζημία στην αποκλειστική υπαιτιότητα της τράπεζας και την υποχρέωσε να καταβάλει 10.150 ευρώ στην ενάγουσα.
Ωστόσο, η ευθύνη των τραπεζών δεν είναι απεριόριστη. Στην ΕιρΧαλκ 394/2022, η αγωγή απορρίφθηκε, καθώς ο πελάτης καταχώρισε κωδικό μίας χρήσης σε χρόνο κατά τον οποίο δεν είχε ζητήσει καμία συναλλαγή, ενώ είχε λάβει μήνυμα με ύποπτα χαρακτηριστικά. Το δικαστήριο έκρινε ότι η τράπεζα είχε τηρήσει τα πρωτόκολλα ασφαλείας και ότι η ζημία συνδέθηκε με τη συμπεριφορά του ίδιου του πελάτη.
Στη ΜΕφΑθ 1356/2025, που αφορούσε sim swap απάτη, το Εφετείο δέχθηκε ότι η τράπεζα τήρησε όλα τα πρωτόκολλα ασφαλείας και δεν μπορούσε να γνωρίζει ότι είχε προηγηθεί αντικατάσταση κάρτας SIM μέσω παρόχου κινητής τηλεφωνίας. Έκρινε, μάλιστα, ότι δεν αρκεί η απουσία βαριάς αμέλειας του πελάτη για να θεμελιωθεί αυτομάτως ευθύνη της τράπεζας.
Στη ΜΠρΑλεξ 68/2023, η ζημία αποδόθηκε στην αποκλειστική υπαιτιότητα του πελάτη, ο οποίος είχε αποθηκευμένους τους κωδικούς του ηλεκτρονικά στον λογαριασμό Google και καθυστέρησε να ειδοποιήσει την τράπεζα, παρότι είχε αντιληφθεί ύποπτες ενδείξεις, όπως αιφνίδια διακοπή λειτουργίας του κινητού του.
Υπάρχουν και περιπτώσεις επιμερισμού της ευθύνης. Στη ΜΕφΑθ 2908/2021, το δικαστήριο έκρινε ότι η τράπεζα όφειλε να ελέγξει πολλαπλές ύποπτες μεταφορές προς τράπεζες της Εσθονίας, αλλά αναγνώρισε και συνυπαιτιότητα 50% του πελάτη, επειδή δεν είχε εγκαταστήσει αντιϊικό πρόγραμμα και δεν αντέδρασε εγκαίρως μετά την πρώτη ύποπτη συναλλαγή.
Σημαντική είναι και η ευρωπαϊκή διάσταση. Στην υπόθεση C-70/25, ο Γενικός Εισαγγελέας του ΔΕΕ Αθανάσιος Ράντος πρότεινε ότι, ακόμη και όταν η τράπεζα επικαλείται βαριά αμέλεια του πελάτη, οφείλει καταρχήν να επιστρέψει άμεσα το ποσό της μη εγκεκριμένης συναλλαγής και στη συνέχεια, αν μπορεί να αποδείξει δόλο ή βαριά αμέλεια, να αξιώσει από τον πελάτη να φέρει τελικά τη ζημία.
Τέλος, οι αποφάσεις ΜΠρΑθ 19963/2025 και ΕιρΑθ 1187/2024 δείχνουν ότι οι αγωγές για phishing πρέπει να είναι απολύτως συγκεκριμένες. Δεν αρκεί ο ενάγων να επικαλείται γενικά ότι έπεσε θύμα απάτης. Πρέπει να περιγράφει ποια ακριβώς μηνύματα έλαβε, ποιες ενέργειες έκανε, ποια συναλλαγή δεν ενέκρινε, πώς παραβιάστηκε η υποχρέωση της τράπεζας και με ποιον τρόπο η τράπεζα μπορούσε να αποτρέψει ή να αναστρέψει τη ζημία.
