Kibercsalás – A Kúria döntése

Számos sajtóhír tárgyalta a Kúria 2025. januárjában meghozott Pfv.20685/2024/5. számú precedensképes határozatának tartalmát. A döntés ugyanis eddig egyedülálló módon nem tekintette súlyosan gondatlannak azt az ügyfelet, aki bizalmas adatokat osztott meg az internetes csalókkal. A bank pedig ennek következtében köteles volt téríteni ügyfél részére.

Vizsgáljuk meg a döntés főbb jogalapi kérdéseit!

Az eset tényállása

A fogyasztó ügyfél egy online apróhirdetési portálon kívánt egy terméket eladni. Egy vevőtől üzenetet kapott, amelyben kérte, hogy adja meg e-mail címét, amit teljesített. Ezt követően az online apróhirdetési portálon értesítést kapott arról, hogy a terméket megvásárolták. Az üzenetben volt egy „pénzt szeretne kapni” megnevezésű link, amelyre rákattintva egy, a bank hivatalos netbank felületével látszólag megegyező felületre jutott. Itt megadta a netbanki belépéshez szükséges adatait, majd az sms-ben kapott kódot is. Ezután egy 1 forint összegű átutalás jóváhagyására szolgáló sms üzenetet kapott, amely tranzakció jóváhagyására szolgáló számsort megadta az álbanki felületen. Később belépett a mobilbank alkalmazásába, ahol látta, hogy bankszámlájáról jóváhagyása nélkül 1.431.000 forintot utaltak át egy ismeretlen belföldi bankszámlára. Tehát összesen kettő átutalás történt, de csak az elsőt hagyta jóvá a fogyasztó.

A Kúria által vizsgált főbb jogszabályi rendelkezések

A 2009. évi LXXXV. törvény (Pft.) előírja, hogy fizetési művelet teljesítésére akkor kerülhet sor, ha azt a fizető fél előzetesen jóváhagyta. Előírás továbbá, hogy a pénzforgalmi szolgáltató erős ügyfél-hitelesítést köteles alkalmazni elektronikus fizetési művelet kezdeményezése esetén, valamint bármely távoli csatornán végrehajtott műveletet esetén, ami fizetéssel kapcsolatos csalásokra és más visszaélésekre adhat módot. A második átutalás alkalmával ez a felek által nem vitatottan nem teljesült. A Kúria ezért nem vizsgálta érdemben azt, hogy az erős ügyfél-hitelesítés nem valósult meg, ugyanis abban nem volt kétség.

A Pft. további előírásai alapján a jóvá nem hagyott fizetési művelet teljesítése esetén a bank köteles

• megtéríteni a fizető fél részére a jóvá nem hagyott fizetési művelet összegét, és
• a fizetési számla tekintetében a megterhelés előtti állapotot helyreállítani

Mindezek alapján tehát volt egy jóvá nem hagyott fizetési művelet, ami főszabályként a bank felelősségét jelenti.

A bank védekezését lényegét tekintve az alábbiakra alapította.

A Pft. előírja, hogy az ügyfél köteles a személyes hitelesítési adatai biztonságban tartása érdekében az adott helyzetben általában elvárható magatartást tanúsítani.

A törvény rögzíti továbbá, hogy a bank mentesül fenti felelőssége alól, ha bizonyítja, hogy a jóvá nem hagyott fizetési művelettel összefüggésben keletkezett kárt a fizető fél csalárd módon eljárva okozta, vagy a kárt az elvárható magatartásra vonatkozó kötelezettségeinek szándékos vagy súlyosan gondatlan megszegésével okozta, így különösen ha a készpénz-helyettesítő fizetési eszköz használatához szükséges személyes hitelesítési adatait arra nem jogosult harmadik fél részére átadja vagy megismerhetővé teszi.

A Kúria döntése

A legfőbb bírói fórumnak tehát azt kellett vizsgálnia, hogy a fogyasztó szándékosan, vagy súlyosan gondatlanul megszegte-e a kötelezettségét a személyes hitelesítési adatok tekintetében.

• A felülvizsgálati ítélet indokolása szerint a fogyasztónak azt nem kellett felismernie, hogy nem az online apróhirdetési portálra és nem az internetbanki platformjára navigált. Tehát abban a tudatban volt, hogy a valós online apróhirdetési portálon és a valós internetbanki platformon végez műveleteket.
• A valósnak hitt online apróhirdetési portálon kapott, a termék megvásárlásáról szóló üzenetből és az abban szereplő „pénzt szeretne kapni” linkből sem lehetett a későbbi eseményekre és a kár bekövetkezésére következtetni.
• Mivel a fogyasztó nem volt tudatában annak, hogy ténylegesen nem az internetbanki platformján tartózkodik, ezért a belépéshez szükséges adatok megadása körében sem kellett előre látnia a későbbi következményeket. Az sms-ek teljes szövege értő elolvasásának hiánya, valamint azok tartalma miatt a művelet megszakításának hiánya gondatlan magatartás volt, de nem minősül jelentős mértékű hanyagságról tanúskodó magatartásnak.
• Mivel a fogyasztó abban a tudatban volt, hogy az internetbankjába lépett be, valamint a saját bankjától kapott sms-t, ezért feltételezhette – még ha az sms szövegét az eseményektől eltérőnek is ítélte -, hogy a bankjától kapott kódot be kell gépelnie a saját bankja internetbankjának felületére. Azt pedig a fogyasztónak végképp nem kellett előre látnia, hogy egy 1 forint összegű átutalás kezdeményezésével egyidejűleg újabb fizetési műveletet fognak végrehajtani a fogyasztó külön jóváhagyása nélkül.

A határozat elvi tartalma szerint:

A súlyos gondatlanság több a puszta gondatlanságnál, a gondossági kötelezettség megsértésénél, az jelentős mértékű hanyagságról tanúskodó magatartást jelent. Annak megállapítása során, hogy egy magatartás valamely konkrét esetben súlyosan gondatlannak minősül-e, személyre szabottan, valamennyi körülményt értékelve azt kell vizsgálni, hogy a fogyasztó szubjektíve tisztában volt-e magatartása következményével, számolnia kellett-e a kár bekövetkezésével, a gondosság olyan szintű elhanyagolása valósult-e meg, amelyből következően szinte kívánta a kár mint eredmény bekövetkezését, vagyis a hátrányos következményekkel kapcsolatban megállapítható-e a fogyasztó nagyfokú közömbössége.