Úgy elbántak vele a banki csalók, hogy azóta is összerezzen, ha megcsörren a telefon

Anna többdiplomás, kifejezetten képzett nagymama, akinek a családjában még banki munkatárs is van. Tökéletesen tisztában volt vele, hogy telefonos érdeklődésre nem szabad megadni az érzékeny ügyféladatait. Ennek ellenére számára rendkívül jelentős, többmilliós összegtől szabadították meg a csalók.

Az eset úgy történt, hogy felhívták telefonon látszólag a bankjától, hogy éppen gyanús mozgások látszanak a számláján, erősítse meg, hogy ő utalt-e éppen most 170 ezer forintot. Mondta, hogy nem, mire a magát ügyintézőnek kiadó csaló közölte, hogy akkor nagy baj van, csalók jutottak be a rendszerbe, és gyorsan fel is ajánlotta, hogy akkor az adatok megadása után biztonságos számlára tudja terelni a pénzt.

A szituációban az volt a döbbenetes, hogy Anna többször is határozottan elutasította az adatai megadását, de a 40 perces (!) telefonbeszélgetés során a csaló mégis olyan pszichológiai helyzetet tudott teremteni, olyan sikeresen vázolta fel a még nagyobb károkozás rémképét, hogy miközben Anna végig bizonytalan volt, végig gyanakodott, mégis annyira felerősödött a félelme, hogy végül csak megadta az érzékeny adatait.

Az összeg nagy volt, de – másokkal ellentétben, akiknek így elviszik az életük megtakarításait – anyagilag nem rokkant bele, családtagjai segíteni tudtak. Ugyanakkor egy ilyen távolról végrehajtott betörés tényleg sokkal súlyosabb károkat tud okozni, mintha a betörő feltúrja a lakást, és képeket, elektronikai cikkeket, esetleg készpénzt visz el. Ám az átverés érzelmi része fájóbb volt, a bizalom, az önbizalom és az önbecsülés elvesztése nehezebben volt feldolgozható, hosszú hónapokig tartott, hogy Anna már ne rezzenjen össze, amikor megszólalt a telefonja. A bank nem térített semmit, hiszen az ügyfél – az ismert figyelmeztetés ellenére – valóban önként adta meg az adatait.

Minden digitális

A bankhasználatunk, a vásárlásaink, az utalásaink egyre inkább digitálisak. Bankkártyával, mobillal fizetünk, internet- vagy mobilbankon keresztül utalunk. Sajnos eközben elég sok veszély is leselkedik ránk. Egyre több

• a phishing – az emailes, vagy netes adathalászat;
• a smishing – sms-es csalárd támadás;
• illetve a vishing (voice + phishing), az adatainkra vadászó, megtévesztő telefonhívás.

A csalók elég ötletgazdagok és kifinomultak, pontosan lemásolnak ismert webshopokat, vagy akár banki felületeket is, így próbálnak fizetéseket, vagy adatokat kicsalni tőlünk. A bankok sokszor elmondják, legyünk elővigyázatosak, a munkatársaik soha nem kérnek PIN-kódot telefonon, de az ilyen adathalász telefonos csalók azért elég meggyőzők tudnak lenni. Sürgetnek, valami akut veszélyre figyelmeztetnek, értelmesnek tűnő dolgokat mondanak, durvább esetben „maszkolnak” is, vagyis az ügyfél úgy látja a telefonján, mintha a bankja hívná, ami növelheti a biztonságérzetet.

Dr. Masszi Bálint ügyvéd segítségével próbáltuk áttekinteni, hogy ezekben az esetekben mikor vethetünk tényleg keresztet a pénzünkre, illetve mikor számíthatunk visszatérítésre, és mi van a kettő között, azaz mikor érdemes legalább próbálkozni, hogy részben vagy egészben megtérüljön a kárunk.

A végletek sohasem jók

Ha a bankok minden visszaélésnél automatikusan térítenének, az nem lenne jó a rendszer szempontjából. Egyszerűen nem működnének megfelelően a digitális pénzügyek, az ügyfelek óvatlansága nagyobb lenne (hiszen úgyis megtérül a pénzük), és a bankok balekká válnának, csalárd ügyfelek és lehúzók kockázat nélkül foghatnának össze.

Persze a nulla visszatérítés sem lenne jó megoldás, hiszen, ha a bankok akkor sem szállnának be, ha az ügyfélnek nem volt felróható semmilyen gondatlanság, akkor mindenki úgy érezné, hogy nincs biztonságban a pénze, túl nagy az a kockázat, hogy a jóváhagyása nélkül lehet olykor költeni a számlájáról, vagyis megint csak nem lenne elég bizalom a rendszerben, ebben az esetben sem működnének a digitális pénzügyek.

A két véglet között azonban ingoványos a talaj.

Ha az ügyfél adott helyzetben nem akart utalni, illetve a bank sem akarta, hogy a csalók pénzeket vigyenek el az ügyfelek számlájáról, akkor azt biztosan megállapíthatjuk, hogy az ügyfél és a bank is áldozat. Nyilván mindkét féltől elvárható, hogy legyen elővigyázatos, de azért annak a fogyasztóvédelmi gondolatnak is van igazsága, hogy a bank – emberállománya, szaktudása, tőkeereje folytán – többet tud tenni azért, hogy a rendszer egésze jól működjön, az egyén felelőssége pedig ott domborodik ki, hogy ő maga mindent megtegyen a rendszer adta lehetőségek között a védekezésért.

A bankok természetesen abban érdekeltek, hogy amennyiben az ügyfelek nem vigyáztak az adataikra, akkor őket emiatt ne érje kár, de az talán kevésbé ismert, hogy a fogyasztókat több európai szintű és Magyarországon is implementált jogszabályi rendelkezés is speciálisan védi.

Vitás esetekben a Magyar Nemzeti Bank (MNB) égisze alatt működő Pénzügyi Békéltető Testülethez (PBT), vagy bírósághoz is lehet fordulni. Fontos elem, hogy amennyiben az ügyfél súlyosan gondatlanul, vagy szándékosan járt el, akkor a bank nem fog visszatéríteni, de ezt a banknak kell bizonyítania.

A fizetési szolgáltatásokra folyamatosan változó (fejlődő) uniós direktívák vonatkoznak. Ezek a PSD- (payment service directive) szabályok, amelyekből most éppen a 2-es érvényes, de már a 3-as számú direktíva munkaanyagának a vitája is zajlik. Az uniós joggyakorlatban, például Svédországban vannak olyan ítéletek is, amikor az ügyfél még akkor is visszatérítésre lett jogosult, ha voltaképpen neki felróható okból valósult meg a visszaélés, de nem súlyosan gondatlan, vagy főleg nem szándékos magatartás miatt jutottak pénzhez a csalók.

Megváltoztak a módszerek

A pénzügyi digitalizáció hőskorában is visszaéltek a csalók a bankkártyánk adataival, például kétszer húzták le a hátravitt kártyát a rossz hírű étteremben, de amióta az ügyfelek sms-t kérhetnek a fizetéseikről, illetve főleg amióta kötelező az úgynevezett erős ügyfél-azonosítás, vagy angolul az SCA (strong customer authentication), a csalás fókusza máshol van.

A legképzettebb csalók manapság az erős ügyfél-azonosítás során igyekeznek kihasználni a réseket, leginkább az emberi tényezőt. Vagyis bemásznak az életünkbe, bejutnak a rendszereinkbe, aztán ott már garázdálkodnak.

Sajnos így a visszaélések nemcsak gyakoribbak, de nagyobb értékűek is. Más az, hogy kétszer kell kifizetni a hagymás rostélyost, vagy más az, ha szép lassan (vagy nagyon is gyorsan) lehúznak milliós összegeket a számlánkról.

Csalás sokféleképpen érhet minket, akkor is, ha készpénzzel fizetünk. Ha az Ecserin veszünk 500 ezer forint készpénzért egy képet, amiről kiderül, hogy hamis, tehetünk feljelentést, de az aligha merül fel bennünk, hogy a számlavezető bankunk, vagy a Magyar Nemzeti Bank ezt majd visszafizeti, hiszen készpénzt használtunk.

Valójában a készpénzt helyettesítő eszköznél, bankkártyánál is ez a helyzet.

Ha tudatosan jóváhagyunk egy fizetést, megadjuk a címzettet, az összeget, okézzuk a megerősítést, akkor is találkozhatunk csalóval, fake webshoppal, hamis áruval, de ebben az esetben az ügyfél által jóváhagyott fizetésről van szó, ez az ügyfél felelőssége.

Illetéktelen kezekben

Más viszont a helyzet akkor, ha a kifizetést nem az ügyfél, hanem a csaló kezdeményezte. De még ezekben az esetekben is van, hogy az ügyfél a hibás. Például súlyos gondatlanság az,

• ha valaki a banki azonosító adatait könnyen elérhető fájlban tárolja (van a gépén egy jelszavaim.docx fájl);
• vagy amikor valaki ugyanabba a folyóba lép bele kétszer, vagyis egy ellene már elkövetett csalásnak még egyszer áldozatául esik.

Összetettebb kérdés azonban az, hogy amikor az ügyfél semmit nem észlel abból, hogy ő csalás célpontja, nem tudja beazonosítani, hogy ki és mikor szerezhetett tőle adatot, vagy amikor internetes megtévesztés, telefonos csalás áldozata, akkor mennyire áll meg a súlyos gondatlansága.

A kiindulás az, hogy a pénzügyi szolgáltatónál van a bizonyítási érdek és teher. Ez azt jelenti, hogy a banknak kell bebizonyítania, hogy az ügyfél súlyosan gondatlan volt. De vajon hogyan tudja egy bank bizonyítani, hogy az ügyfél maga adta át az adatait, vagy gondatlanul járt el a neten?

A tapasztalat az, hogy amennyiben egy-egy ilyen ügy bírósági szakaszba jut, ez tényleg nem egyszerű.

Az ügyfélnek alapvető kötelessége, hogy a készpénz-helyettesítőknél (legyen az bankkártya, internetbank, ApplePay, vagy akár csak egy Festipay fesztiválkarkötő) a keretszerződés szerint használja az eszközt. Emellett a fogyasztó köteles a banki hitelesítési adatait biztonságban tartani és az eszköz jogosulatlan használatát haladéktalanul bejelenteni a banknak. Ha ezekből valamit szándékosan vagy súlyosan gondatlanul megszeg, akkor a bank mentesül.

De mit tehet a bank, ha az ügyfél letagadja, hogy valójában balekká vált, és egy csalónak megadta az adatait telefonon? Ennek is van tétje, a bíróság megtévesztése ugyanis bűncselekmény. Tehát a fogyasztónak érdemes a valós körülményeket feltárni, és könnyen kiderülhet, hogy valóban rajta keresztül jutottak be a csalók, de ő mégsem volt súlyosan gondatlan.

Ráadásul a bank meghatározott esetekben bizonyítási szükséghelyzetre is hivatkozhat, és érvelhet úgy, hogy mivel a bizonyításhoz szükséges adatok az ügyfélnél vannak, bizonyítson ő.

Megtévesztő gyakorlatok

A klasszikus jó tanácsokat mindenesetre be kell tartani, de ha a csalók pontosan lemásolnak egy banki oldalt, egy értékesítő oldalt, mint a HVG cikke alapján a Tisza Cipő esetében, vagy hitelesen telefonálnak, akkor előállhat olyan helyzet, hogy az ügyfél – természetesen ennek felismerése nélkül – átad belépési jogosultságot. Innen van a nagy baj, mert ha bejutott a csaló, akkor ő már módosíthatja a napi költési limiteket, az értesítési beállításokat (nem kér visszajelzést sms-ben, csak az alkalmazásban, vagy egyáltalán nem kér értesítést), vagy hozzáadhat erős jóváhagyást nem igénylő kivételeket, azaz megbízható partnereket.

Ez azt jelenti, hogy az internetbankolási rendszerek észlelik, ha nincs szükség egy rendszeres utalásnál jóváhagyásra, mert az kis összegű, vagy visszatérő (Netflix, Spotify, telefonszolgáltató), de a csalók mechanikusan a saját számlájukat is ilyen kivételként rögzíthetik.

A bank persze erős ügyfél-azonosításhoz köti az erősebb kockázatú lépéseket, csak ugye akkor van baj, ha ennek kontrollját már átvette a csaló. Emellett vannak olyan esetek is, amikor egyáltalán nem lehet tudni, hogy mi történt. Mennek el a pénzek a számlánkról, de hogy mi volt az induló lépés, nem tudni. Lehetett vírus, fizikai hekkelés, szoftveres hekkelés is, és az sem kizárt, hogy mire a dark neten eladják az adatainkat, akár egy feltörés után hónapokkal, évekkel csap le csak a csaló, vagyis agyalhatunk azon, hogy hol is fizettünk legutóbb, de nem biztos, hogy tényleg ott volt rés a pajzson.

Az általános banki érvelés szerint mindenesetre, ha kiadta valaki az adatait, akkor ő súlyosan gondatlan volt. Ugyanakkor itt beléphet egy másfajta érvelés is. Ha valaki átlagos felkészültséggel, elvárható körültekintéssel járt el, az fogalmilag nem lehet súlyosan gondatlan.

Ingoványos terület

Mindenesetre, ha a felek, a bank és az ügyfél nem ugyanúgy látják az esetet, akkor első körben fordulhatnak a Pénzügyi Békéltető Testülethez.

A PBT alapvetően egy mediációs forma, a bizonyításra túl sok eszköz nincs (okiratok, tényelőadás), de azért van, hogy már az is segít egyezségre jutni, hogy a felek (fogyasztó és szolgáltató) leülnek, megértik a másik helyzetét. De nem mindig ez a helyzet. Ha pedig a PBT-eljárásnak vége van, vagy azért, mert a felek megegyeznek, vagy azért, mert semmiképpen sem sikerül megállapodniuk, akkor mindenki fordulhat bírósághoz.

Azokba a részletekbe most nem megyünk bele, hogy a PBT valójában azért kötelező határozatot is hozhat. Azért nem, mert olyan határozatot nem tud hozni, amely egyértelműen helyettesíti a bíróságot, mert még a hivatalosan kötelező erejű határozat ellen is bírósághoz fordulhatnak a bankok.

Na de mire számítsunk, ha csak a bíróság marad? Egyrészt egy hosszú, akár éveken át húzódó tortúrára, Masszi Bálint szerint a bírósági gyakorlat azt mutatja, hogy minden esetben nagyon alapos a bizonyítás, de a bíróságok igyekeznek érzékenyek maradni a fogyasztók érdekvédelme iránt, egyáltalán nem feltétlenül veszett fejsze nyele egy ilyen eljárás.

Érdemes nem elfelejteni azt, hogy a PSD3 tervezete szerint mind a fogyasztó, mind a pénzügyi szolgáltató áldozat, és mint ilyet, akár veszteség is érheti. Az ügyfél azért, mert az ő számlájáról veszik le a pénzt, vélhetően valahol az ő emberi tényezőjét használják ki a csalók. De a bank is ott van a történetben, természetesen ő nem akart közreműködni a csalásban, de az eszközök, a bankkártya, az internetbankolás, a hitelesítő rendszerek a bank tulajdona, neki van lehetősége még jobb védelmet kifejleszteni.

Ezért mintha a bírósági gyakorlat is azt tükrözné, hogy viszonylag magasan van az a léc, ami már súlyos gondatlanság.