Köteles-e a bank megtéríteni a csalók által kezdeményezett utalásokat?

Adathalászattal okozott károk megtérítésének felelősségi kérdései, avagy köteles-e a bank megtéríteni a csalók által kezdeményezett utalásokat?

 

Az internetbanki szolgáltatások egyre elterjedtebbek, ezzel párhuzamosan pedig megjelentek azok is, akik ezzel vissza kívánnak élni. Az internetes csalások fő célja: megszerezni a felhasználók egyes, főként bejelentkezési adatait. Ezeknek az adatoknak a birtokában a csalók, a jogosult helyett eljárva, hozzáférhetnek pl. a bankszámlához, és az ott lévő pénzt saját számlájukra utalhatják, majd készpénzben felvehetik. Az internetes csalások „közkedvelt” eszközei a megtévesztő, adathalász e-mailek, honlapok.

 

A szabályozás

Ezekben az esetekben az eldöntendő kérdés az, hogy a bankok kötelesek-e megtéríteni a számlatulajdonosnak a saját maga által kiadott adatok alapján ellopott pénzét. A bankok ilyen irányú felelősségét a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) szabályozza.

A Pft. 37. § (1) bekezdése szerint egy utalás teljesítésére akkor kerülhet sor, ha azt a számla tulajdonosa előzetesen jóváhagyta. Ezekben az esetekben az utalásokat nem a számla tulajdonosa indítja, hanem az adatok birtokában a csalók. Ha az utalást nem a számlatulajdonos hagyta jóvá, úgy az jóvá nem hagyott fizetési műveletnek minősül. A Pft. 44. § (1) bekezdése a bankok megtérítési kötelezettségét írja elő a jóvá nem hagyott fizetési művelet esetén.

Ezen speciális kártelepítési szabály alól a készpénz-helyettesítő fizetési eszközök tekintetében a Pft. 45. § (3) bekezdése állapít meg kivételt, miszerint a bank mentesül felelőssége alól, ha bizonyítja, hogy a jóvá nem hagyott utalással összefüggésben keletkezett kárt a számlatulajdonos csalárd módon eljárva, vagy a személyes hitelesítési adatai biztonságban tartására vonatkozó kötelezettségeinek szándékos, vagy súlyosan gondatlan megszegésével okozta.

A Pft. 40. § (1) bekezdése szerint a számlatulajdonos köteles a készpénz-helyettesítő fizetési eszköz és annak használatához szükséges személyes hitelesítési adatai biztonságban tartása érdekében az adott helyzetben általában elvárható magatartást tanúsítani.

Tehát ahhoz, hogy a bank mentesüljön a felelősség alól először azt kell bizonyítania, hogy az utalást a számlatulajdonos jóváhagyta, ennek hiányában kell bizonyítania a számlatulajdonos csalárdságát, ill. szándékosan vagy súlyosan gondatlanul történő kötelességszegését. A bizonyítás tekintetében a szabályozás és a joggyakorlat szigorú, minden kétséget kizáró bizonyításra van szükség a bank részéről.

Az esetek többségében a felől nincs vita a bank és a számlatulajdonos között, hogy az utalást nem ő hagyta jóvá, hanem az arra nem jogosult harmadik fél, azonban a szándékosság vagy súlyos gondatlanság kérdése már nehezebb megítélésű. A kérdés tehát a következő: súlyosan gondatlanul jár-e el a számlatulajdonos, ha az adathalászat következményeként – tudtán kívül – megadja banki adatait harmadik személynek. Ez a kérdés csak a joggyakorlat elemzésével dönthető el. A súlyos gondatlanság megállapításához – a BDT.2002.641. számon közzétett eseti döntésben kifejtett indokok szerint – nem elegendő a vonatkozó előírások és szabályok megszegése, a tevékenységgel kapcsolatos óvatlanság és figyelmetlenség, mert a gondatlanság ilyen mértékéhez csak a kirívó, feltűnő, durva hanyagság vezethet.

 

Az alapul fekvő jogeset

Az adott ügyben a számlatulajdonos előadása szerint a bankszámlájáról ismeretlen személyek több millió forint összegű átutalást kezdeményeztek harmadik személy javára QR-kódos jóváhagyással. A számlatulajdonos előadta, hogy e-mail címére általa hivatalosnak vélt e-mailt kapott a bank Bankbiztonsági Osztályáról, az abban szereplő linkre rákattintva az adategyeztetésként megjelölt felületen magadta azonosító adatait, valamint az sms-ben kapott jóváhagyó kódot is. A számlatulajdonos állította, hogy az utalást nem ő indította és engedélyezte. Miután a bank a számlatulajdonos panaszát elutasította, a számlatulajdonos a bírósághoz fordult és kérte a bank kötelezését a jogtalanul átutalt összeg jóváírására.

A Fővárosi Ítélőtábla megállapította, hogy az adatok biztonságban tartására vonatkozó kötelezettség súlyosan gondatlan megszegését a banknak kell bizonyítani. Ebben a körben annak volt elsődleges jelentősége, hogy adott esetben milyen módon és körülmények között került sor a bank szolgáltatás regisztrálására és aktiválására, hiszen a kifogásolt tranzakciót a bank szolgáltatás igénybevételével hajtották végre, így annak informatikai előfeltétele a bank szolgáltatás regisztrációja és aktiválása volt. A rendelkezésre álló adatok szerint a regisztráció az alkalmazás letöltésével és a felhasználónak sms-ben megküldött kód megadásával, míg az aktiválás szintén az sms kód megadásával valósult meg. A bank nem tette vitássá, hogy a bank regisztráció és az alkalmazás aktiválásának kezdeményezése is az illetéktelen felhasználók által történt.

Ehhez képest kellett azt vizsgálni, hogy a jóvá nem hagyott, jogosulatlan átutalás a számlatulajdonos súlyosan gondatlan adatkezelésének következménye volt-e. A számlatulajdonos előadásából mindössze az állapítható meg, hogy a hozzá e-mailben érkezett felhívásra a személyes azonosító adatait és a mobiltelefonjára a banktól érkező sms kódot megadta. A bíróság szerint ahhoz azonban, hogy ez az adattovábbítás a bank felelősség alóli mentesüléséhez vezető súlyosan gondatlan magatartásnak minősüljön, annak megállapítására lett volna szükség, hogy minderre a számlatulajdonos kirívó, feltűnően hanyag magatartása miatt került sor. Ennek megítélése során csak az e-mail tartalmából lehetett kiindulni. Ezen e-mail formai és tartalmi elemei mellett – miszerint a feladóként feltüntetett e-mail cím a bank nevére való utalást tartalmaz, a bank logójához nagyban hasonló szimbólum használatával és a levelet a Bankbiztonsági Osztály nevében írták éppen az internetes csalások elkerülése végett – annak is jelentősége volt, hogy az e-mailben megadott link a bank nevét tartalmazó weboldalra utalt, amire kattintva az állított adategyeztetést el kellett végezni. Mindezekre figyelemmel az e-mail alapján az elvárható gondosság tanúsítása mellett az átlagfogyasztó mércéjén keresztül megítélt számlatulajdonosnak nem kellett arra gyanakodnia, hogy nem a bank, hanem más részére adja meg az adatait. Az e-mail üzenet nem tartalmazott olyan súlyos helyesírási hibákat, amiből a számlatulajdonosnak ettől eltérő következtetésre kellett volna jutnia. A központozás és a mondat eleji nagybetűk használatának elmaradása, az e-maileknek a papír alapú levelezéshez képesti köztudomásúan felszínesebb nyelvhasználatára is figyelemmel nem minősült a helyesírási szabályok olyan súlyos fokú megsértésének, amiből a számlatulajdonosnak következtetni kellett volna arra, hogy az üzenet nem a banktól, hanem mástól származik.

A bíróság arra a következtetésre jutott, hogy a személyes hitelesítési adatok és az sms-ben érkezett kód kiadása tekintetében a számlatulajdonos súlyos gondatlansága pusztán az e-mail üzenet tartalma alapján nem állapítható meg. Azt pedig a bank terhére kellett értékelni, hogy az e-mailben található linkről elérhető weboldal tartalma nem volt ismert, így nem lehetett bizonyított tényként megállapítani, hogy azon felület arculati elemeiből, ahova a számlatulajdonost adategyeztetés céljából az e-mail átirányította, a számlatulajdonosnak az általában elvárható gondos magatartás tanúsítása mellett fel kellett volna ismernie, hogy az nem a bank hivatalos weboldala. A banktól kapott sms-üzenet tartalmának ellenőrzését illetően a számlatulajdonos súlyos gondatlansága szintén nem állapítható meg, mert az sms tartalmát rögzítő lekérdezés is alátámasztja a számlatulajdonosnak azt a következetes állítását, miszerint az sms szövege nem utalt arra, hogy a kód a bank szolgáltatás telepítésére és aktiválására szolgál. Abból az üzenetből, hogy “alkalmazás regisztrációs kód”, valamint „regisztráció aktiválás” nem kellett arra gyanakodnia, hogy a kód nem az internetes banki szolgáltatásokhoz tartozó fiókjának frissítéséhez, hanem egy általa nem is ismert és igénybe venni sem kívánt alkalmazás, a bank használatához szükséges. Alappal feltételezhette ezért, hogy az sms kódok megadásával fiókjának frissítését hagyja jóvá.

Ezen felül a bíróság végül megállapította, hogy a bank által üzemeltetett rendszer állította be a bank aktiválást követően alapbeállításként a QR-alapú azonosítást. A pénzügyi szolgáltató viszont nem várhatja el a fogyasztótól, hogy az általa üzemeltetett rendszer rendszerszintű informatikai hiányosságait óvatossággal pótolja, a bank applikáció ellenőrizetlen működéséből eredő kárveszélyt nem háríthatja át a fogyasztóra. A pénzügyi szolgáltatónak ugyanis olyan rendszert kell üzemeltetni, ami azt is garantálja, hogy a bűncselekmény útján megszerzett adatokkal ne lehessen további fizetési műveleteket végezni.

 

Összefoglaló

A fenti bírósági döntés alapján az a következtetés vonható le, hogy mind a szabályozás, mind az azt értelmező joggyakorlat a fogyasztó érdekeit helyezi előtérbe a bank érdekeivel szemben. Az adathalászat a hatékonysága miatt a kiberbűnözés népszerű formája, mely során a csalók egyre fejlettebb módszerekkel próbálják elhitetni a felhasználókkal, hogy adatait valóban a banknak adja meg. Erre tekintettel indokolt a jogalkotó részéről, hogy a fogyasztók jogi védelmével a bankokat arra sarkallja, hogy az ügyfeleik adatainak, illetve pénzének biztonságban tartása érdekében minél fejlettebb védelmi rendszereket dolgozzanak ki.

Jogi segítségre van szüksége a fenti témában?

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email
Share on print
Nyomtatás