Διάταξη για τον περιορισμός της ευθύνης του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής («phishing») περιλαμβάνει ο νέος νόμος 5019/2023 που δημοσιεύθηκε στην Εφημερίδα της Κυβερνήσεως.
Σύμφωνα με την αιτιολογική έκθεση, σκοπός της νέας διάταξης είναι η προστασία του καταναλωτή σε περίπτωση περιπτώσεων «phishing», δηλαδή πρακτικών εξαπάτησης (με πλαστές ιστοσελίδες, ηλεκτρονικά μηνύματα ή ειδοποιήσεις), με τις οποίες οι δράστες πληροφορούνται ή υφαρπάζουν τους μυστικούς κωδικούς («ΡΙΝ», «ΤΑΝ») των καταναλωτών για διαδικτυακές συναλλαγές και μεταφορές χρημάτων.
Το πέμπτο εδάφιο της παρ. 1 του άρθρου 74 της Οδηγίας (ΕΕ) 2015/2366 επιτρέπει στα κράτη-μέλη να περιορίσουν το όριο της ευθύνης του πληρωτή σε περίπτωση που δεν υφίσταται δόλος/πρόθεση, καθιστώντας δυνατό τον νομοθετικό περιορισμό της ευθύνης του πληρωτή σε περίπτωση βαριάς αμέλειας, το οποίο ωστόσο δεν επιλέχθηκε στον ν. 4537/2018 (Α’ 84).
Λαμβάνοντας υπόψη την εμπειρία άλλων κρατών που έχουν προβλέψει νομοθετικό ποσοτικό περιορισμό της ευθύνης του καταναλωτή σε περίπτωση βαριάς αμέλειας (Σουηδία, Δανία και Νορβηγία), αλλά και την ανάγκη προστασίας του καταναλωτικού κοινού, ενόψει της έκτασης του φαινομένου «phishing», κρίνεται απαραίτητη πλέον η εισαγωγή της προτεινόμενης διάταξης.
Σημειώνεται ότι, σε κάθε περίπτωση, το καθήκον επιμέλειας του παρόχου επιτάσσει την υποχρέωση συνεπούς εποπτείας και ασφάλειας στο σύστημα και το λογαριασμό για τη διασφάλιση των συναλλαγών.
Αν ο πάροχος έχει εφαρμόσει μέτρα αυξημένης ασφάλειας και προσοχής, τα οποία είναι υπέρτερα από αυτά που απαιτούνται από τις διατάξεις για την ισχυρή ταυτοποίηση των συναλλαγών, τότε, κατ’ εξαίρεση, δεν εφαρμόζεται ο προτεινόμενος περιορισμός της ευθύνης του παρόχου σε περίπτωση βαριάς αμέλειας.
Αναλυτικά η διάταξη προβλέπει:
Άρθρο 22 Περιορισμός της ευθύνης του πληρωτή για μη εγκεκριμένες πράξεις πληρωμής («phishing») – Τροποποίηση παρ. 1 άρθρου 74 ν. 4537/2018
Το τρίτο εδάφιο της παρ. 1 του άρθρου 74 του ν. 4537/2018 (Α’ 84), περί ευθύνης του πληρωτή, τροποποιείται ως προς την υπαιτιότητα, προστίθενται τέταρτο και πέμπτο εδάφιο, και η παρ. 1 διαμορφώνεται ως εξής:
«1. Κατά παρέκκλιση από το άρθρο 73, ο πληρωτής ευθύνεται μέχρι του ανώτατου ποσού των πενήντα (50) ευρώ για τις ζημίες από τη διενέργεια μη εγκεκριμένων πράξεων πληρωμής, οι οποίες προκύπτουν είτε από τη χρήση απολεσθέντος ή κλαπέντος μέσου πληρωμών είτε από υπεξαίρεσή του. Η εν λόγω υποχρέωση δεν ισχύει, εφόσον:
α) η απώλεια, κλοπή ή υπεξαίρεση του μέσου πληρωμών δεν ήταν δυνατό να εντοπιστεί από τον πληρωτή πριν από τη διενέργεια πράξης πληρωμής, εκτός αν ο πληρωτής είχε ενεργήσει με δόλο ή
β) η ζημία είχε προκληθεί από πράξεις ή παραλείψεις υπαλλήλου, αντιπροσώπου ή υποκαταστήματος ενός παρόχου υπηρεσιών πληρωμών ή οντότητας στην οποία ο πάροχος υπηρεσιών πληρωμών είχε αναθέσει τις δραστηριότητές του.
Ο πληρωτής ευθύνεται για όλες τις ζημίες που σχετίζονται με κάθε μη εγκεκριμένη πράξη πληρωμής, που προξένησε από δόλο, καθώς για τη με δόλο αθέτηση των υποχρεώσεών του, σύμφωνα με το άρθρο 69. Στις περιπτώσεις αυτές, δεν ισχύει το ανώτατο ποσό που αναφέρεται στο πρώτο εδάφιο της παρούσας παραγράφου.
Αν ο πληρωτής είναι καταναλωτής και εφόσον οι ζημιές οφείλονται σε βαριά αμέλεια, ευθύνεται μέχρι του ανώτατου ποσού των χιλίων (1.000) ευρώ, λαμβάνοντας υπόψη ιδίως τη φύση των εξατομικευμένων διαπιστευτηρίων ασφαλείας και τις ειδικότερες περιστάσεις υπό τις οποίες το μέσο πληρωμής απωλέσθη, εκλάπη ή υπεξαιρέθηκε.
Το τέταρτο εδάφιο δεν εφαρμόζεται, αν ο πάροχος αποδείξει ότι διαθέτει και εφαρμόζει πρόσθετους, αποτελεσματικούς και πιο εξελιγμένους μηχανισμούς ελέγχου των συναλλαγών, από αυτούς που εφαρμόζει για την ισχυρή ταυτοποίηση των συναλλαγών, για συναλλαγές που μπορούν να προκαλέσουν ζημία άνω των χιλίων (1.000) ευρώ, όπως ιδίως μηχανισμούς ελέγχου που αξιοποιούν τεχνολογίες τεχνητής νοημοσύνης ή επιπλέον κωδικό ή βιομετρική ταυτοποίηση ή τηλεφωνική επιβεβαίωση.».