Az MNB júniusban közzétett jelentése elég komoly növekedésről számol be a pénzforgalomban bekövetkezett csalásokról. A rossz hír az ügyfeleknek az, hogy a kétlépcsős azonosítás elterjedésével a csalók a pszichológiai manipuláció és az adathalászat módszerére tértek át, és az ezzel kicsalt pénzeket a bankok jellemzően nem térítik meg – mert súlyos gondatlanságnak tekintik. Némi reményre csak a ritka, de létező békéltetői és bírósági eljárások eredménye adhat okot.
A minap meghívást kaptam az RTL Klub Reggeli műsorába, ahol az internetes csalások volt a téma. Mivel ezekre a beszélgetésekre mindig készülök egy kicsit, gondolta,m két dolognak utánanézek. Az egyik, hogy valóban növekedett-e az internetes csalások száma, és mik a tipikus esetei ennek a bűncselekmény-típusnak, a másik, hogy – mivel az elkövetőket elég ritkán csípik el, és ha el is fogják őket, az ellopott pénzt lényegében soha nem lehet visszaszerezni tőlük – mekkora esélye van egy átlagpolgárnak a banktól valamiféle kompenzációt kapni, azaz legalább a pénz egy részét visszaszerezni.
Ami az összes ilyen bűncselekmény számát illeti, valószínűleg évi több tízezerről beszélünk, de hogy ez pontosan mennyi, nehéz megmondani. A Rendőrség által működtetett honlap szerint 2018. II. félévétől kezdődően 17 877 (feljelentésig eljutott) internetes csalást (információs rendszer felhasználásával elkövetett csalás, Btk. 375. §) követtek el, de ebben nincsenek benne például a társkereső oldalakon elkövetett csalások, ugyanis azok a hagyományos csalás fogalma (Btk. 375.§) alá tartoznak. Mindenesetre ami a legfeltűnőbb, és amiről a műsorban is beszéltünk, azok az ún. „pénzforgalmi visszaélések” (bankkártya és utalással kapcsolatos, illetve internetbanki csalások), és amelyekről szerencsére az MNB Fizetési rendszer jelentéséből megbízható információkat kaphatunk.
A 2022-es számokat az MNB júniusban tette közzé. A jelentés szerint mind a bankkártyával összefüggő csalások száma, mind a velük okozott kár volumene jelentősen, több, mint 70 százalékkal megnőtt, annak ellenére, hogy a kétlépcsős azonosítás (azaz nem lehet szimplán a bankkártya számmal és a CVC kóddal vásárolni, mobilos megerősítés kell) bevezetése után mindenki abban reménykedett, hogy a trend épp az ellentéte lesz.
A jelentés a magyarázatot is megadja: a kétlépcsős azonosításhoz a csalók is alkalmazkodtak és pszichológiai manipulációval, legtöbbször telefonon csalják ki a bankkártya adatokat. Ez azért is hatalmas probléma, mert a telefonon kicsalt adatok esetén a bankok legtöbbször ezt súlyos gondatlanságnak tekintik, és nem fizetnek kompenzációt. Erről lentebb részletesen is beszélek.
Még drámaibb a helyzet a nem kártyához kötődő csalások esetén. Itt a darabszám a 6000-et, az érték pedig csaknem a 10 milliárd forintot is elérte.
A jelentés hangsúlyozza, hogy a teljes internetes pénzforgalomhoz képest ez milyen elenyésző szám (a teljes forgalom kevesebb, mint egy tízezrede), azonban az én tapasztalatom szerint a hétköznapi emberek sokkal rosszabbnak érzékelik ezt a jelenséget.
Ez talán azzal is összefügg, hogy a csalás alatt az egyszerű polgár nemcsak a bankkártya és internetbankos csalást érti, hanem a webboltokkal, webes szolgáltatásokkal kapcsolatos csalásokat is. Ugyanakkor ezeket a „kamu webbolthoz” kapcsolódó „lehúzásokat” az érintettek sokszor fel sem jelentik. Másképp mondva: itt óriási a látencia, azaz a napvilágra nem került, rejtetten maradt kisebb csalások száma. Emiatt lehetséges, hogy lényegében nincsen ember, akinek ne lenne az ismeretségi körében egy-két károsult, és ezzel én is így vagyok: egy közeli ismerősömet egy, a Google találati listáján előkelő helyen szereplő kamu webbolt verte át egy kecsegtető ajánlattal. Szerencsére a kár „csak” 40 000 forint volt és a kártyáját is időben le tudta tiltani. És természetesen nem tett feljelentést.
A másik meglepetés számomra az volt, hogy milyen káosz és mellébeszélés uralja a második témát, már tudniillik azt, hogy mikor is kaphat kompenzációt a banktól az ügyfél az internetes csalások esetén. Fentebb említettem, hogy a pszichológiai manipulációra épülő csalásokat a bank nem kompenzálja, ahogy azt ez a grafikon mutatja is a bankkártya csalások esetén. Ezen a grafikonon, amely azt mutatja, hogy a kártyacsalások kárait ki viseli, szépen látszik, hogy a kibocsátói oldalon a bordó színű blokk (kártyabirtokosra terhelt veszteség) lényegében megduplázódott 2021-ről 2022-re. Az előző évi jelentésben látszik, hogy korábban is ugyanez történt, ez tehát évről évre növekszik.
A helyzet a nem kártyás csalások esetén ugyanez. Erről nem közölt a jelentés statisztikát, de az adathalász emailekkel vagy telefonnal hamis oldalra irányított, és ott az azonosító adatokat megszerző csalások esetén tudni lehet, hogy a bankok elzárkóznak a fizetéstől, ezt az esetkört szigorúan ki is zárják az üzletszabályzataikban.
Mégis olykor azt halljuk, hogy a bank kifizette a kárt. Felmerül a kérdés, hogy mi dönti el, hogy a bank fizet-e kompenzációt? Elsősorban az üzletszabályzat, de ez nem lehet ellentétes a jogszabályokkal. Ezt a kérdést pedig egy nagyon technikai jellegű jogszabály, a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény rendezi, és mind a Pénzügyi Békéltető Testület (PBT – amelynél első körben panaszkodni lehet ilyen ügyekben, ha a bank nem fizet), mind a bíróságok végső fokon ennek a jogszabálynak a 40. § környékén található szabályait alkalmazzák. Ezek lényege az, hogy az ügyfélnek a „személyes hitelesítési adatai biztonságban tartása érdekében az adott helyzetben általában elvárható magatartást” kell tanúsítania (40. §), a gyanús tranzakciók esetén pedig a banknak kell bizonyítania, hogy a „kifogásolt fizetési műveletet a fizető fél jóváhagyta”. Azaz a banknak különös gondossággal kell arra figyelnie, hogy a tranzakciót az ügyfél és tényleg az ügyfél hagyta jóvá. (43. §) Ha jóvá nem hagyott művelet miatt érte kár az ügyfelet, a bank köteles megtéríteni a művelet összegét és a megterhelés előtti állapotot helyreállítani. (44. §)
Ha belekukkantunk néhány PBT döntésbe. Pl. ebbe, vagy ebbe, vagy ebbe , azt láthatjuk, hogy a testület változatos módszerekkel kicsalt pénzeket javasolt visszaadni. Azért csak javasolta, mert a legtöbb ilyen döntés nem kötelező a bankra, de kötelezővé válik, ha a bank az ügyet elviszi a bíróságra. Az első ügyben egy kriptovalutával kereskedő „bróker” telepített némi „kábítás” után egy távoli karbantartást lehetővé tevő szoftvert a károsult telefonjára, a második esetben egy „bankbiztonsági adategyeztetésnek” álcázott adathalász e-mailben található linkre kattintva adta meg a szerencsétlen ügyfél az adatait, a harmadikban pedig egy álláskereső ügyfelet tévesztett meg egy „munkáltató” azzal, hogy letöltetett vele egy alkalmazást, majd a kétlépcsős azonosításhoz használt telefonszámát, és napi limitjét is módosítva azonnal ellopott tőle több mint 3 millió forintot. Mindhárom esetben az ügyfélre kedvező ajánlás született.
Ezeknek az ügyeknek a sorsát nem ismerjük, de néhány másikét, amelyekben a PBT szintén az ügyfeleknek kedvező ajánlást hozott, nyomon tudjuk követni a bíróságon is. Ezekben az ügyekben egyébként a bankok perlik be a PBT-t az ügyfél javára szóló „ajánlás” miatt. Például ebben a perben, amelynek alapja egy adathalász e-mail volt, és amellyel a számlatulajdonos tudtán kívül aktiválták az internetbankját, (tehát előtte nem is használt ilyet). Az ügyben a bíróság megerősítette a PBT azon megállapítását, hogy bank „nem bizonyította kétséget kizáróan, hogy a kérelmező a kifogásolt fizetési műveletet jóváhagyta”, illetve, hogy „(a) személyes biztonsági elemek használata mellett megadott és jóváhagyott fizetési művelet önmagában nem bizonyítja kétséget kizáróan az ügyfél szándékos vagy súlyosan gondatlan magatartását, mert a személyes biztonsági elemekhez illetéktelen személy a számlatulajdonos szándékos, vagy súlyosan gondatlan magatartása nélkül is hozzájuthat.” Nem lehet azt mondani, hogy a bíróságokon hemzsegnek az ilyen ügyek, de az a néhány (tucatnyi), amelyet fel lehet lelni, a PBT döntésekhez hasonlóan rendre az ügyfelek javára döntenek. Pl. ebben az ügyben egy külföldön, kerékszerelés közben az autó hátsó üléséről ellopott bankkártyával való visszaélés esetében volt kérdés, hogy az ügyfél súlyosan gondatlanul járt-e el. A bank üzletszabályzata szerint az ilyen esetekben is az ügyfél a felelős, de a bíróság itt egyenesen megsemmisítette (tisztességtelennek minősítve azt) ezt az üzletszabályzat-rendelkezést.
Úgy tűnik tehát, hogy van esély arra, hogy amennyiben bizonyítható, hogy az ügyfél nem csinált valami ordító butaságot, a bank visszafizesse az összeget, de ehhez igen nagy állóképesség kell: panaszt kell tenni a PBT-nél, és úgy tűnik, ki kell várni a per végét is. Ezek után csak azt a következtetést tudom levonni, hogy a legjobb talán az lenne, hogy akár a pénzforgalmi törvény módosításával, akár egy kúriai döntéssel valaki világosan kimondaná, hogy ilyen esetekben mikor kaphatja vissza az ügyfél a pénzét, és mikor nem.