Vissza

Ha az ügyfél adott helyzetben nem akart utalni, illetve a bank sem akarta, hogy a csalók pénzeket vigyenek el az ügyfelek számlájáról, akkor azt biztosan megállapíthatjuk, hogy az ügyfél és a bank is áldozat. Nyilván mindkét féltől elvárható, hogy legyen elővigyázatos, de azért annak a fogyasztóvédelmi gondolatnak is van igazsága, hogy a bank – emberállománya, szaktudása, tőkeereje folytán – többet tud tenni azért, hogy a rendszer egésze jól működjön, az egyén felelőssége pedig ott domborodik ki, hogy ő maga mindent megtegyen a rendszer adta lehetőségek között a védekezésért.

A bankok abban érdekeltek, hogy amennyiben az ügyfelek nem vigyáztak az adataikra, akkor őket emiatt ne érje kár, de az talán kevésbé ismert, hogy a fogyasztókat több európai szintű és Magyarországon is implementált jogszabályi rendelkezés is speciálisan védi.

Vitás esetekben az MNB mellett működő Pénzügyi Békéltető Testülethez, vagy bírósághoz is lehet fordulni. Amennyiben az ügyfél súlyosan gondatlanul, vagy szándékosan járt el, akkor a bank nem fog visszatéríteni, de ezt a banknak kell bizonyítania.

A fizetési szolgáltatásokra folyamatosan változó (fejlődő) uniós direktívák vonatkoznak. Ezek a PSD- (payment service directive) szabályok, amelyekből most éppen a 2-es érvényes, de már a 3-as számú direktíva munkaanyagának a vitája is zajlik.

Megváltoztak a módszerek

A pénzügyi digitalizáció hőskorában is visszaéltek a csalók a bankkártyánk adataival, például kétszer húzták le a hátravitt kártyát az étteremben, de amióta az ügyfelek sms-t kérhetnek a fizetéseikről, illetve főleg amióta kötelező az úgynevezett erős ügyfél-azonosítás, a csalás fókusza máshol van.

A legképzettebb csalók manapság az erős ügyfél-azonosítás során igyekeznek kihasználni a réseket, leginkább az emberi tényezőt. Vagyis bemásznak az életünkbe, bejutnak a rendszereinkbe, aztán ott már garázdálkodnak.

Sajnos így a visszaélések nemcsak gyakoribbak, de nagyobb értékűek is. Más az, hogy kétszer kell kifizetni a rántott sajtot, vagy más az, ha gyorsan lehúznak milliós összegeket a számlánkról.

Csalás sokféleképpen érhet minket, akkor is, ha készpénzzel fizetünk. Ha az Ecserin veszünk 500 ezer forint készpénzért egy képet, amiről kiderül, hogy hamis, tehetünk feljelentést, de az aligha merül fel bennünk, hogy a számlavezető bankunk, vagy a Magyar Nemzeti Bank ezt majd visszafizeti, hiszen készpénzt használtunk.

Valójában a készpénzt helyettesítő eszköznél, bankkártyánál is ez a helyzet.

Ha tudatosan jóváhagyunk egy fizetést, megadjuk a címzettet, az összeget, okézzuk a megerősítést, akkor is találkozhatunk csalóval, fake webshoppal, hamis áruval, de ebben az esetben az ügyfél által jóváhagyott fizetésről van szó, ez az ügyfél felelőssége.

Illetéktelen kezekben

Más viszont a helyzet akkor, ha a kifizetést nem az ügyfél, hanem a csaló kezdeményezte. De még ezekben az esetekben is van, hogy az ügyfél a hibás. Például súlyos gondatlanság az, ha valaki a banki azonosító adatait könnyen elérhető fájlban tárolja (van a gépén egy jelszavaim.docx fájl);
vagy amikor valaki ugyanabba a folyóba lép bele kétszer, vagyis egy ellene már elkövetett csalásnak még egyszer áldozatául esik.

Összetettebb kérdés azonban az, hogy amikor az ügyfél semmit nem észlel abból, hogy ő csalás célpontja, nem tudja beazonosítani, hogy ki és mikor szerezhetett tőle adatot, vagy amikor internetes megtévesztés, telefonos csalás áldozata, akkor mennyire áll meg a súlyos gondatlansága.

A kiindulás az, hogy a pénzügyi szolgáltatónál van a bizonyítási érdek és teher. Ez azt jelenti, hogy a banknak kell bebizonyítania, hogy az ügyfél súlyosan gondatlan volt. De vajon hogyan tudja egy bank bizonyítani, hogy az ügyfél maga adta át az adatait, vagy gondatlanul járt el a neten?

Az ügyfélnek alapvető kötelessége, hogy a készpénz-helyettesítőknél (legyen az bankkártya, internetbank, ApplePay, vagy akár csak egy Festipay fesztiválkarkötő) a keretszerződés szerint használja az eszközt. Emellett a fogyasztó köteles a banki hitelesítési adatait biztonságban tartani és az eszköz jogosulatlan használatát haladéktalanul bejelenteni a banknak. Ha ezekből valamit szándékosan vagy súlyosan gondatlanul megszeg, akkor a bank mentesül.

De mit tehet a bank, ha az ügyfél letagadja, hogy valójában balekká vált, és egy csalónak megadta az adatait telefonon? Ennek is van tétje, a bíróság megtévesztése ugyanis bűncselekmény. Tehát a fogyasztónak érdemes a valós körülményeket feltárni, és könnyen kiderülhet, hogy valóban rajta keresztül jutottak be a csalók, de ő mégsem volt súlyosan gondatlan.

Ráadásul a bank meghatározott esetekben bizonyítási szükséghelyzetre is hivatkozhat, és érvelhet úgy, hogy mivel a bizonyításhoz szükséges adatok az ügyfélnél vannak, bizonyítson ő.

Megtévesztő gyakorlatok

A klasszikus jó tanácsokat mindenesetre be kell tartani, de ha a csalók pontosan lemásolnak egy banki oldalt, egy értékesítő oldalt, vagy hitelesen telefonálnak, akkor előállhat olyan helyzet, hogy az ügyfél – természetesen ennek felismerése nélkül – átad belépési jogosultságot. Innen van a nagy baj, mert ha bejutott a csaló, akkor ő már módosíthatja a napi költési limiteket, az értesítési beállításokat (nem kér visszajelzést sms-ben, csak az alkalmazásban, vagy egyáltalán nem kér értesítést), vagy hozzáadhat erős jóváhagyást nem igénylő kivételeket, azaz megbízható partnereket.

Ez azt jelenti, hogy az internetbankolási rendszerek észlelik, ha nincs szükség egy rendszeres utalásnál jóváhagyásra, mert az kis összegű, vagy visszatérő (Netflix, Spotify, telefonszolgáltató), de a csalók mechanikusan a saját számlájukat is ilyen kivételként rögzíthetik.

A bank persze erős ügyfél-azonosításhoz köti az erősebb kockázatú lépéseket, csak ugye akkor van baj, ha ennek kontrollját már átvette a csaló. Emellett vannak olyan esetek is, amikor egyáltalán nem lehet tudni, hogy mi történt. Mennek el a pénzek a számlánkról, de hogy mi volt az induló lépés, nem tudni. Lehetett vírus, fizikai hekkelés, szoftveres hekkelés is, és az sem kizárt, hogy mire a dark neten eladják az adatainkat, akár egy feltörés után hónapokkal, évekkel csap le csak a csaló, vagyis agyalhatunk azon, hogy hol is fizettünk legutóbb, de nem biztos, hogy tényleg ott volt rés a pajzson.

Az általános banki érvelés szerint mindenesetre, ha kiadta valaki az adatait, akkor ő súlyosan gondatlan volt. Ugyanakkor itt beléphet egy másfajta érvelés is. Ha valaki átlagos felkészültséggel, elvárható körültekintéssel járt el, az fogalmilag nem lehet súlyosan gondatlan.

Békéltetők

Ha a felek, a bank és az ügyfél nem ugyanúgy látják az esetet, akkor első körben fordulhatnak a Pénzügyi Békéltető Testülethez.

A PBT alapvetően egy mediációs forma, a bizonyításra túl sok eszköz nincs (okiratok, tényelőadás), de azért van, hogy már az is segít egyezségre jutni, hogy a felek (fogyasztó és szolgáltató) leülnek, megértik a másik helyzetét. De nem mindig ez a helyzet. Ha pedig a PBT-eljárásnak vége van, vagy azért, mert a felek megegyeznek, vagy azért, mert semmiképpen sem sikerül megállapodniuk, akkor mindenki fordulhat bírósághoz.

A PBT valójában azért kötelező határozatot is hozhat. Olyan határozatot viszont nem tud hozni, amely egyértelműen helyettesíti a bíróságot, mert még a hivatalosan kötelező erejű határozat ellen is bírósághoz fordulhatnak a bankok. Na de mire számítsunk, ha csak a bíróság marad? Egyrészt egy hosszú, akár éveken át húzódó tortúrára. A bírósági gyakorlat azt mutatja, hogy minden esetben nagyon alapos a bizonyítás, de a bíróságok igyekeznek érzékenyek maradni a fogyasztók érdekvédelme iránt, egyáltalán nem feltétlenül veszett fejsze nyele egy ilyen eljárás.

Érdemes nem elfelejteni azt, hogy a PSD3 tervezete szerint mind a fogyasztó, mind a pénzügyi szolgáltató áldozat, és mint ilyet, akár veszteség is érheti. Az ügyfél azért, mert az ő számlájáról veszik le a pénzt, vélhetően valahol az ő emberi tényezőjét használják ki a csalók. De a bank is ott van a történetben, természetesen ő nem akart közreműködni a csalásban, de az eszközök, a bankkártya, az internetbankolás, a hitelesítő rendszerek a bank tulajdona, neki van lehetősége még jobb védelmet kifejleszteni.

Ezért mintha a bírósági gyakorlat is azt tükrözné, hogy viszonylag magasan van az a léc, ami már súlyos gondatlanság.

(2023. szeptember)