בפסק דין שניתן באחרונה, קבע בית המשפט כי חברת אשראי תחויב לזכות צרכנית שנפלה קורבן להונאת פישינג, אף שמסרה את הקוד הסודי שהוביל לביצוע רכישות בלתי מורשות בשירות Apple Pay בסכום כולל של 4,600 שקל. בית המשפט ניתח את גבולות האחריות של הצרכן וחברת האשראי, וקבע כי במקרה הזה אין להטיל את מלוא האחריות על הלקוחה. בפסק הדין צוין כי, "על חברת האשראי מוטלת החובה לספק ללקוחותיה הגנה ראויה מפני הונאות, במיוחד כאשר מדובר בהונאות מתוחכמות שצרכנים אינם מצוידים בכלים טכנולוגיים להתמודד עמן".

הצרכנית, שהמתינה לחבילה שהזמינה, קיבלה הודעת טקסט שנראתה כמו זו של חברת המשלוחים, שבה היא התבקשה להזין את פרטי כרטיס האשראי שלה לצורך תשלום נוסף. לאחר שהזינה את הפרטים באתר שהופיע בהודעה, היא קיבלה הודעה נוספת עם קוד סודי (OTP) שנשלח על ידי חברת האשראי. מתוך מחשבה שמדובר בחלק מתהליך אימות הליך התשלום, היא הזינה גם את הקוד. התברר כי המתחזה השתמש בפרטים ובקוד הסודי כדי להוסיף את כרטיס האשראי שלה לשירות Apple Pay, וכאמור ביצע רכישות בסכום כולל 4,600 שקל, מבלי שהצרכנית היתה מודעת לכך.

האשה טוענת שפעלה כמו כל צרכן סביר

האשה טענה כי נפלה קורבן להונאה מתוחכמת, וכי לא היתה לה כל דרך לדעת שהקוד הסודי ישמש להונאה. היא הסבירה כי פעלה בתום לב, כפי שכל צרכן סביר היה פועל כשהוא מקבל הודעה שמתחזה להיות כזו רשמית. האשה אף הוסיפה כי חברת האשראי היא זו ששלחה לה את קוד האימות, ולכן עליה לשאת באחריות לדרך שבה הקוד נוצל על ידי צד שלישי. כמו כן, היא טענה כי העסקות בוצעו ללא ידיעתה, ולכן לפי חוק שירותי תשלום, חברת האשראי חייבת להחזיר לה את הכסף.

מנגד, טענה חברת האשראי  כי הלקוחה התרשלה בכך שמסרה את הקוד הסודי לצד שלישי, למרות האזהרות לשמור עליו בסודיות. החברה הסבירה כי לפי תנאי השימוש, הלקוחה מחויבת לנקוט אמצעי זהירות סבירים, וכי מסירת הקוד היא הפרה של חובתה להגן על פרטיה. עוד טענה החברה כי ברגע שהצרכנית מסרה מרצונה את פרטי האשראי והקוד הסודי, אין מדובר בעסקה בלתי מורשית, אלא במקרה שבו הלקוחה בעצמה אישרה – גם אם מתוך טעות – את העסקה. היא אף הוסיפה כי אם בית המשפט יפסוק לטובת הצרכנית, הדבר עלול להביא לעלייה בהונאות ולהטיל נטל כבד על חברות האשראי, שכן לקוחות יוכלו להתנער מכל עסקה בטענה כי נפלו קורבן להונאה.

• הפישינג שעלה ללקוחה ב-52 אלף שקל
• מי אחראי להונאת פישינג – הבנק או הלקוח?
• המלצת המערכת: כל הכותרות 24/7

במהלך הדיון, נדרש בית המשפט לפרש את חוק שירותי תשלום, שמסדיר את חובת ההגנה של חברות האשראי על לקוחותיהן במקרה של עסקות בלתי מורשות. השופט בחן אם העסקה שבוצעה באמצעות Apple Pay נחשבת "עסקה בלתי מורשית", והאם העובדה שהצרכנית מסרה את הקוד הסודי מרצונה שוללת את זכאותה להחזר של הכסף.

בית המשפט קבע כי הונאת הפישינג בוצעה באמצעים מתוחכמים, ואילו הצרכנית לא יכלה לדעת כי הקוד ישמש להוספת כרטיס האשראי שלה ל-Apple Pay. בפסק הדין שפורסם, צוין כי "הצרכנית פעלה כפי שכל אדם סביר היה פועל בנסיבות דומות, ואין לייחס לה רשלנות חמורה". בית המשפט גם הדגיש כי האחריות למניעת הונאות מסוג זה מוטלת בראש ובראשונה על חברות האשראי, מכיוון שיש להן את האמצעים הטכנולוגיים והמשאבים לזהות עסקות חשודות.

"אין לראות בכך אשמה של הצרכנית בלבד"

"כאשר חברת האשראי שולחת קוד אימות ללקוח, עליה לוודא כי הלקוח מבין את מטרת הקוד וכיצד עליו להשתמש בו. במקרה זה, הצרכנית הוטעתה על ידי גורם שלישי, ואין לראות בכך אשמה שלה בלבד", נכתב בפסק הדין. בהתאם למסקנותיו, הורה בית המשפט לחברת האשראי להשיב לצרכנית את מלוא הסכום שנגבה ממנה עבור העסקות שלא ביצעה – 4,600 שקל.

• נדחה ערעור בנוגע לצוואה: "לא נתערב בממצאי מהימנות"
• מכה למשפחת שפירא: בית המשפט דחה ערעור על חיוב מס של עשרות מיליונים - "ניסיון לצבוע את המניות נכשל"
• תוכן שיווקי צברתם הון? מה נכון לעשות איתו?
• כך רשות המסים מצליחה לגבות חובות ישנים

בית המשפט גם התייחס לכך שאין אחידות בפסיקות בנושא זה. במקרים אחרים, נקבע כי כשהלקוח מסר את הקוד הסודי, אין לראות בעסקה כ"בלתי מורשית", ולכן אין להטיל על חברת האשראי את החובה להחזיר את הכסף. ואולם במקרים מסוימים, נפסק כי האחריות להתחלקות בנזק תוטל הן על הצרכן והן על חברת האשראי, בהתאם לרמת הזהירות שנקט כל אחד מהם. הפסיקה הנ"ל קובעת רף מחמיר יותר כלפי חברות האשראי, ומטילה עליהן אחריות גבוהה יותר להגן על הלקוחות מפני הונאות מתוחכמות. ההחלטה עשויה להשפיע על עתיד תביעות דומות בתחום ההונאות הדיגיטליות, והיא מדגישה את הצורך בהגנה רחבה יותר על צרכנים בעידן העסקות המקוונות.

ישנם כמה פסקי דין בישראל ובעולם שעוסקים בשאלת אחריות חברות אשראי בהונאות דיגיטליות. בפסק דין ע"א 4829/20 פלוני נגד חברת אשראי פלונית, קבע בית המשפט כי כשצרכן מסר את הקוד הסודי במודע, אין לראות בעסקות הונאה מוחלטת, אך יש לבחון אם חברת האשראי יכלה לזהות את העסקה כחשודה מראש. בבג"ץ 3995/19 לקוח נגד בנק פלוני נקבע כי כשבנק מזהה פעילות חריגה, עליו לנקוט אמצעים נוספים כדי לוודא שהעסקה אינה הונאה. בשני המקרים האלה, בתי המשפט נטו להטיל אחריות חלקית על הלקוח, אך גם קבעו כי חברות האשראי והבנקים מחויבים לפקח על עסקות חריגות.

מפסק הדין הנ"ל עולה כי בתי המשפט מתחילים להכיר בכך שהונאות פישינג נהפכות למתוחכמות יותר, ולכן לא תמיד ניתן להטיל את מלוא האחריות על הצרכן. כמו כן, חברות האשראי צפויות להידרש לנקוט אמצעי אבטחה נוספים, כמו אימות כפול מחמיר יותר לפני אישור עסקות גדולות, או חיבור כרטיסים לשירותי תשלום דיגיטליים.