Athanasios Rantos ซึ่งดำรงตำแหน่ง Advocate General หรือที่ปรึกษากฎหมายของศาลยุติธรรมสหภาพยุโรป (Court of Justice of the European Union: CJEU) ได้ออกความเห็นทางกฎหมายอย่างเป็นทางการโดยระบุว่า ธนาคารควรต้องรีบคืนเงินให้กับเจ้าของบัญชีที่ได้รับผลกระทบจากธุรกรรมที่ไม่ได้รับอนุญาตโดยทันที แม้ว่าการทำธุรกรรมนั้นจะเกิดจากความผิดพลาดของลูกค้าเองก็ตาม
ความเห็นนี้เป็นผลมาจากการที่ศาลแขวงเมืองคอชซาลิน (Koszalin) ประเทศโปแลนด์ ได้ยื่นคำร้องขอให้ศาลวินิจฉัยเบื้องต้น (preliminary ruling) เพื่อแก้ไขข้อพิพาทที่เกิดขึ้นระหว่างธนาคาร PKO BP S.A. กับลูกค้ารายหนึ่งของธนาคาร
คดีนี้เกี่ยวข้องกับการฉ้อโกงในรูปแบบฟิชชิง (phishing) โดยลูกค้ารายดังกล่าวได้ประกาศขายสินค้าบนแพลตฟอร์มประมูลออนไลน์ ก่อนจะถูกมิจฉาชีพติดต่อเข้ามา และส่งลิงก์อันตราย ซึ่งนำไปยังหน้าเว็บไซต์ปลอมที่ถูกออกแบบให้มีลักษณะคล้ายกับหน้าเข้าสู่ระบบของธนาคาร
ลูกค้าได้กรอกข้อมูลเข้าสู่ระบบบัญชีธนาคารของตนบนเว็บไซต์นั้น ซึ่งต่อมาข้อมูลนี้ได้ถูกมิจฉาชีพนำไปใช้ทำธุรกรรมการชำระเงินโดยไม่ได้รับอนุญาต
ลูกค้าได้แจ้งเหตุธุรกรรมดังกล่าวให้ทั้งธนาคาร และตำรวจทราบในวันรุ่งขึ้น แต่เนื่องจากเจ้าหน้าที่ไม่สามารถระบุตัวผู้กระทำความผิดได้ ธนาคารจึงปฏิเสธการคืนเงินที่สูญเสียไป ทำให้ลูกค้าตัดสินใจดำเนินการฟ้องร้องธนาคารในภายหลัง
ข้อพิพาทดังกล่าวเกิดขึ้นจากการที่ธนาคารโต้แย้งว่า ธนาคารมีสิทธิ์ปฏิเสธการคืนเงิน หากความสูญเสียที่เกิดขึ้นเป็นผลมาจากความประมาทเลินเล่อของลูกค้า
อย่างไรก็ตาม Rantos ระบุว่า ภายใต้ EU Payment Services Directive (2015/2366 / PSD2) ธนาคารไม่สามารถปฏิเสธการคืนเงินให้แก่ผู้เสียหายได้ เว้นแต่จะมีเหตุอันสมควรที่ทำให้สงสัยว่าลูกค้ามีส่วนเกี่ยวข้องกับการฉ้อโกง
แถลงการณ์ของศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ระบุว่า
“Advocate General Athanasios Rantos เห็นว่า ตามกฎหมายของสหภาพยุโรป ธนาคารจำเป็นต้องดำเนินการคืนเงินจากธุรกรรมที่ไม่ได้รับอนุญาตให้แก่ลูกค้าโดยทันทีในเบื้องต้น เว้นแต่ธนาคารจะมีเหตุผลอันสมควรที่ทำให้สงสัยว่ามีการฉ้อโกง ซึ่งในกรณีดังกล่าว ธนาคารต้องแจ้งเหตุผลดังกล่าวเป็นลายลักษณ์อักษรต่อหน่วยงานระดับชาติที่มีอำนาจกำกับดูแล”
อย่างไรก็ตาม มีการชี้แจงว่ากระบวนการดังกล่าวไม่ได้สิ้นสุดเพียงเท่านั้น เนื่องจากธนาคารยังคงสามารถเรียกคืนความเสียหายจากลูกค้าได้ หากสามารถพิสูจน์ได้ว่าลูกค้ามีความประมาทอย่างร้ายแรง หรือมีเจตนา ซึ่งเป็นสาเหตุให้เกิดการละเมิดความปลอดภัย
ความเห็นของ Advocate General ระบุว่า “หากธนาคารสามารถพิสูจน์ได้ว่าลูกค้าไม่ปฏิบัติตามภาระหน้าที่บางประการที่เกี่ยวข้อง โดยเฉพาะหน้าที่ในการดูแลรักษาข้อมูลความปลอดภัยส่วนบุคคล ไม่ว่าจะโดยเจตนา หรือความประมาทอย่างร้ายแรง ธนาคารอาจกำหนดให้ลูกค้ารับผิดชอบต่อความเสียหายที่เกิดขึ้นได้”
นอกจากนี้ยังระบุอีกว่า “หากลูกค้าปฏิเสธที่จะชดใช้เงินจากธุรกรรมที่ไม่ได้รับอนุญาต ธนาคารก็สามารถดำเนินการทางกฎหมายต่อบุคคลดังกล่าวเพื่อเรียกคืนเงินได้”
อย่างไรก็ตาม ความเห็นนี้ยังไม่ใช่คำวินิจฉัยสุดท้ายของศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) แต่เป็นเพียงการแสดงแนวทางที่ศาลอาจนำมาใช้ในการพิจารณาคดีในขั้นตอนต่อไป ดังนั้นความเห็นของ Advocate General จึงเป็นเพียงข้อเสนอแนะทางกฎหมายต่อคณะผู้พิพากษาของ CJEU เท่านั้น ส่วนคำวินิจฉัยสุดท้ายของ CJEU จะมีผลผูกพันต่อศาลทุกแห่งในสหภาพยุโรป
ที่มา : bleepingcomputer
You must be logged in to post a comment.