Új szabályok az online csalások megfékezésére – mit tegyenek a cégek?

A digitalizáció aranykorában az online csalások az egyik leggyakrabban elkövetett bűncselekménnyé váltak, számuk az elmúlt időszakban exponenciálisan nőtt. Az áldozatok között cégek is megtalálhatók, a bűnelkövetők velük szemben is egyre kreatívabb módszereket alkalmaznak. Az online csalások jelentős emelkedése miatt a jogalkotó 2024. augusztus 1-jével szigorításokat vezetett be annak érdekében, hogy az átutalást követően minél előbb felkutatható és blokkolható legyen a kicsalt pénzösszeg. Az új szabályokat illetően dr. Bognár Alexandrával és dr. Suller Noémivel, a Schönherr Hetényi Ügyvédi Iroda jogászai igazítanak el bennünket, akik azt is elárulták, hogy milyen óvintézkedéseket érdemes megelőzésképpen bevezetni a cégeknél az áldozattá válás elkerülése érdekében.

Az online tér által nyújtott kényelmi funkcióknak egyre több használója van, hiszen a magánszemélyek mellett a cégek és az állami szféra is a teljes digitális átállás felé halad. Ezzel párhuzamosan a bűnözők is felismerték a saját lehetőségeiket és a korábbi módszereiket továbbfejlesztve, illetve újakat kimunkálva egyre több „halat halásznak”. Az online csalások elkövetésére országhatárokon átívelő profi bűnszervezetek épültek ki, amelyek módszeresen követnek el online bűncselekményeket. Az utóbbi időben az online csalások száma és elkövetési értéke folyamatosan növekedett, emiatt – a bűnözők elleni fellépés hatékonyabbá tétele érdekében –olyan jogszabályok megalkotása vált szükségessé, amelyek lehetővé teszik, a csalással érintett bankszámlákon a fizetési műveletek minél korábbi felfüggesztését.

A hamis vezetői utasítással elkövetett online csalás a trend

A cégek elleni online csalást elkövető bűnözők alapvető célja, hogy a cég kárára valamilyen haszonhoz – pénzhez, vagyontárgyakhoz, vagy például adatokhoz – jussanak. Ezeket a bűncselekményeket jellemzően megtévesztéssel követik el, méghozzá úgy, átverik a cég egyik – jellemzően pénzügyes, és a cég bankszámlájához hozzáférő – munkavállalóját.

Tapasztalataink szerint az elkövetési módok egyre kifinomultabbak, a háttérben akár egy többszáz fős, „professzionális” bűnszervezettel. A legelterjedtebb elkövetési módok egyike, hogy a csalók hamis vezetői utasítást adnak e-mailen vagy telefonon keresztül a cég kifizetési jogkörrel rendelkező munkavállalójának arra, hogy sürgősen intézzen el egy bizalmas jellegű átutalást. Bizalmas jellegre példa lehet az, hogy a pénzt adórevízió miatt az adóhatóságnak kell azonnal megfizetni, vagy hogy egy másik cég felvásárlásáshoz szükséges előleget kell gyorsan kifizetni. Gyakori, hogy a bűnözők valódi, az interneten egyszerű kereséssel fellelhető vezetőknek, a cég ügyvédjeinek vagy tanácsadóinak a személyazonosságát használják fel. Így, ha a munkavállalóban fel is merül bárminemű gyanú, egy egyszerű böngészéssel meggyőződhet arról, hogy egy valóban létező személlyel beszél telefonon, sőt, az a személy éppen a céggel kapcsolatban lévő tanácsadói vagy ügyvédi irodánál dolgozik – magyarázza Bognár Alexandra.

A bűnőzök olyannyira kreatívok, hogy a munkavállalónak sokszor eszébe sem jut gyanakodni. A pszichológia is szerepet játszik ezeknél az elkövetési módoknál, mert az emberek alapjáraton nem szívesen mondanak ellen a „nagyfőnök”-nek vagy az annak utasítására eljáró „ügyvédnek”, és főleg nem szívesen kérdőjelezik meg a döntését. Emellett a bűnözők azt a hívószámot is módosíthatják, ami a hívott fél telefonjának kijelzőjén megjelenik, így valóban úgy tűnik, mintha tényleg az a személy telefonált volna, akivel beszél a megtévesztett munkavállaló. Olyan esetet is ismerünk, ahol a bűnözők deepfake (hamisított) hangfelvételt használtak arra, hogy egy cég vezérigazgatójának adják ki magukat. Az egyébként is elmondható, hogy a cégek elleni online csalásoknál a bűnözők a közelmúltban mind inkább a felsővezetőkre összpontosítanak, azaz mostanában a hamis vezetői utasítással elkövetett online csalás a trend. Emellett még mindig gyakori az a korábbi trend is, hogy a bűnözők hamis számlákat állítanak ki a cég egyik üzleti partnercége nevében, amely számlákon a banki adatokat megváltoztatták – teszi hozzá dr. Suller Noémi.

Azért, hogy a kicsalt pénz valós címzettjére ne derüljön fény, az átutalás általában – a pénzmosás elkövetésénél is ismert formában – egy fantomcég pénzmosásra használt számlájára, az ún. „öszvérbankszámlájára” (angolul mule account) érkezik, ahonnan egy pénzmosási rendszeren keresztül, több nemzetközi öszvérbankszámlát magában foglaló átutalással tisztára mossák azt. Az utalások rendszerint olyan országokhoz tartozó bankszámlákat is magukba foglalnak, amelyekkel Magyarországnak nincs bűnügyi együttműködési megállapodása, így aztán a cég bottal ütheti a pénze nyomát.

Fontos az időtényező, így minél előbb jelenteni kell az online csalást a banknak

Tapasztalataink szerint a cégek általában egészen gyorsan, akár pár órával az utalást követően már észreveszik, hogy bűncselekmény áldozataivá váltak. Online csalás esetén is az időtényező a legfontosabb; minden perc számít, így a legjobb először a banknál telefonon, majd írásban, majd a rendőrségnél is bejelenteni a bűncselekményt. A banknak kötelessége a NAV Központi Irányítás Pénzmosás és Terrorizmusfinanszírozás Elleni Irodája (NAV PEI) felé bejelenteni, ha pénzmosásgyanús tranzakciót észlel.

Ez a bejáratott bejelentési eljárás egészült ki 2024. augusztus 1-jétől egy újabb eljárással, így lehetővé vált a pénzmosás elleni intézményrendszert alkalmazni az online csalások elleni fellépés területén – hívja fel a figyelmet dr. Bognár Alexandra. De mi is ez az új eljárás?

Az új eljárásban a cég vagy a nyomozó hatóság értesítését követően a bankok együttműködve felkutatják, majd blokkolják az online csaláshoz kötődő pénzügyi átutalásokat még azelőtt, hogy azt a bűnözők a pénzügyi szektoron kívülre juttathatnák. Azaz, miután a cég bankja értesül arról, hogy a cég bankszámlájáról csalás következtében utaltak el pénzösszegeket, köteles a gyanús tranzakcióban érintett, azaz a kedvezményezett bankszámlát vezető bankot tájékoztatni a csalásról. Ha az összeg innen is további tranzakcióra került sor, a kedvezményezett bank szintén tovább tájékoztatja a következő kedvezményezett bankot, és így tovább. A kommunikációs folyamat addig folytatódik, amíg nem sikerül azonosítani a végső bankszámlán található, azaz tovább nem utalt összeget. Az azonosított pénzösszeghez kapcsolódó banki műveleteket a rendőrség maximum négy munkanapra felfüggesztheti, amíg folyik a büntetőeljárás kezdeményezése – egészíti kell dr. Suller Noémi.

Az új szabályok fő célja, hogy a lehető leghamarabb megtörténjen a csalással érintett bankszámlán a „turpis” banki átutalás felfüggesztése, majd az összeg gyors zárolása. A banki műveletekkel megvalósuló online csalásoknál a szokásosnál is kiemeltebb fontosságú az időtényező, mivel egy kattintással sor kerülhet a pénz tovább utalására egy másik bankszámlára.

…és egy lépés vissza: mit tehetnek a cégek az online csalások megelőzése érdekében?

A már kicsalt pénz visszaszerzésére még a hatékony banki és hatósági fellépések esetén sincs garancia. Ezért, itt is irányadó az, amit a betegségeknél is hallunk: jobb azokat megelőzni. Mi ennek az eszköze?

A munkavállalókat ajánlott felkészíteni arra, hogy legyenek gyanakvóak minden olyan esetben, amikor sürgős banki tranzakcióra vonatkozó utasítást kapnak. Ahogy már említésre került, a bűnözők kifinomult módszereket alkalmaznak, így képesek hívószám-hamisítással módosítani a telefonszámot, vagy deepfake (hamisított) hangfelvétellel a cég vezetőjének kiadni magukat. A valóság ellenőrzésére többek között a hívószám visszahívásával vagy az e-mail cím áttanulmányozásával kerülhet sor. Ez egyben arra is jó, hogy a sürgős átutalás előtt a munkavállalók a tényleges felettestől, ügyvédtől vagy tanácsadótól kérjenek egy megerősítést, így már itt kiderülhet, hogy valójában nem is adtak ilyen utasítást.

A megelőzésben segíthet a „négy szem elv” bevezetése is, azaz az, hogy a cég bankszámláinak kezelésére és pénzforgalmi utasítások adására legalább két személy együttesen jogosult. Szintén hasznos lehet a banki műveletek összegeinek korlátozása, továbbá a kifizetésre vonatkozó biztonsági eljárások precíz betartatása. Megfontolandó, hogy a kockázatoknak kitett munkavállalók kiberbiztonsági tudatossági képzéseken vegyenek részt, hogy képesek legyenek a kiberbiztonsági fenyegetések felismerésére és kezelésére – tanácsolja dr. Bognár Alexandra.