Τράπεζα Πειραιώς: Η διαρροή προσωπικών δεδομένων εργαζόμενων του Alter και η δικαίωση

Τράπεζα Πειραιώς: Η διαρροή προσωπικών δεδομένων εργαζόμενων του Alter και η δικαίωση

Μία απίστευτη υπόθεση διαρροής προσωπικών δεδομένων πελατών της Τράπεζας Πειραιώς παίζεται εδώ και δέκα σχεδόν χρόνια στις δικαστικές αίθουσες. Προσωπικά δεδομένα πρώην εργαζομένων του τηλεοπτικού σταθμού Alter διέρρευσαν στο διαδίκτυο έπειτα από επίθεση ομάδας hacker.

Το περασμένο καλοκαίρι οι εργαζόμενοι δικαιώθηκαν στο Μονομελές Πρωτοδικείο Αθηνών, καθώς το Δικαστήριο αναγνώρισε υπαιτιότητα της Τράπεζας και διέταξε την καταβολή αποζημίωσης σε κάθε εργαζόμενο από αυτούς που είχαν προσφύγει στη Δικαιοσύνη. Ωστόσο η Τράπεζα κατέθεσε αίτηση προσωρινής διαταγής προσωρινής διαταγής αναστολής εκτέλεσης κατά της απόφασης του Μονομελούς Πρωτοδικείου την οποία κέρδισε και την Παρασκευή 11 Δεκεμβρίου συζητείται η έκδοση οριστικής απόφασης για την αίτηση αναστολής, ενώ έχει καταθέσει και έφεση κατά της πρωτόδικης απόφασης.

Στις αρχές Οκτωβρίου του 2009 μία ομάδα hackers επιτέθηκε στο ηλεκτρονικό σύστημα Πληροφορικής της Τράπεζας Πειραιώς. Η ομάδα των hacker η οποία αυτοαποκαλούνταν ως Hack4fame κατάφερε να υποκλέψει τα προσωπικά δεδομένα δεκάδων εργαζομένων που την περίοδο εκείνη απασχολούνταν στον τηλεοπτικό σταθμό Alter. Μέσω της Τράπεζας Πειραιώς καταβάλλονταν από την ιδιοκτησία του Alter οι μισθοί στους εργαζόμενους του καναλιού. Για το λόγο αυτό η Τράπεζα Πειραιώς διέθετε αρχεία προσωπικών δεδομένων των εργαζομένων, όπως για παράδειγμα το IBAN, αριθμοί τραπεζικών λογαριασμών, στοιχεία ταυτότητας κτλ. Η επίθεση των hacker πραγματοποιήθηκε όπως προκύπτει από επίσημα δικαστικά έγγραφα από τις 2 Οκτωβρίου του 2009 μέχρι και τις 28 Νοεμβρίου του ίδιου έτους.

Μερικούς μήνες μετά οι εργαζόμενοι διαπίστωσαν έντρομοι ότι προσωπικά τους δεδομένα είχε διαρρεύσει σε διάφορα blogs. Ειδικότερα στις 11 Φεβρουαρίου του 2010, δημοσιεύτηκαν στο troktiko.blogspot.com, στο fimes.gr, politikiprotasi.blogspot.gr κτλ επεξεργασμένοι από την Τράπεζα Πειραιώς πίνακες με τα ονοματεπώνυμα εργαζομένων του ΑΛΤΕΡ όπου δίπλα από κάθε πρόσωπο αναγράφονταν και μία σειρά από άλλα προσωπικά τους στοιχεία. Επρόκειτο για ψηφιακές εικόνες που είχαν ληφθεί από ηλεκτρονικό υπολογιστή (screen shots δηλαδή), με ονομασίες και κωδικούς χρήσης των υπαλλήλων του ΑΛΤΕΡ. Προκειμένου να καλύψει τις ευθύνες της η Τράπεζα Πειραιώς εξέδωσε ανακοίνωση στις 12 Φεβρουαρίου του 2010. Σύμφωνα με αυτή, τα συστήματα της Τράπεζας ουδέποτε είχαν παραβιαστεί από hackers, ενώ οι εικόνες που είχαν κυκλοφορήσει στο διαδίκτυο από τα συστήματα της ήταν παλιές και είχαν πάψει να χρησιμοποιούνται χρόνια πριν.

Μία εβδομάδα μετά και συγκεκριμένα στις 17 Φεβρουαρίου ακολούθησε νέα διαρροή προσωπικών δεδομένων σε ιστοσελίδες και blogs. Όπως για παράδειγμα το IBAN, οι αριθμοί ταυτότητας, οι ημερομηνίες γέννησης, η ΔΟΥ που ανήκουν, διευθύνσεις τους κτλ. Μεταξύ αυτών και ο κωδικός πελάτη για κάθε έναν εργαζόμενο, το αποκαλούμενο CRS. O κωδικός αυτός, «είναι ένα μοναδικό αναγνωριστικό που επιτρέπει την αντιστοιχία με κάθε πελάτη του συστήματος της Τράπεζας, δημιουργείται από τα οικεία τμήματα της Τράπεζας και χρησιμοποιείται αποκλειστικά σε ενδοτραπεζικούς σκοπούς» όπως αναφέρεται στην υπ’ αριθμόν 2575/2020 απόφαση του Πολυμελούς Πρωτοδικείου Αθηνών που δικαίωσε δεκάδες εργαζόμενους του ΑΛΤΕΡ.

Οι hackers είχαν καταφέρει να κάνουν σμπαράλια τα συστήματα της Τράπεζας και αυτό ήταν κάτι που δεν μπορούσε να αποσιωπηθεί.

Άνοιξαν 50 τηλεφωνικές συνδέσεις στο όνομα εργαζόμενης

Ακόμη πιο εντυπωσιακό όμως ήταν το γεγονός που συνέβη στις αρχές Δεκεμβρίου του 2009. Μερικές ημέρες δηλαδή μετά την υποκλοπή. Κάποιος ή κάποιοι με τα προσωπικά στοιχεία μιας εργαζόμενης του Alter προχώρησαν στο άνοιγμα 50 τηλεφωνικών συνδέσεων από την Cosmote. Οι συνδέσεις αγοράστηκαν από κατάστημα της εταιρείας στην Μάνδρα της Αττικής δίχως η ίδια να γνωρίζει το παραμικρό.

Ακολούθησε έρευνα της Δίωξης Ηλεκτρονικού Εγκλήματος, στο πλαίσιο άλλης δικογραφίας που είχε σχηματιστεί έπειτα από μήνυση της Τράπεζας Πειραιώς. Μάταια όμως. Οι εγκέφαλοι της σοβαρής αυτής υποκλοπής δεν κατάφεραν να βρεθούν. Σύμφωνα με όσα αναφέρονται στα επίσημα δικαστικά έγγραφα οι επιθέσεις των hackers προήλθαν από διάφορες χώρες. Μεταξύ αυτών η Ολλανδία, η Γερμανία και η Γαλλία αλλά και ένα ακόμη σημείο από την Ελλάδα και συγκεκριμένα από το χώρο της Αθήνας. Επρόκειτο για το Εθνικό Μετσόβιο Πολυτεχνείο (ΕΜΠ) το οποίο με έγγραφό του ενημέρωσε την ΕΛ.ΑΣ ότι το φάσμα των ηλεκτρονικών διευθύνσεων ή αλλιώς οι IP addresses, όπως αποκαλούνται είχε παραχωρηθεί σε εργαστηριακό χώρο της Σχολής Ηλεκτρολόγων Μηχανικών και Μηχανικών Ηλεκτρονικών Υπολογιστών. Αυτό πρακτικά σήμαινε ότι ο εντοπισμός των δραστών ήταν αδύνατος καθώς το συγκεκριμένο χώρο χρησιμοποιούσαν πολλά άτομα καθημερινά και επομένως ήταν αδύνατο να εντοπιστούν οι δράστες της επίθεσης. Δίχως αποτέλεσμα ήταν όμως και οι απαντησεις που έστειλαν οι δικαστικές αρχές της Ολλανδίας, της Γαλλίας και της Γερμανίας καθώς οι hackers είτε είχαν χρησιμοποιήσει ηλεκτρονικές διευθύνσεις τρίτων προσώπων εν αγνοία τους, είτε από υπολογιστές σε δημόσιους χώρους που μπορεί να είχε πρόσβαση ο καθένας.

Για την υπόθεση αυτή τελικά παραπέμφθηκαν σε δίκη τρία στελέχη της Τράπεζας Πειραιώς με κατηγορίες σε βαθμό κακουργήματος. Ωστόσο το Δικαστήριο αθώωσε και τους τρεις σε ότι αφορά το ποινικό τους σκέλος καθώς έκρινε ότι «η παράλειψη λήψης μέτρων για την διαρροή προσωπικών δεδομένων» δεν εμπεριέχει δόλο. Αντίθετα σύμφωνα με το Δικαστήριο η αμελής συμπεριφορά των κατηγορούμενων αποτελεί «διοικητική παράβαση που δύναται να γεννήσει ενδεχομένως αξιώσεις χρηματικής ικανοποίησης».

Δικαίωση των εργαζομένων σε βάρος της Τράπεζας

Ήδη πάντως και πριν από την απόφαση του ποινικού δικαστηρίου δεκάδες εργαζόμενοι είχαν καταθέσει σειρά αγωγών στην Τράπεζα Πειραιώς ζητώντας αποζημιώσεις για την διαρροή των προσωπικών τους δεδομένων στο διαδίκτυο. Το Πολυμελές Πρωτοδικείο Αθηνών με την υπ’ αριθμόν 2575/2020 απόφαση του αναγνώρισε ευθύνη της Τράπεζας και δικαίωσε τους εργαζόμενους που είχαν προσφύγει σε βάρος της.

Ειδικότερα το Δικαστήριο αναγνώρισε «υπαιτιότητα (αμέλεια) της Τράπεζας σε ότι αφορά τη διαρροή των προσωπικών δεδομένων, «συνιστάμενη στο ότι δεν προέβλεψε την παραβίαση των προσωπικών δεδομένων των εργαζομένων του ΑΛΤΕΡ», καθώς επίσης και ότι «παρέλειψε να λάβει τα απαιτούμενα για την προστασία τους μέτρα ασφαλείας» και να «επιβλέψει την πιστή τήρησή και εφαρμογή τους προς αποτροπή της παραβίασης αυτής». Επίσης το Δικαστήριο αναγνώρισε «παραβίαση των προσωπικών δεδομένων και της προσωπικότητας» των εργαζομένων, «προσβολή της προσωπικότητάς τους», «ηθική βλάβη» κτλ. Στην απόφαση γίνεται επίσης ξεχωριστή αναφορά στην περίπτωση της εργαζομένης που κάποιοι άνοιξαν 50 τηλεφωνικές συνδέσεις με τα στοιχεία της δίχως η ίδια να το γνωρίζει. Όπως ανέφερε το Δικαστήριο, υπήρχε «κίνδυνος να χρησιμοποιηθούν σε εγκληματικές ενέργειες».

Aπό την πλευρά της η Τράπεζα Πειραιώς κατέθεσε αίτηση προσωρινής διαταγής αναστολής εκτέλεσης κατά της απόφασης του Μονομελούς Πρωτοδικείου. Κάτι που έγινε δεκτό. Επίσης έχει καταθέσει και έφεση με την οποία ζητεί την «εξαφάνιση της απόφασης του Μονομελούς Πρωτοδικείου». Την Παρασκευή συζητείται η έκδοση οριστικής απόφασης για την αίτηση αναστολής η οποία αναμένεται με μεγάλο ενδιαφέρον. 

Documento Newsletter