ΑΠΑΤΗ ΜΕ ΥΠΟΛΟΓΙΣΤΗ (Phising, Pharming, Skimming κλπ.)

Της Ευαγγελίας Κούρτη, δικηγόρου LLM, MSc – συνεργάτη της Piperakis–Kostopoulos Law Firm.

Σύμφωνα με το άρθρο 386Α παρ. 1 του ισχύοντος ελληνικού Ποινικού Κώδικα, όποιος, με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος, βλάπτει ξένη περιουσία, επηρεάζοντας το αποτέλεσμα μιας διαδικασίας επεξεργασίας δεδομένων υπολογιστή: α) με τη μη ορθή διαμόρφωση προγράμματος υπολογιστή, β) με τη χωρίς δικαίωμα παρέμβαση σε πληροφοριακό σύστημα, γ) με τη χρησιμοποίηση μη ορθών ή ελλιπών ψηφιακών δεδομένων υπολογιστή, ιδίως δεδομένων αναγνώρισης της ταυτότητας, δ) με τη χωρίς δικαίωμα εισαγωγή, αλλοίωση, διαγραφή, μετάδοση ή εξάλειψη ορθών ψηφιακών δεδομένων υπολογιστή, ιδίως ψηφιακών δεδομένων αναγνώρισης της ταυτότητας, ή ε) με τη χωρίς δικαίωμα αξιοποίηση λογισμικού προορισμένου για τη μετακίνηση χρημάτων ή νομισματικής αξίας τιμωρείται με φυλάκιση, και αν η ζημία που προξενήθηκε είναι ιδιαίτερα μεγάλη, με φυλάκιση τουλάχιστον τριών (3) μηνών και χρηματική ποινή. Αν η ζημία που προκλήθηκε υπερβαίνει συνολικά το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ, επιβάλλεται κάθειρξη έως δέκα (10) έτη και χρηματική ποινή.

Η απάτη με υπολογιστή συγκαταλέγεται στα γνήσια «κυβερνοεγκλήματα» stricto–sensu, ήτοι σε αυτά που στρέφονται εναντίον ηλεκτρονικών δικτύων επικοινωνιών και συστημάτων πληροφοριών ή που υλοποιούνται και με τη χρήση αυτών (π.χ. άρ. 370Β ΠΚ «Παράνομη πρόσβαση σε σύστημα πληροφοριών ή σε δεδομένα», άρ. 292Β ΠΚ «Παρακώλυση λειτουργίας πληροφοριακών συστημάτων», όπως ισχύουν κλπ.). Η ταχεία διάδοση της χρήσης του Διαδικτύου και η ευρεία χρήση των Τεχνολογιών Πληροφορικής και Επικοινωνιών, που έχει συντελεστεί τα τελευταία χρόνια, έχει ως αποτέλεσμα την ανάπτυξη εγκληματικής δραστηριότητας μέσω Η/Υ και του Διαδικτύου και την τέλεση κοινών παραδοσιακών μορφών αδικημάτων τελούμενων μέσω διαδικτύου, των λεγομένων μη γνήσιων κυβερνοεγκλήματων (π.χ. εξύβριση, απάτη, απειλή, παράβαση νομοθεσίας περί προσωπικών δεδομένων κλπ.), όπου στις περιπτώσεις αυτές το Διαδίκτυο χρησιμοποιείται ως απλή πλατφόρμα – μέσο για την τέλεση ενός συμβατικού εγκλήματος και κατά τούτο αυτά δεν πρέπει να συγχέονται με τα ως άνω  γνήσια κυβερνοεγκλήματα (βλ. Εγκύκλιο υπ΄αρ. 2 υπ΄ αρ. πρωτ. 5986/22-5-2019 Εισαγγελέα του Αρείου Πάγου).

Η διαφοροποίηση της απάτης με υπολογιστή σε σχέση με την κοινό παραδοσιακό αδίκημα της απάτης συνίσταται στα εξής:

• Η κοινή απάτη δεν επαρκεί επί περιπτώσεων όπου ο δράστης καταχρηστικά εκμεταλλεύεται αυτοματοποιημένους ψηφιακούς -και μόνον- μηχανισμούς επεξεργασίας δεδομένων υπολογιστή/ψηφιακών δεδομένων, ιδίως δε ψηφιακών υπηρεσιών και μέσων πληρωμών.
• Στην απάτη με υπολογιστή δεν υπεισέρχεται πλάνη φυσικού προσώπου που να συνδέεται αιτιωδώς με την περιουσιακή διάθεση και την αντίστοιχη περιουσιακή ζημία. Με άλλα λόγια, ακόμα και όταν επιτυγχάνεται παραπλάνηση μέσω πληροφοριακού συστήματος (ο Η/Υ χρησιμοποιείται μόνο ως μέσο ή όργανο) ενός φυσικού προσώπου που είναι αρμόδιο ή έστω δύναται να προβεί σε περιουσιακή διάθεση διά πράξης, παράλειψης ή ανοχής, που αποφέρει περιουσιακή βλάβη, π.χ. διά ελέγχου, έγκρισης ή λήψης αποφάσεων, τότε στοιχειοθετείται κοινή απάτη. Αντίθετα, απάτη με υπολογιστή συντελείται όταν η περιουσιακή βλάβη επέρχεται αποκλειστικά με τον επηρεασμό του αποτελέσματος μιας διαδικασίας επεξεργασίας δεδομένων υπολογιστή.
• Η πλάνη της κοινής απάτης αντιστοιχίζεται με το στοιχείο του επηρεασμού της απάτης με υπολογιστή. Οι δε τρόποι του επηρεασμένου αποτελέσματος στην απάτη με υπολογιστή αντιστοιχίζονται στους τρόπους παραπλάνησης της κοινής απάτης. Το ίδιο το επηρεασμένο αποτέλεσμα, για να λογίζεται το αδίκημα ως τελεσθέν, πρέπει να αποτυπώνει περιουσιακή διάθεση εκ μέρους του υπολογιστή, προγράμματος, μηχανισμού, λογισμικού κ.ο.κ., όπως αντιστοίχως διαθέτει περιουσία ο πλανηθείς στην κοινή απάτη (είτε δική του, είτε τρίτου = τριγωνική απάτη), ενώ η περιουσιακή διάθεση στην απάτη με υπολογιστή μεσολαβεί ανάμεσα στην πράξη επηρεασμού και στην περιουσιακή ζημία (αιτιώδης συνάφεια).

Ειδικότερα, σύμφωνα με την απόφαση (βούλευμα) του Συμβουλίου Πλημμελειοδικών Θεσσαλονίκης 828/2022 (ΤΕΤΡΑΒΙΒΛΟΣ – ΝΟΜΟΠΑΙΔΕΙΑ), από τη διάταξη του άρθρου 386Α Ν.Π.Κ. προκύπτει ότι, η απάτη με υπολογιστή αποτελεί ένα ιδιώνυμο έγκλημα το οποίο προστέθηκε στον Ποινικό Κώδικα ενόψει της ραγδαίας ανάπτυξης της τεχνολογίας. Ως έγκλημα δομήθηκε κατ’ αντιστοιχία προς την απάτη του άρθρου 386 Π.Κ. με την οποία τελεί σε σχέση αλληλοαποκλεισμού και από την οποία διαφέρει κατά το ότι τελείται όταν η περιουσιακή βλάβη επέρχεται όχι με την παραπλάνηση ενός φυσικού προσώπου που είναι αρμόδιο να λαμβάνει αποφάσεις ή να διενεργεί έλεγχο ή να εγκρίνει ή να χορηγεί κλπ αλλά αποκλειστικά και μόνο με τον επηρεασμό των στοιχείων του υπολογιστή, δηλαδή με την επέμβαση του δράστη κατά τον προγραμματισμό του συστήματος και την επεξεργασία των δεδομένων σε οποιαδήποτε φάση της λειτουργίας του υπολογιστή (ΑΠ 1166/2019, ΑΠ 1087/2019, ΑΠ 1414/2017, ΑΠ 367/2017). Βλάβη ξένης, κατά το αστικό δίκαιο, περιουσίας, η οποία να τελεί σε αιτιώδη σύνδεσμο με τις ενέργειες του δράστη, υπάρχει και σε περίπτωση μείωσης ή χειροτέρευσης της περιουσίας του παθόντα, έστω και αν αυτός έχει ενεργό αξίωση προς αποκατάστασή της. Για την υποκειμενική υπόσταση του εγκλήματος αρκεί δόλος ως προς όλα τα στοιχεία της αντικειμενικής υπόστασής του, χωρίς να απαιτείται ειδικότερα (όπως στην κοινή απάτη) γνώση του δράστη για την αναλήθεια των στοιχείων που χρησιμοποιεί. Η απάτη με υπολογιστή αποτελεί περαιτέρω έγκλημα σκοπού (υπερχειλούς υποκειμενικής υπόστασης) διότι ο δράστης πρέπει να έχει σκοπό παράνομου περιουσιακού οφέλους για τον εαυτό του ή τρίτον (ΑΠ 1087/2019), χωρίς να είναι αναγκαία η πραγμάτωση του οφέλους αυτού (βλ. για το αδίκημα της απάτης ΟλΑΠ 1/2020, ΑΠ 13/2020, ΑΠ 1354/2011, ΑΠ 546/2009). Περιουσιακό όφελος συνιστά η αύξηση της περιουσίας του ίδιου του δράστη ή άλλου, καθώς και η ευνοϊκότερη διαμόρφωση της περιουσιακής κατάστασης οιουδήποτε από αυτούς. Το περιουσιακό αυτό όφελος είναι παράνομο, όταν ο δράστης ή το άλλο πρόσωπο δεν έχει νόμιμη αξίωση κατά του παθόντος, ο δε αξιούμενος, για τη στοιχειοθέτηση του εγκλήματος τούτου, σκοπός οφέλους αποτελεί υποκειμενικό στοιχείο του αδίκου (έγκλημα με «υπερχειλή υποκειμενική υπόσταση»). Περαιτέρω, η περιουσιακή βλάβη πρέπει, ως στοιχείο της αντικειμενικής υπόστασης του εγκλήματος, να είναι άμεσο, αναγκαίο και αποκλειστικό αποτέλεσμα της περιουσιακής διάθεσης, στην περίπτωση δε του άρθρου 386Α Π.Κ. ο διαθέτων είναι πάντοτε μόνον (δηλ. χωρίς τη βοήθεια ή την παρέμβαση κάποιου φυσικού προσώπου) ο ηλεκτρονικός υπολογιστής, ο οποίος, αφού πρώτα επεξεργασθεί βάσει ορισμένου συστήματος τα τεθέντα σε αυτόν εξωτερικά δεδομένα, προβαίνει αυτομάτως σε ορισμένη περιουσιακή διάθεση βλαπτική για το φορέα της περιουσίας και συγχρόνως αντίστοιχα ωφέλιμη για το δράστη ή τρίτον (βλ. Μπουρμά Γ. σε Χαραλαμπάκη Α., Ο Νέος Ποινικός Κώδικας, Τόμος Β΄, σελ. 3141), η δε βλάβη πρέπει να αποτελεί άμεση συνέπεια του επηρεασμού των στοιχείων του υπολογιστή και της συνακόλουθης (προερχόμενης από αυτόν τον επηρεασμό) περιουσιακής διάθεσης (βλ. Μπουρμά Γ. σε Χαραλαμπάκη Α., ο Νέος Ποινικός Κώδικας, Τόμος Β΄, σελ. 3144), ήτοι να μην απαιτείται παρεμβολή ανθρώπινης συμπεριφοράς μεταξύ της επεξεργασίας των στοιχείων και της μείωσης της περιουσίας (Μυλωνόπουλου X., Ποινικό Δίκαιο, Ειδικό Μέρος, 2006, 603).

Τυγχάνει δε ιδιαίτερης μνείας το γεγονός ότι παράλληλα με την πρόοδο της τεχνολογίας πληθαίνουν και οι τρόποι τέλεσης ψηφιακών εγκλημάτων και εφευρίσκονται ολοένα και περισσότερες μέθοδοι εξαπάτησης των υποψηφίων θυμάτων, στα οποία συγκαταλέγονται ιδιώτες ανεξαρτήτως μορφωτικού, κοινωνικού, οικονομικού και εμπειρικού επιπέδου. Ενδεικτικοί τρόποι προσέγγισης των θυμάτων είναι το phising, το pharming, το skimming[1], καθώς επίσης και:

• η ψηφιακή αίτηση φορητότητας τηλεφωνικού αριθμού θύματος με πλαστά στοιχεία ταυτότητας, ώστε να ανακτηθεί από το δράστη πρόσβαση αρχικά στον τηλεφωνικό αριθμό του θύματος και έπειτα σε προσωπικά και τραπεζικά δεδομένα και στοιχεία,
• τηλεφωνικές κλήσεις ή με άλλο μέσο επικοινωνία από δράστες που παρουσιάζονται στα θύματα ως πιθανοί πελάτες επιχειρήσεων, ως επενδυτές και τεχνηέντως εκμαιεύουν προσωπικά δεδομένα και στοιχεία ή παροτρύνουν την είσοδο σε κακόβουλους ιστοτόπους και εν συνεχεία με τη χρήση των κτηθέντων πληροφοριών προβαίνουν σε εμβάσματα και μεταφορές χρηματικών ποσών διά της ψηφιακής τραπεζικής.

Σχετικά δε με την αναζήτηση των απολεσθέντων χρηματικών ποσών, τούτο συναρτάται με την απόδειξη των πραγματικών περιστατικών και την κατάδειξη συγκεκριμένων υπαιτίων ενώπιον των Πολιτικών Δικαστηρίων της χώρας μας. Αυτό δεν είναι πάντοτε ευχερές, δεδομένης της έκτασης της ψηφιακής εδαφικότητας του ηλεκτρονικού εγκλήματος, πλην όμως η έγκαιρη ειδοποίηση και αναζήτηση βοήθειας μπορούν να αποβούν καίριας σημασίας για την εξιχνίαση των αδικημάτων και την ανεύρεση των δραστών. Αυτό που δεν πρέπει να παραλείπεται είναι η άμεση αμφισβήτηση προς το εμπλεκόμενο τραπεζικό ίδρυμα των ζημιογόνων συναλλαγών,  καθόσον, σύμφωνα με το άρθρο 71 παρ. 1 του Ν. 4537/2018 για τις υπηρεσίες πληρωμών, ο πάροχος υπηρεσιών πληρωμών αποκαθιστά μία μη εγκεκριμένη ή εσφαλμένα εκτελεσθείσα πράξη πληρωμής στον χρήστη υπηρεσιών πληρωμών, μόνο αν ο τελευταίος ειδοποιήσει χωρίς υπαίτια καθυστέρηση τον πάροχο υπηρεσιών πληρωμών μόλις αντιληφθεί οποιαδήποτε τέτοια πράξη πληρωμής που θεμελιώνει αξίωση αποζημίωσης, …, και το αργότερο μέσα σε χρονικό διάστημα δεκατριών (13) μηνών από την ημερομηνία χρέωσης. Επιπλέον, σύμφωνα με το άρθρο 72 παρ. 1 του ίδιου ως άνω νόμου, αν ο χρήστης υπηρεσιών πληρωμών αρνείται ότι έχει εγκρίνει εκτελεσθείσα πράξη πληρωμής ή ισχυρίζεται ότι η πράξη πληρωμής δεν εκτελέσθηκε ορθά, ο οικείος πάροχος υπηρεσιών πληρωμών οφείλει να αποδεικνύει ότι έχει ταυτοποιηθεί η γνησιότητα της πράξης πληρωμής και ότι η πράξη πληρωμής έχει καταγραφεί με ακρίβεια, έχει καταχωριστεί στους λογαριασμούς πληρωμών και δεν επηρεάστηκε από τεχνική βλάβη ή άλλη δυσλειτουργία της υπηρεσίας που παρέχεται από τον πάροχο υπηρεσιών πληρωμών. Το μείζον, άμα τη υποψία τέλεσης απάτης με υπολογιστή ή απόπειρας αυτής, είναι η άμεση ενεργοποίηση του θύματος και η παραχρήμα ειδοποίηση των αρμοδίων αρχών, του σώματος δίωξης ηλεκτρονικού εγκλήματος, των εμπλεκόμενων τραπεζικών ιδρυμάτων διά της αμφισβήτησης των απατηλών συναλλαγών, ή και του Ελληνικού Χρηματοοικονομικού Μεσολαβητή (βλ. και απόφαση 12947/2023 ΜΠρΘεσ – Sakkoulas – Online).

[1] Βλ. άρθρο «ΧΑΡΑΚΤΗΡΙΣΤΙΚΕΣ ΠΕΡΙΠΤΩΣΕΙΣ ΑΠΑΤΗΣ ΜΕ ΥΠΟΛΟΓΙΣΤΗ (Phising, Pharming, Skimming κλπ.)» στο σύνδεσμο: https://piperakis-kostopoulos.com/charaktiristikes-periptoseis-apatis-me-ypologisti/

Η Piperakis – Kostopoulos Law Firm διαθέτει την εμπειρία και την τεχνογνωσία να σας συμβουλεύει, αλλά και να σας προστατεύσει προκαταβολικά ή μετά την επέλευση του κινδύνου. Τα ζητήματα που θίγονται ανωτέρω εντάσσονται στο πεδίο των δεξιοτήτων μας, γεγονός που αποτελεί εχέγγυο ως προς τον προσήκοντα από εμάς χειρισμό του θέματος που μας αναθέτετε.