Η ληστεία με ένα κλικ

Κάθε μέρα του πρώτου εξαμήνου του 2025 περνούσαν από το κυπριακό σύστημα πληρωμών, κατά μέσο όρο, 88 δόλιες ηλεκτρονικές συναλλαγές. Κάθε μέρα άλλαζαν χέρια σχεδόν €22.000 μέσα από πληρωμές που δεν έπρεπε να γίνουν: άλλες με κλεμμένα στοιχεία κάρτας, άλλες με υποκλεμμένους κωδικούς και άλλες επειδή ο ίδιος ο πολίτης ή η επιχείρηση πείστηκε να πατήσει «send» προς λάθος άνθρωπο. Σύμφωνα με τα στοιχεία της Κεντρικής Τράπεζας, σε έξι μήνες καταγράφηκαν περίπου 16.000 δόλιες μη χρηματικές συναλλαγές, αυξημένες κατά 30% σε σχέση με το πρώτο εξάμηνο του 2024, ενώ η αξία τους πλησίασε τα €4 εκατ., με αύξηση 66%.

Οι 88 συναλλαγές την ημέρα δεν σημαίνουν κατ’ ανάγκην 88 διαφορετικά θύματα. Ένας λογαριασμός μπορεί να χτυπηθεί περισσότερες από μία φορές. Δείχνουν, όμως, την καθημερινότητα ενός εγκλήματος, που δεν χρειάζεται κουκούλα, όπλο ή διάρρηξη. Την ίδια ώρα, η Υποδιεύθυνση Ηλεκτρονικού Εγκλήματος κατέγραψε για το 2025, 920 υποθέσεις διαδικτυακής απάτης, με απώλειες €10.452.540, επιπλέον $4.185.955 και £5.272. Με απλή αναγωγή, πρόκειται για περίπου δυόμισι υποθέσεις την ημέρα και πάνω από €28.000 ημερήσιες απώλειες μόνο σε ευρώ. Τα στοιχεία της Κεντρικής Τράπεζας και της Αστυνομίας δεν αθροίζονται, επειδή μετρούν διαφορετικά πεδία. Διαβάζονται, όμως, μαζί: η απάτη μεταφέρθηκε στην οθόνη, στο e-banking, στο ψεύτικο IBAN, στην επενδυτική πλατφόρμα και στο κινητό.

Η πληρωμή... στον απατεώνα

Για τον αναγνώστη, ο όρος «δόλια πληρωμή» ακούγεται τραπεζικός. Στην πράξη περιγράφει κάτι πολύ συγκεκριμένο: ηλεκτρονική πληρωμή που κατέληξε σε απατεώνα. Μπορεί να έγινε χωρίς άδεια, με κλεμμένα στοιχεία κάρτας ή με χρήση κωδικών e-banking. Μπορεί, όμως, να έγινε και από τον ίδιο τον κάτοχο, επειδή κάποιος τον έπεισε ότι μιλά με τράπεζα, κρατική υπηρεσία, συνεργάτη, επενδυτική εταιρεία ή προμηθευτή.

Η δεύτερη εκδοχή προκαλεί και τη μεγαλύτερη ζημιά. Στις κάρτες, η Κεντρική Τράπεζα καταγράφει κυρίως συναλλαγές χωρίς συγκατάθεση. Στις μεταφορές πίστωσης, δηλαδή στα εμβάσματα, η εικόνα αλλάζει. Σε μεγάλο μέρος των περιπτώσεων ο κάτοχος του λογαριασμού παραπλανήθηκε και έστειλε ο ίδιος τα χρήματα. Δεν του τα πήραν με τη βία. Του έστησαν σκηνικό αρκετά πειστικό για να τα στείλει.

Το σκηνικό μπορεί να ξεκινήσει από ένα SMS που μοιάζει τραπεζικό, από τηλεφώνημα δήθεν λειτουργού, από email που αντιγράφει γνωστό συνεργάτη, από τιμολόγιο με αλλαγμένο IBAN ή από επενδυτική πλατφόρμα που εμφανίζει στην οθόνη ανύπαρκτα κέρδη. Ο πολίτης βλέπει λογότυπο, όνομα, αριθμό, σύνδεσμο, επείγουσα προειδοποίηση. Ο επιχειρηματίας βλέπει τιμολόγιο και οδηγία πληρωμής. Η απάτη εκμεταλλεύεται την ταχύτητα, με την οποία λειτουργεί πλέον η καθημερινότητα.

Πολλά χτυπήματα στις κάρτες, μεγάλα ποσά στα εμβάσματα

Οι κάρτες δίνουν τον μεγαλύτερο αριθμό περιστατικών. Το πρώτο εξάμηνο του 2025 αντιστοιχούσαν στο 92% των δόλιων πληρωμών, περίπου 15.000 συναλλαγές. Αυτήν την απάτη βλέπει συχνότερα ο πολίτης: μικρές ή μεσαίες χρεώσεις που δεν αναγνωρίζει, ηλεκτρονικές αγορές από άγνωστες πλατφόρμες, δοκιμαστικές χρεώσεις, επαναλαμβανόμενες κινήσεις.

Τα μεγάλα ποσά, όμως, φεύγουν κυρίως από τα εμβάσματα. Οι δόλιες μεταφορές πίστωσης έδωσαν το 54% της συνολικής αξίας της απάτης, περίπου €1,9 εκατ., ενώ οι κάρτες το 45%, περίπου €1,6 εκατ. Η μέση δόλια μεταφορά πίστωσης στην Κύπρο έφτασε τις €5.472, ποσό πάνω από το διπλάσιο του μέσου όρου της Ευρωζώνης. Εκεί δεν μιλάμε για μιαν άγνωστη χρέωση λίγων δεκάδων ευρώ. Μιλάμε για ποσά που μπορούν ν’ αδειάσουν λογαριασμό, να χτυπήσουν αποταμιεύσεις, να παγώσουν μισθοδοσία ή να δημιουργήσουν πραγματικό πρόβλημα ρευστότητας σε μικρή επιχείρηση.

Η διασυνοριακή πλευρά δυσκολεύει ακόμη περισσότερο την υπόθεση. Στις κάρτες, η απάτη εμφανίζεται πολλαπλάσια στις συναλλαγές με το εξωτερικό σε σχέση με τις εγχώριες. Τα χρήματα μπορεί να περάσουν γρήγορα από έναν λογαριασμό σε άλλον, να σπάσουν σε μικρότερα ποσά, να διακινηθούν μέσω ενδιάμεσων προσώπων ή να καταλήξουν σε ψηφιακά πορτοφόλια. Όσο καθυστερεί η αντίδραση, τόσο μακραίνει η απόσταση ανάμεσα στο θύμα και τα χρήματά του.

Από το SMS στο άδειο υπόλοιπο

Η Αστυνομία προειδοποιεί ότι θύμα μπορεί να πέσει οποιοσδήποτε. Οι δράστες δεν κυνηγούν μόνο ηλικιωμένους ή ανθρώπους χωρίς τεχνολογική εμπειρία. Κυνηγούν τη βιασύνη, τον φόβο, την εμπιστοσύνη και την προσδοκία γρήγορου κέρδους. Ένα μήνυμα για «μπλοκαρισμένο» λογαριασμό, μια δήθεν ειδοποίηση ταχυμεταφοράς, μια ψεύτικη κλήση από τραπεζικό τμήμα ασφαλείας ή μια διαφήμιση επένδυσης με γνωστό πρόσωπο αρκούν για ν’ ανοίξει η πόρτα.

Η τεχνητή νοημοσύνη έκανε το δόλωμα πιο πειστικό. Παραποιημένες εικόνες, ψεύτικα βίντεο, φωνές που μοιάζουν πραγματικές και πλαστές μαρτυρίες χρησιμοποιούνται πλέον για να ντύσουν την απάτη με αξιοπιστία. Ο πολίτης δεν βρίσκεται απέναντι σε κακογραμμένο email, αλλά σε περιβάλλον που πολλές φορές μοιάζει επαγγελματικό, καθαρό και ασφαλές.

Η Αρχή Ψηφιακής Ασφάλειας κατέγραψε ότι 33% των πολιτών δήλωσαν πως δέχθηκαν κυβερνοεπίθεση μέσα στους τελευταίους 12 μήνες, με μέσο αριθμό 25,9 επιθέσεις τον χρόνο. Απ’ όσους επηρεάστηκαν, 17% ανέφεραν οικονομικό κόστος, κατά μέσο όρο €141. Το ποσό μοιάζει χαμηλό δίπλα στις μεγάλες υποθέσεις, αλλά δείχνει τη συχνότητα της πρώτης απόπειρας. Οι μεγάλες ζημιές ξεκινούν συχνά από μικρά, καθημερινά κλικ.

Το email που χτυπά το ταμείο

Στις επιχειρήσεις, η απάτη δεν εμφανίζεται πάντα ως «κυβερνοεπίθεση» με την κινηματογραφική έννοια. Συχνά έρχεται ως κανονικό email. Η έρευνα της Αρχής Ψηφιακής Ασφάλειας, σε δείγμα 459 επιχειρήσεων, κατέγραψε ότι 53% δέχθηκαν επίθεση ή παραβίαση μέσα σε έναν χρόνο. Ο μέσος όρος αντιστοιχεί σε μία επίθεση κάθε οκτώ ημέρες. Από τις επιχειρήσεις που επηρεάστηκαν, 51% υπέστησαν οικονομικό κόστος, κατά μέσο όρο €12.000.

Το phishing παραμένει η πιο συχνή πόρτα εισόδου. Απ’ εκεί και πέρα, ο δράστης μπορεί να παρακολουθήσει αλληλογραφία, να μιμηθεί συνεργάτη, να αλλοιώσει τιμολόγιο, να αλλάξει IBAN ή να στείλει οδηγία για επείγουσα πληρωμή. Μια μικρή εταιρεία που χάνει €12.000 δεν χάνει απλώς έναν αριθμό σε λογιστικό φύλλο. Χάνει μισθούς, προμηθευτές, χρόνο, αξιοπιστία και ηρεμία.

Η επένδυση-φάντασμα

Στις επενδυτικές και crypto απάτες, το χρήμα δεν φεύγει πάντα με την πρώτη κίνηση. Πρώτα χτίζεται εμπιστοσύνη. Ο «σύμβουλος» απαντά άμεσα, η πλατφόρμα δείχνει κέρδη, ο επενδυτής βλέπει γραφήματα, αποδόσεις και δήθεν υπόλοιπα. Στην αρχή μπορεί να του επιτραπεί μικρή ανάληψη, για να πειστεί. Μετά ζητούνται μεγαλύτερες καταθέσεις. Όταν έρθει η ώρα να πάρει πίσω τα χρήματα, εμφανίζονται φόροι, τέλη, επιβεβαιώσεις και νέες πληρωμές. Σε αρκετές περιπτώσεις ακολουθεί δεύτερο κύμα απάτης, με δήθεν εταιρείες ανάκτησης χρημάτων που ζητούν αμοιβή για να «ξεμπλοκάρουν» τα χαμένα.

Η υπόθεση της Eurojust τον Νοέμβριο του 2025 έδειξε το μέγεθος αυτής της βιομηχανίας. Ευρωπαϊκή επιχείρηση κατά δικτύου crypto απάτης και ξεπλύματος, με φερόμενα έσοδα άνω των €600 εκατ., οδήγησε σε εννέα συλλήψεις σε Κύπρο, Ισπανία και Γερμανία. Σύμφωνα με την ευρωπαϊκή υπηρεσία, είχαν στηθεί δεκάδες ψεύτικες πλατφόρμες επενδύσεων, με θύματα που προσελκύονταν μέσω κοινωνικών δικτύων, τηλεφωνημάτων, ψεύτικων άρθρων και πλαστών μαρτυριών. Από κυπριακής πλευράς συμμετείχαν η Νομική Υπηρεσία, η ΜΟΚΑΣ και η Αστυνομία.

Ο κυπριακός χρηματοοικονομικός θόρυβος

Η ΜΟΚΑΣ αποτυπώνει το θεσμικό βάθος της υπόθεσης. Στην ετήσια έκθεση για το 2025, οι αναφορές ύποπτων συναλλαγών και δραστηριοτήτων αυξήθηκαν από 3.870 το 2024, σε 24.092 το 2025. Η Μονάδα διευκρινίζει ότι η μεγάλη αύξηση συνδέεται κυρίως με οντότητες αδειοδοτημένες στην Κυπριακή Δημοκρατία, οι οποίες παρέχουν υπηρεσίες στον ευρωπαϊκό χώρο. Από το σύνολο, 2.481 αναφορές είχαν σύνδεση με την Κύπρο.

Το στοιχείο δεν επιτρέπει εύκολες υπερβολές. Δεν μετατρέπει όλες τις 24.092 αναφορές σε εγχώριες υποθέσεις. Δείχνει, όμως, ότι το κυπριακό χρηματοοικονομικό περιβάλλον βρίσκεται μέσα σε ευρύτερες ροές, ελέγχους, αδειοδοτήσεις και υποψίες. Το 2025 η ΜΟΚΑΣ προχώρησε σε 572 διαβιβάσεις πληροφοριών προς αρμόδιες Αρχές, κυρίως προς την Αστυνομία και το Τμήμα Φορολογίας. Η ύποπτη απάτη, μαζί με τη διαδικτυακή της μορφή, βρέθηκε στην πρώτη γραμμή των πιθανών βασικών αδικημάτων.

Μπορώ να πάρω τα χρήματά μου πίσω?

Για το θύμα, η πιο πρακτική ερώτηση έρχεται αμέσως μετά το σοκ: επιστρέφονται τα χρήματα; Όταν η συναλλαγή γίνεται χωρίς έγκριση, με κλεμμένη κάρτα ή χρήση στοιχείων χωρίς συγκατάθεση, το νομικό πλαίσιο δίνει καλύτερη θέση στον πελάτη. Ο πάροχος πληρωμών οφείλει, υπό προϋποθέσεις, να επιστρέψει το ποσό μη εξουσιοδοτημένης συναλλαγής άμεσα και το αργότερο μέχρι το τέλος της επόμενης εργάσιμης ημέρας, εκτός αν υπάρχουν εύλογες υπόνοιες απάτης. Η ευθύνη του πελάτη μπορεί να περιοριστεί μέχρι €50, εκτός από περιπτώσεις δόλου ή βαριάς αμέλειας.

Όταν όμως το θύμα έστειλε μόνο του τα χρήματα, επειδή εξαπατήθηκε, η υπόθεση γίνεται πολύ πιο δύσκολη. Η συναλλαγή εμφανίζεται τεχνικά εγκεκριμένη. Η τράπεζα μπορεί να προσπαθήσει να παγώσει ή να ανακαλέσει τη μεταφορά, όμως ο χρόνος τρέχει υπέρ των δραστών. Ξένα IBAN, λογαριασμοί-περάσματα, money mules, prepaid μέσα, crypto wallets και servers εκτός Κύπρου κόβουν τη διαδρομή σε πολλά κομμάτια.

Η μόνη σωστή αντίδραση αρχίζει αμέσως: τηλεφώνημα στην τράπεζα, μπλοκάρισμα κάρτας ή λογαριασμού, καταγγελία στην Αστυνομία και αποθήκευση κάθε στοιχείου - μηνυμάτων, αριθμών, emails, links, αποδείξεων, screenshots και στοιχείων παραλήπτη. Στην ψηφιακή απάτη, η καθυστέρηση δεν κοστίζει απλώς χρόνο. Μπορεί να κοστίσει την τελευταία πιθανότητα να παγώσουν τα χρήματα πριν χαθούν σε άλλη χώρα, άλλο όνομα ή άλλο πορτοφόλι.

Η Κύπρος καλείται πλέον ν’ αντιμετωπίσει ένα έγκλημα που δεν κάνει θόρυβο. Δεν αφήνει σπασμένη βιτρίνα, ούτε πόρτα παραβιασμένη. Αφήνει εντολές πληρωμής, άδεια υπόλοιπα, ψεύτικες σελίδες και πολίτες που αντιλαμβάνονται αργά ότι η ληστεία έγινε μπροστά στα μάτια τους, με ένα κλικ.