Στο άρθρο 22 του ν. 5019/2023 (ΦΕΚ Α’ 27/14.02.2023) (εφεξής, ο «Νόμος») περιλαμβάνονται διατάξεις σχετικά με τον περιορισμό της ευθύνης των πληρωτών για μη εγκεκριμένες πράξεις πληρωμής, τροποποιώντας την παρ. 1 του άρθρου 74 του ν. 4537/2018 για τις υπηρεσίες πληρωμών.
Συγκεκριμένα, οι πάροχοι υπηρεσιών πληρωμών (όπως τα πιστωτικά ιδρύματα) θα πρέπει να εφαρμόζουν πρόσθετες δικλείδες ασφαλείας σε σύγκριση με αυτές που ισχύουν σήμερα κατά τις ηλεκτρονικές συναλλαγές των καταναλωτών. Σε διαφορετική περίπτωση, θα φέρουν το βάρος της αποζημίωσης του πελάτη που έπεσε θύμα ηλεκτρονικής εξαπάτησης (‘‘phishing’’) για το ποσό άνω των 1.000 ευρώ.
Η έναρξη ισχύος των νέων διατάξεων ορίστηκε για την 1η Σεπτεμβρίου 2023.
Αναγκαιότητα της ρύθμισης
Σύμφωνα με την αιτιολογική έκθεση, με το εν λόγω άρθρο σκοπείται η προστασία του καταναλωτή σε περίπτωση «phishing», δηλαδή πρακτικών εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταναλωτών για διαδικτυακές συναλλαγές και μεταφορές χρημάτων.
Η Οδηγία (ΕΕ) 2015/2366 (‘‘Οδηγία PSD II’’) επιτρέπει στα κράτη-μέλη να περιορίσουν το όριο της ευθύνης του πληρωτή σε περίπτωση βαριάς αμέλειας, το οποίο ωστόσο δεν είχε επιλεγεί στον ν. 4537/2018 για τις υπηρεσίες πληρωμών (που ενσωμάτωσε την Οδηγία PSD II).
Λαμβάνοντας υπόψη την εμπειρία άλλων κρατών που έχουν προβλέψει νομοθετικό ποσοτικό περιορισμό της ευθύνης του καταναλωτή σε περίπτωση βαριάς αμέλειας (Σουηδία, Δανία και Νορβηγία), αλλά και την ανάγκη προστασίας του καταναλωτικού κοινού, ενόψει της έκτασης του φαινομένου «phishing», κρίθηκε απαραίτητη πλέον η εισαγωγή της εν λόγω ρύθμισης.
Η νέα ρύθμιση ειδικότερα
• Σύμφωνα με τη νέα ρύθμιση, ο πληρωτής ευθύνεται για όλες τις ζημίες που σχετίζονται με μη εγκεκριμένες πράξεις πληρωμής, όταν αυτές οφείλονται είτε σε δόλια πράξη του είτε σε δόλια αθέτηση των υποχρεώσεών του (ιδίως παράβαση της υποχρέωσής του να ειδοποιεί χωρίς υπαίτια καθυστέρηση, τον πάροχο υπηρεσιών πληρωµών µόλις αντιληφθεί κλοπή, απώλεια, υπεξαίρεση του µέσου πληρωμής, ή µη εγκεκριµένη χρήση του, µη λήψη εύλογων µέτρων για την ασφαλή φύλαξη των εξατοµικευµένων διαπιστευτηρίων ασφαλείας του, π.χ. του μυστικού κωδικού).
• Σε περίπτωση όμως που ο πληρωτής είναι καταναλωτής και εφόσον οι ζημίες του οφείλονται σε βαριά αμέλεια, η ευθύνη του περιορίζεται ποσοτικά μέχρι το ποσό των 1.000 ευρώ, αφού ληφθούν υπόψη τα δεδομένα της συγκεκριμένης περίπτωσης και, ιδίως, η φύση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και οι ειδικότερες περιστάσεις υπό τις οποίες το μέσο πληρωμών απωλέσθη, εκλάπη ή υπεξαιρέθηκε. Έτσι, η ζημία επιμερίζεται ανάμεσα στον καταναλωτή και τον πάροχο υπηρεσιών πληρωμών και δεν βαρύνει αποκλειστικώς τον καταναλωτή.
• Ο παραπάνω ποσοτικός περιορισμός της ευθύνης του καταναλωτή δεν ισχύει, με αποτέλεσμα ο καταναλωτής να φέρει το σύνολο της ζημίας που υπέστη, αν ο πάροχος υπηρεσιών πληρωμών αποδείξει ότι διαθέτει και εφαρμόζει πρόσθετους, αποτελεσματικούς και πιο εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, από αυτούς που εφαρμόζει γενικά για την ισχυρή ταυτοποίηση των συναλλαγών, για συναλλαγές που μπορούν να προκαλέσουν ζημία άνω των 1.000 ευρώ. Ενδεικτικά, οι πρόσθετοι μηχανισμοί περιλαμβάνουν μηχανισμούς ελέγχου που αξιοποιούν τεχνολογίες τεχνητής νοημοσύνης ή επιπλέον κωδικό ή βιομετρική ταυτοποίηση ή τηλεφωνική επιβεβαίωση.
Συμπεράσματα
Οι πάροχοι υπηρεσιών πληρωμών έχουν διορία μέχρι την 1η Σεπτεμβρίου 2023 προκειμένου να σχεδιάσουν και να εφαρμόσουν υπέρτερα μέτρα ασφαλείας που απαιτεί το νέο πλαίσιο.
Μέχρι σήμερα, η «Ισχυρή Ταυτοποίηση Πελάτη» (‘‘Strong Customer Authentication’’) κατά τη διενέργεια πράξεων πληρωμής ηλεκτρονικά πραγματοποιείται κατά κανόνα βάσει δύο (2) παραγόντων, όπως με τη χρήση ενός κωδικού μίας χρήσης (OTP) μέσω γραπτού μηνύματος SMS σε συνδυασμό με κωδικό που ο πελάτης γνωρίζει (π.χ. κωδικός web banking). Η προσαρμογή στις νέες ρυθμίσεις απαιτεί την προσθήκη επιπλέον επιπέδου ασφαλείας για την ταυτοποίηση του πελάτη.
Τα μέτρα και εργαλεία που πρόκειται να υιοθετηθούν τελικά από τους παρόχους υπηρεσιών πληρωμών θα αποτελέσουν πρόκληση ώστε να μην καταστεί δυσχερέστερη η διεκπεραίωση ηλεκτρονικών συναλλαγών ύψους άνω των 1.000 ευρώ.