Megtéríti-e a bank a csalók által kezdeményezett utalásokat?

Sajnálatos módon az utóbbi időben jelentős mértékben elterjedtek az úgy nevezett adathalászattal okozott károk. Folyamatosan visszatérő téma, hogy miként alakul az adathalászattal okozott károk megtérítésének felelősségi kérdései. Köteles-e a bank megtéríteni azokat a károkat, amiket a csalók okoztak?

Folyamatosan terjedő internetes csalások

A felgyorsult és globalizált világunkban folyamatosan terjed a technológia térhódítása. Az internet alapú fizetési szolgáltatások köre folyamatosan bővül és ezzel párhuzamosan megjelent az új generációs csalók azon köre, akik az emberek jóhiszeműségét kihasználva szedik áldozataikat. Az internetes csalások fő célja megszerezni a felhasználók egyes, főként bejelentkezési adatait. Ezen kényes, titkos adatok birtokában a rosszhiszemű elkövetők az arra jogosult helyett eljárva, hozzáférhetnek a károsult bankszámlájához, vagy indíthatnak tranzakciókat a károsult kiszivárgott bankkártya adataival. Az internetes csalók legtöbbször a rendszer leggyengébb láncszemeit támadják, vagyis a jóhiszemű laikus felhasználókat.

Bankokat terhelő felelősség

A károsultak a csalók támadása után szinte azonnal igyekeznek a pénzügyi szolgáltatóval, vagyis a bankokkal megfizettetni a támadással okozott károkat. Tehát eldöntendő kérdés az, hogy a bankok kötelesek-e megtéríteni a számlatulajdonosnak a saját maga által kiadott adatok alapján ellopott pénzét. A bankok ilyen irányú felelősségét a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) szabályozza.

A hivatkozott törvény rendelkezései 37. § (1) bekezdése értelmében egy utalás teljesítésére akkor kerülhet sor, ha azt a számla tulajdonosa előzetesen jóváhagyta. Ezekben az esetekben az utalásokat nem a számla tulajdonosa indítja, hanem az adatok birtokában a csalók. Ha az utalást nem a számlatulajdonos hagyta jóvá, úgy az jóvá nem hagyott fizetési műveletnek minősül. A Pft. 44. § (1) bekezdése a bankok megtérítési kötelezettségét írja elő a jóvá nem hagyott fizetési művelet esetén.

A törvény viszont megállapít a készpénz-helyettesítő fizetési eszközök vonatkozásában egy mentesülési lehetőséget a bankoknak. A Pft. 45. § (3) bekezdése alapján a bank mentesül felelőssége alól, ha bizonyítja, hogy a jóvá nem hagyott utalással összefüggésben keletkezett kárt a számlatulajdonos csalárd módon eljárva, vagy a személyes hitelesítési adatai biztonságban tartására vonatkozó kötelezettségeinek szándékos, vagy súlyosan gondatlan megszegésével okozta.

A Pft. 40. § (1) bekezdése szerint a számlatulajdonos köteles a készpénz-helyettesítő fizetési eszköz és annak használatához szükséges személyes hitelesítési adatai biztonságban tartása érdekében az adott helyzetben általában elvárható magatartást tanúsítani. Ebből következő módon a számlatulajdonosnak óvnia kell adatait. A bizonyítási teher a mentesülés vonatkozásában a bankokat terheli, mivel a mentesüléshez bizonyítani kell, hogy a számlatulajdonos csalárd eljárása, vagy a személyes hitelesítési adatai biztonságban tartására vonatkozó kötelezettségeinek szándékos, vagy súlyosan gondatlan megszegése okozta a káreseményt. A kialakult joggyakorlat értelmében a mentesüléshez tehát a bank szigorú, minden kétséget kizáró bizonyítására van szükség.

A legtöbbször nincs vita abban, hogy az utalást nem a számlatulajdonos hagyta jóvá. A vita legtöbbször abban áll, hogy a szándékosság vagy súlyos gondatlanság megállapítható-e. Akkor jár el súlyosan gondatlanul a számlatulajdonos, ha az adathalászat következményeként – tudtán kívül – megadja banki adatait harmadik személynek. A BDT.2002.641. számon közzétett eseti döntése szerint nem elegendő a vonatkozó előírások és szabályok megszegése, a tevékenységgel kapcsolatos óvatlanság és figyelmetlenség, mert a gondatlanság ilyen mértékéhez csak a kirívó, feltűnő, durva hanyagság vezethet.

Jogeset

A szóban forgó eseti döntés jogesetében a számlatulajdonos előadása szerint a bankszámlájáról ismeretlen személyek több millió forint összegű átutalást kezdeményeztek harmadik személy javára QR-kódos jóváhagyással. A számlatulajdonos elmondása szerint az e-mail címére egy hivatalosnak vélt e-mailt kapott, majd a levélben szereplő linkre kattintva kérték, hogy adategyeztetésként megjelölt felületen adja meg azonosító adatait, majd ezt követően az SMS-ben kapott jóváhagyó kódot is elkérték tőle. A számlatulajdonos állította, hogy az utalást nem ő indította és engedélyezte. A bank elutasította igényét, amiért a számlatulajdonos Bíróság előtt akarta igényét érvényesíteni.

A Fővárosi Ítélőtábla megállapította, hogy az adatok biztonságban tartására vonatkozó kötelezettség súlyosan gondatlan megszegését a banknak kell bizonyítani. Ebben a körben annak volt elsődleges jelentősége, hogy adott esetben milyen módon és körülmények között került sor a bank szolgáltatás regisztrálására és aktiválására, hiszen a kifogásolt tranzakciót a bank szolgáltatás igénybevételével hajtották végre, így annak informatikai előfeltétele a bank szolgáltatás regisztrációja és aktiválása volt. A banki regisztráció és az alkalmazás aktiválása az illetéktelen felhasználók által történt, amit a bank nem vitatott. Ezért vizsgálták, hogy a jóváhagyás nem történt-e a számlatulajdonos súlyos gondatlanságával. A számlatulajdonos előadásából mindössze az állapítható meg, hogy a hozzá e-mailben érkezett felhívásra a személyes azonosító adatait és a mobiltelefonjára a banktól érkező sms kódot megadta.

A bíróság szerint ahhoz azonban, hogy ez az adattovábbítás a bank felelősség alóli mentesüléséhez vezető súlyosan gondatlan magatartásnak minősüljön, annak megállapítására lett volna szükség, hogy ez a számlatulajdonos kirívó, feltűnően hanyag magatartása miatt történt. A megítéléshez az e-mailt lehetett megvizsgálni. A feladó e-mail cím a bank nevére való utalást tartalmazott, a bank logóját használták, illetve a levelet a bank biztonsági osztálya nevében írták, továbbá a levélben elhelyezett link is tartalmazott a bank nevére utaló elnevezést. Ezek alapján megállapításra került, hogy az átlagfogyasztó mércéjén keresztül megítélt számlatulajdonosnak nem kellett arra gyanakodnia. A kapott SMS vonatkozásában szintén nem állapították meg a súlyos gondatlanságot, mivel az SMS szövege nem utalt arra, hogy a kód a banki szolgáltatás, illetve applikáció aktiválására szolgál. A pénzügyi szolgáltató viszont nem várhatja el a fogyasztótól, hogy az általa üzemeltetett rendszer rendszerszintű informatikai hiányosságait óvatossággal pótolja, a bank applikáció ellenőrizetlen működéséből eredő kárveszélyt nem háríthatja át a fogyasztóra.

Megállapítható tehát, hogy a jelenlegi joggyakorlat a laikus fogyasztó érdekeit tartja szem előtt, mégis a legjobb védekezés a prevenció. Fokozottan figyeljünk arra, hogy illetéktelen személyeknek ne adjunk ki érzékeny adatokat. A káresemény után akár hosszú évek küzdelmébe is kerülhet, hogy kicsalt pénzünket visszaszerezzük. Legyünk tehát óvatosak!