Δεν χρειάζεται να είσαι αφελής για να την πατήσεις. Οι σύγχρονες απάτες δεν μοιάζουν πια με τα κακογραμμένα e-mail του «Νιγηριανού πρίγκιπα». Είναι SMS που εμφανίζονται στην ίδια συνομιλία με τα γνήσια μηνύματα της τράπεζάς σου. Είναι τηλεφωνήματα από «υπάλληλο ασφαλείας» που ξέρει το ονοματεπώνυμό σου. Είναι σελίδες πανομοιότυπες με το e-banking. Και όταν πληκτρολογήσεις τον κωδικό μίας χρήσης —γιατί «η τράπεζα σού τον ζήτησε»— το παιχνίδι, νομίζεις, τελείωσε.

Δεν τελείωσε. Εδώ ξεκινά μια νομική ιστορία που οι περισσότεροι δεν γνωρίζουν — και που τα τελευταία χρόνια γέρνει, βήμα-βήμα, προς την πλευρά του καταναλωτή.

Η μεγάλη παρανόηση: «έδωσα τον κωδικό, άρα φταίω»

Ας ξεκαθαρίσουμε την πιο διαδεδομένη —και πιο βολική για τις τράπεζες— παρανόηση. Το ότι πληκτρολογήσατε εσείς τους κωδικούς ή το OTP δεν σημαίνει αυτόματα ότι εγκρίνατε τη συναλλαγή. Στη γλώσσα του νόμου, μια πληρωμή που έγινε ενώ εσείς παραπλανηθήκατε είναι, κατά κανόνα, μια μη εγκεκριμένη πράξη πληρωμής.

Το πλαίσιο το ορίζει ο νόμος 4537/2018, που ενσωμάτωσε στο ελληνικό δίκαιο την ευρωπαϊκή οδηγία PSD2. Και προβλέπει δύο πράγματα που αξίζει να τα ξέρετε λέξη προς λέξη:

  • Άρθρο 73: σε περίπτωση μη εγκεκριμένης συναλλαγής, η τράπεζα οφείλει να επιστρέψει άμεσα το ποσό — εκτός αν υπάρχουν βάσιμες υπόνοιες απάτης εκ μέρους του ίδιου του πελάτη.
  • Άρθρο 74: ο πελάτης επιβαρύνεται με τη ζημία μόνο όταν συντρέχει δόλος ή βαριά αμέλεια. Το άρθρο 72 αφορά το βάρος απόδειξης και τα στοιχεία γνησιότητας της συναλλαγής.

Με απλά λόγια: ο κανόνας είναι η επιστροφή. Η μη επιστροφή είναι η εξαίρεση — και το βάρος να αποδείξει την εξαίρεση το σηκώνει, κατά κανόνα, η τράπεζα. Αυτή η αντιστροφή είναι που αλλάζει τα πάντα.

Ο κανόνας δεν είναι «όποιος έδωσε τον κωδικό χάνει». Ο κανόνας είναι «η τράπεζα επιστρέφει» — και η εξαίρεση πρέπει να αποδειχθεί.

Πότε, όμως, «φταίτε» πραγματικά εσείς;

Η εξαίρεση έχει όνομα: βαριά αμέλεια. Εδώ, όμως, τα δικαστήρια έγιναν πιο προσεκτικά απ' όσο θα ήθελαν οι τράπεζες. Δεν αρκεί να πουν «μα έδωσε το OTP» για να σας φορτώσουν όλη τη ζημία. Η βαριά αμέλεια δεν τεκμαίρεται από μόνη την πληκτρολόγηση ενός κωδικού· κρίνεται συνολικά, με βάση τα πραγματικά περιστατικά.

Αυτό ακριβώς επιβεβαίωσε και το Δικαστήριο της Ευρωπαϊκής Ένωσης στην απόφαση C-665/23 (Veracash), του 2025: η αξιολόγηση της «βαριάς αμέλειας» είναι μια σφαιρική κρίση που ανήκει στο εθνικό δικαστήριο — δεν προκύπτει μηχανικά από το γεγονός ότι ο χρήστης χρησιμοποίησε τα στοιχεία ασφαλείας.

Πού μπαίνει, λοιπόν, η γραμμή; Ενδεικτικά, από την ελληνική νομολογία:

  • Υπέρ του καταναλωτή: όταν η απάτη ήταν εξελιγμένη, το περιβάλλον πειστικό και η τράπεζα δεν είχε επαρκή συστήματα εντοπισμού ύποπτων μεταφορών. Σε τέτοιες περιπτώσεις, τα δικαστήρια απέδωσαν τη ζημία στην τράπεζα.
  • Σε βάρος του καταναλωτή: όταν τα «καμπανάκια» ήταν χονδροειδή — για παράδειγμα, όταν κάποιος καταχώρισε OTP ενώ δεν είχε ζητήσει καμία συναλλαγή και είχε λάβει μήνυμα με εμφανώς ύποπτα χαρακτηριστικά (βλ. ΕιρΧαλκ 394/2022). Εκεί, το δικαστήριο είδε βαριά αμέλεια.

Η ευθύνη της τράπεζας μεγαλώνει

Το πιο ενδιαφέρον της τελευταίας διετίας είναι ότι τα δικαστήρια σταμάτησαν να βλέπουν την τράπεζα ως παθητικό θύμα και άρχισαν να απαιτούν από αυτήν ενεργή προστασία. Δύο παραδείγματα το δείχνουν καθαρά:

  • Η ΜΠρΑθ 11632/2025 έκρινε ότι η τράπεζα έχει υποχρέωση να εντοπίζει και να μπλοκάρει απατηλές ιστοσελίδες που μιμούνται το περιβάλλον του web banking. Απέδωσε τη ζημία στην αποκλειστική υπαιτιότητα της τράπεζας και την υποχρέωσε να καταβάλει 10.150 ευρώ.
  • Το Μονομελές Πρωτοδικείο Λασιθίου δικαίωσε 71χρονο συνταξιούχο που έχασε 5.674 ευρώ από το εφάπαξ του, κρίνοντας ότι η απώλεια οφειλόταν σε έλλειμμα των συστημάτων ασφαλείας της τράπεζας και όχι σε βαριά αμέλειά του.

Παράλληλα, ο νομοθέτης παρενέβη με τον νόμο 5019/2023, ο οποίος περιλαμβάνει ειδική διάταξη για την ευθύνη του πληρωτή σε μη εγκεκριμένες πράξεις πληρωμής («phishing»). Το τοπίο, δηλαδή, δεν είναι στατικό — κινείται, και μάλιστα προς την κατεύθυνση της μεγαλύτερης προστασίας του συναλλασσόμενου.

Τα πρώτα 60 λεπτά — τι κάνετε, με τη σειρά

Στην ηλεκτρονική απάτη, ο χρόνος είναι χρήμα με την κυριολεκτική έννοια. Όσο πιο γρήγορα κινηθείτε, τόσο μεγαλώνει η πιθανότητα να «παγώσει» ή να ανακληθεί το έμβασμα:

  1. Καλέστε αμέσως την τράπεζα στο επίσημο τηλέφωνο και ζητήστε μπλοκάρισμα κάρτας/λογαριασμού και ανάκληση (recall) της μεταφοράς. Κρατήστε ώρα και όνομα υπαλλήλου.
  2. Υποβάλετε έγγραφη αναγγελία/ένσταση για μη εγκεκριμένη συναλλαγή — όχι μόνο τηλεφωνικά. Ζητήστε αριθμό πρωτοκόλλου.
  3. Δηλώστε το περιστατικό στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και κάντε μήνυση/έγκληση κατ' αγνώστων.
  4. Μαζέψτε αποδείξεις: screenshots του μηνύματος, του συνδέσμου, της ώρας — κάθε ίχνος μετράει ως τεκμήριο.
  5. Μη διαγράψετε τίποτα και μην «καθαρίσετε» το κινητό σας πριν αντιγραφούν τα στοιχεία.

Αν η τράπεζα αρνηθεί

Πολύ συχνά, η πρώτη απάντηση της τράπεζας είναι το «αρνούμαστε, καθώς η συναλλαγή έγινε με τους προσωπικούς σας κωδικούς». Μην το εκλάβετε ως τελική ετυμηγορία — είναι μια θέση, όχι απόφαση δικαστηρίου. Σε αυτό το σημείο:

  • Ζητήστε την άρνηση εγγράφως και αιτιολογημένα. Χρειάζεστε τι ακριβώς σας προσάπτει.
  • Ζητήστε τα αρχεία της συναλλαγής (logs, χρόνος, IP, στοιχεία ταυτοποίησης). Έχετε δικαίωμα πρόσβασης στα δεδομένα που σας αφορούν.
  • Απευθυνθείτε στον Συνήγορο του Καταναλωτή και στον Ελληνικό Χρηματοοικονομικό Μεσολαβητή — εξωδικαστικά, χωρίς κόστος.
  • Αν χρειαστεί, ασκήστε αγωγή: η νομολογία, όπως είδαμε, δεν είναι πια αυτόματα με το μέρος της τράπεζας.

Και, φυσικά, η καλύτερη άμυνα: να μην πατήσετε το αγκίστρι

Καμία νομική προστασία δεν είναι τόσο ανώδυνη όσο το να μην πέσετε θύμα εξαρχής. Κρατήστε τρεις κανόνες, σαν μάντρα:

  • Η τράπεζα ποτέ δεν σας ζητά κωδικούς, PIN ή OTP — ούτε με SMS, ούτε με τηλέφωνο, ούτε με e-mail. Όποιος τα ζητά, είναι απατεώνας.
  • Μην πατάτε συνδέσμους από μηνύματα. Μπείτε στο e-banking μόνο πληκτρολογώντας μόνοι σας τη διεύθυνση ή από την επίσημη εφαρμογή.
  • Αν κάτι σας βιάζει ή σας τρομάζει («ο λογαριασμός σας θα κλείσει σε 10 λεπτά»), είναι σχεδόν σίγουρα απάτη. Κλείστε και καλέστε εσείς το επίσημο νούμερο.

Συχνές ερωτήσεις

Έδωσα μόνος μου το OTP. Έχω πραγματικά ελπίδα;

Ναι — και μάλιστα υπαρκτή. Το OTP δεν «σφραγίζει» αυτόματα την ενοχή σας. Κρίνεται αν, με βάση όλα τα περιστατικά, υπήρξε βαριά αμέλεια. Αν η απάτη ήταν εξελιγμένη και η τράπεζα δεν εντόπισε την ύποπτη συναλλαγή, οι πιθανότητες δικαίωσης αυξάνονται.

Πόσο γρήγορα πρέπει να το δηλώσω;

Άμεσα — ιδανικά μέσα σε λεπτά. Η ταχύτητα βοηθά και στο «πάγωμα» του χρήματος και στη νομική σας θέση, καθώς αποδεικνύει ότι δεν εγκρίνατε τη συναλλαγή. Καθυστέρηση χωρίς λόγο μπορεί να χρησιμοποιηθεί εναντίον σας.

Η τράπεζα λέει ότι δεν φέρει καμία ευθύνη. Ισχύει;

Είναι η θέση της, όχι ο νόμος. Ο νόμος 4537/2018 θέτει ως κανόνα την επιστροφή και ως εξαίρεση την ευθύνη του πελάτη λόγω δόλου ή βαριάς αμέλειας — που πρέπει να αποδειχθεί. Ζητήστε αιτιολογημένη έγγραφη απάντηση και συμβουλευτείτε δικηγόρο.

Αφορά μόνο ιδιώτες ή και επαγγελματίες/επιχειρήσεις;

Οι προστασίες της PSD2 είναι ισχυρότερες για τους καταναλωτές, όμως και επαγγελματίες έχουν δικαιώματα και έχουν δικαιωθεί δικαστικά. Οι λεπτομέρειες διαφέρουν, γι' αυτό η εξειδικευμένη νομική εκτίμηση είναι απαραίτητη.

Το άρθρο έχει ενημερωτικό χαρακτήρα και αναφέρεται σε νομοθεσία και νομολογία όπως ίσχυαν κατά τη σύνταξή του. Κάθε περιστατικό απάτης κρίνεται στα δικά του πραγματικά στοιχεία. Αν πέσατε θύμα, ενεργήστε άμεσα και απευθυνθείτε σε δικηγόρο.

PhishingΤραπεζική απάτηe-bankingΝ. 4537/2018PSD2Ευθύνη τράπεζαςΠροστασία καταναλωτή

Πηγές και έλεγχος

Το άρθρο ελέγχθηκε με βάση επίσημες ή πρωτογενείς πηγές πριν από τη δημοσίευση. Οι αριθμοί και τα όρια μπορεί να αλλάξουν με νεότερη νομοθεσία ή εγκυκλίους.