Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A szerző alábbi írásában a készpénz-helyettesítő fizetési eszköz jogosulatlan vagy jóvá nem hagyott használatának bejelentési kötelezettségét elemzi.
A pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (pénzforgalmi törvény) gyakorlati alkalmazása kapcsán már több cikkben foglalkoztam azzal, hogy a pénzügyi szolgáltatók milyen feltételek mellett tudnak mentesülni a jóvá nem hagyott fizetési művelettel okozott károk megtérítése alól. A főszabály ugyanis az, hogy a jóvá nem hagyott fizetési művelet teljesítése esetén a fizető fél fizetési számláját vezető pénzforgalmi szolgáltató köteles megtéríteni a jóvá nem hagyott fizetési művelet összegét, és köteles a fizetési számla tekintetében a megterhelés előtti állapotot helyreállítani. E kötelezettsége a szolgáltatóknak meglehetősen komoly felelősség, hiszen alapesetben az ügyfél csupán annyit jelez, hogy egy adott fizetési művelet vonatkozásában azt nem tekinti általa jóváhagyott fizetési műveletnek. Ilyenkor a szolgáltatónak haladéktalanul ki kell vizsgálnia az ügyet és a vizsgálat során döntenie kell arról, hogy valóban az ügyféltől független, részéről jóvá nem hagyott műveletről van-e szó, továbbá azt is vizsgálnia kell, hogy esetleg csalásról lehetett-e szó. Csalás esetén a szolgáltatónak jelentenie kell a felügyelet, tehát az MNB felé az esetet. Ezt követően pedig ki kell vizsgálnia, hogy pontosan milyen csalás történt, valamint azt is, hogy az ügyfél megszegte-e bármilyen – a fizetési számla, vagy készpénz-helyettesítő fizetési eszköz használatával összefüggő – kötelezettségét. Ebben a körben ráadásul a szolgáltatónak azt kell bizonyítania, hogy az ügyfél a fenti kötelezettségeit szándékosan, vagy súlyos gondatlansággal szegte meg. E körülmények bizonyításához a szolgáltató gyakorlatilag bármit fel tud használni bizonyítékként, így akár közvetett bizonyítékokat is.
A bizonyítékok összegyűjtése kapcsán először is tisztázni kell azt a folyamatot, amely során az ügyfél valamelyik lépésnél hibázott, ez a folyamat pedig a számlák elektronikus banki szolgáltatás keretében történő használata. A legtöbb bank már a bankszámlák internetes kezeléséhez, így az utalásokhoz is un. erős ügyfél-hitelesítést alkalmaz. Az erős ügyfél hitelesítés fogalmát a pénzforgalmi törvény határozza meg. A jogszabály értelmében, egy belépés erős ügyfél-hitelesítése több módon is biztosítható. Az első eset, amikor legalább két olyan – csak az ügyfél által ismert – információ felhasználásával lehet belépni a bank honlapján a bankszámlára, melyek esetén az egyik feltörése nem befolyásolja a másik információ megbízhatóságát. A gyakorlatban ennek a kettős biztonsági kulcsnak az első lépése az, amikor a felhasználónevünk mellett meg kell adnunk egy olyan kódot, amit mi határoztunk meg előzetesen és mentettünk el a rendszerben. Amikor megadjuk ezt a kódot, akkor kapunk a telefonunkra egy sms-üzenetet az úgynevezett másodlagos kódról, mely megadásával már hozzá is tudunk férni a bankszámlánkhoz. Ez tehát két lépésben valósul meg és a két kód egymás nélkül nem eredményez sikeres belépést. A rendszer zárt, és a saját mobilszámunkra kapott sms-üzenet biztosítja azt, hogy mások ne férjenek hozzá a kódhoz.
Hasonlóan erős ügyfél-hitelesítésnek minősül, ha az ügyfél által birtokolt dolog, például token, vagy valamilyen biológiai tulajdonság, például ujjlenyomat felhasználásával lehet két lépcsőben hozzáférni a bankszámlához.
Hiába azonban az erős ügyfél-hitelesítés, sajnos ki lehet játszani bármilyen rendszert, ugyanis a rendszerek leggyengébb pontja maga a felhasználó, a természetes személy. Akármennyire is meglepő, a rutinos csalók a gyanútlan felhasználóból különböző módszerekkel gyakran ki tudják csalni a banki belépési adatokat. Számos esetben azonban nem derül ki, hogy mikor, milyen esemény szolgált alapul ahhoz, hogy a felhasználó kiadta véletlenül az adatait. Ilyenkor persze azt gondolhatnánk, hogy a bank, mint szolgáltató nem tudja bizonyítani azt a felhasználói ügyfélhibát, amikor az adatok kiderültek, és nem tud mentesülni a felelősség alól. Ez azonban ennél összetettebb kérdés, ugyanis a banki azonosító adatok kikerülését követően is vannak olyan események, melyeket az ügyfélnek fel kell ismernie, és amikből az ügyfélnek rá kell jönnie arra, hogy csalás áldozata.
Ha az internetes „bankolást” vizsgáljuk, akkor tényként megállapítható, hogy a szolgáltató „e-bankja” úgynevezett készpénz-helyettesítő fizetési eszköznek minősül. Tehát az ilyen adatok illetéktelenek részére történő átadása, vagy bármilyen módon részükről történő megszerzése a készpénz-helyettesítő fizetési illetéktelen megszerzését jelentik.
Kiindulva abból, hogy a készpénz-helyettesítő fizetési eszköz használatáról az ügyfelek értesülnek a fentebb ismertetett erős ügyfél-hitelesítés okán, így az ügyfeleket az ilyen értesítő üzenetek vonatkozásában is felelősség terheli.
Egy konkrét esetben nem volt megállapítható, hogy a készpénz-helyettesítő fizetési eszköz adatai hogyan kerültek ki az illetéktelen személyek részére, ellenben a banki ügyfél 27 darab sms-üzenetet kapott arról, hogy valaki belépést kezdeményezett az internetes banki felületére, és ezzel kapcsolatban a telefonjára sms-üzenetként megküldték a másodlagos belépési azonosítót. Az sms-üzenetben ráadásul a szolgáltató arról is értesítette az ügyfelét, hogy ha nem ő kezdeményezte a tranzakciót, akkor azonnal hívja az ügyfélszolgálatot. Az ügyfél azonban figyelmen kívül hagyta az üzeneteket, és végül a csalók sikerrel jártak és hozzáfértek az ügyfél számlájához.
A Pénzügyi Békéltető Testület a konkrét eljárásban megállapította, hogy az eljárás során egyértelműen és kétséget kizáróan nem lehetett megállapítani, hogy a megjelölt hitelesítő adatok konkrétan milyen körülmények között kerültek ki az ismeretlen személy vagy személyek részére, illetve, hogy ennek kapcsán a banki ügyfél súlyosan gondatlan kötelezettségszegése megállapítható-e vagy sem. Az viszont megállapítható volt, hogy a visszaélést megelőzően és azt követően is folyamatos kísérletek történtek személyes hitelesítő adatok megszerzése és felhasználása érdekében, amelyeket a banki ügyfél észlelt is. Emiatt pedig a testület úgy ítélte meg, hogy a visszaélést megelőzően kapott sms-értesítések egyértelmű információkat, továbbá a visszaélések megakadályozása érdekében felhívást is tartalmaztak, ezért azok figyelmen kívül hagyása a banki ügyfél részéről elvárható gondos magatartás feltűnő elhanyagolását jelentette. A testület döntése értelmében pedig a súlyosan gondatlan kötelezettségszegésre tekintettel a pénzforgalmi törvény 45. § (3) bekezdése alapján a bank, mint szolgáltató mentesült a jóváírási kötelezettség alól.
A cikk szerzője dr. Molnár Gergő partner ügyvéd. Az Ecovis Hungary Legal a Jogászvilág.hu szakmai partnere.
