A digitalizáció korszakában egyre nagyobb teret hódítanak az internet- és mobilbanki szolgáltatások, melyek felületén átutalást indíthatunk, kölcsönt vehetünk fel, figyelhetjük kiadásainkat és még sok más pénzügyi műveltet végezhetünk. Ezen a szolgáltatások amellett, hogy nagyon kényelmesek, ki vannak téve az internetes banki csalásoknak. A csalók meg akarják szerezni belépési adatainkat és a lopott adatok felhasználásával le akarnak emelni pénzt a számlánkról. Az adataink megszerzéséhet, hamis weboldalakat, alkalmazásokat, e-maileket készítenek, de van hogy fel is hívják a mit sem sejtő áldozatot.

Jelen cikkemben azzal foglalkozom, hogy ha a bank elutasítja az elvesztett összeg visszafizetését, akkor milyen lehetőségei vannak a bíróság előtt egy károsultnak akinek a pénzét internetes banki csalással ellopták. Bírósági döntést is említeni fogok, mely hasonló ügyben született.

A szabályozásról

Ha megtörtént a baj a legfontosabb kérdés az, hogy a bankok kötelesek-e megtéríteni az internetes csalás áldozatául esett számlatulajdonosnak – a saját maga által kiadott adatok alapján – ellopott pénzét. Mivel ez a cikk komoly, sok ember megélhetését érintő problémával foglalkozik, nem kerülhető ki a jogszabályok, ítéletek említése, de igyekszem érthetővé tenni:

Van egy úgynevezett pénzforgalmi szolgáltatás nyújtásáról szóló törvény, mely szabályozza többek között a bankok pénzügyi műveletekkel kapcsolatos felelősségét:

Az erre vonatkozó szakasz (37.§) szerint egy fizetési művelet teljesítésére, akkor kerülhet sor, ha azt a fizető fél előzetesen jóváhagyta. Ha az utalást nem a számlatulajdonos hagyta jóvá, mert a csalók felhasználták az adatait, akkor az egy úgynevezett jóvá nem hagyott fizetési műveletnek minősül.

adathalászat

Jöjjön a lényeg! A törvény egy további szakasza (44.§) rendelkezik arról, hogy a jóvá nem hagyott fizetési műveletek esetén a banknak megtérítési kötelezettsége van az ügyfele részére. De banknak van lehetősége a felelősségét kimenteni is, ha be tudja bizonyítani, hogy a jóvá nem hagyott utalással összefüggésben keletkezett kárt a számlatulajdonos csalárd módon eljárva, vagy a személyes hitelesítési adatai biztonságban tartására vonatkozó kötelezettségeinek szándékos, vagy súlyosan gondatlan megszegésével okozta.

Igen jól látod, itt már bonyolódik a szabályozás és ennek érthetővé tétele sajnos nem egyszerű, de mindent megteszek.

Van a törvényben még egy fontos bekezdés melyet meg kell említenem, hogy a kép teljes legyen: A számlatulajdonos köteles a személyes hitelesítési adatai biztonságban tartása érdekében az adott helyzetben általában elvárható magatartást tanúsítani.

Érthetőbben:

Ahhoz, hogy a bank mentesüljön az elcsalt pénz visszafizetése alól először be kell bizonyítania, hogy az utalást a számlatulajdonos jóváhagyta, mivel így nem minősül jóvá nem hagyott fizetési műveletnek. Ha nem tudja ezt bizonyítani, akkor a mentesülése érdekében bizonyítania kell a számlatulajdonos csalárdságát, illetve a kötelezettségeinek szándékosan vagy súlyosan gondatlanul történő megszegését.

Még mindig nehezen érthető? Sajnos tudom, de ez a terület már a bírói gyakorlat és nem lehet ennél jobban lefordítani, de megpróbálom:

Az internetes csalás áldozatául esett ügyfél esetében a csalárdság, szándékosság nem jöhet szóba, ezért leginkább a súlyos gondatlanság állhat fenn, mely a gondosság olyan feltűnő elhanyagolása, ami már egészen közel áll a szándékossághoz. Másképpen írva: Számolnia kellett a kár bekövetkezésének a kockázatával, és ennek ellenére tanúsított kirívóan felelőtlen magatartás.

Feltehető a kérdés: Utalt valami arra, sejtetted hogy kár fog érni, mikor a bank oldalához szinte tökéletesen hasonlító, hamis oldalon beléptél az online bankfiókodba?

Válasz: Nem. Az átlagfogyasztó mércéjén keresztül mérve egy számlatulajdonosnak nem kell arra gyanakodnia, hogy nem a bank, hanem más részére adja meg az adatait, ha a csaló oldal egy nagyon pontos másolata az eredetinek. Erről lentebb részletesen olvashatsz, mert nem ennyire egyszerű a válasz.

A konkrét ítélet, mely egy internetes banki csalásban született

Az alábbi eset először a békéltető testület elé került, ahol a károsult javára döntöttek, majd ezt a bank megtámadta bíróság előtt, ahol elsőfokon a Fővárosi Törvényszék és másodfokon a Fővárosi Ítélőtábla is alaposnak találta a testület döntését, vagyis hogy a banknak meg kell térítenie a károsult teljes kárát:

A károsultnak a banknál vezetett számlájáról ismeretlen személyek több millió forint összegű átutalást kezdeményeztek harmadik személy javára, „QR-kóddal” történő jóváhagyással. Erre úgy voltak képesek, hogy a károsult munkahelyi e-mail címére – általa hivatalosnak vélt – e-mailt kapott a bank biztonsági osztályától, az abban szereplő linkre rákattintva az adategyeztetésként megjelölt felületen megadta azonosító adatait, valamint az sms-ben kapott jóváhagyó kódot is. Az utalást nem ő indította és engedélyezte, hanem az adathalászat során megszerzett adatokkal a csalók. A bank a visszafizetésre irányuló panaszát elutasította, így a hatósághoz fordult a károsult.

  • A bírósági eljárásban a Törvényszék megállapította többek között, hogy az adatok biztonságba tartására vonatkozó kötelezettség súlyosan gondatlan megszegését a banknak kell bizonyítani.
  • A bank az eljárásban nem vitatta a károsult által előadott tényt, mely szerint az átutalási tranzakciót a károsult tudta nélkül regisztrált banki applikáción keresztül, más személy kezdeményezte és hagyta jóvá.
  • A bank hivatkozott az üzletszabályzatára, melyben a szerződő fél súlyosan gondatlan magatartásának minősíti, és ezáltal kizárja a saját felelősségét arra az esetre, ha a tranzakciót nem a szerződő fél kezdeményezte, illetve a mobil aláírás SMS-e nem az általa a tranzakció kezdeményezésekor megadott adatokat tartalmazza, azonban a tranzakció jóváhagyása ennek ellenére megtörténik.

A fenti pontban a bank a saját üzletszabályzatában a súlyosan gondatlan magatartás bizonyítása alól egyoldalúan kivonja magát. Egy másik ítéletben azonban a bíróság megállapította hogy a bank üzletszabályzatának e feltétele érvénytelen, mert a saját szabályzata alapján a jogszabály által megállapított bizonyítási teher alól mentesülne a bank és az ilyen szerződési feltétel semmis.

A bíróság megállapította, hogy a vonatkozó előírások és szabályok megszegése, a tevékenységgel kapcsolatos óvatlanság és figyelmetlenség nem elegendő a súlyos gondatlanság megállapításához, ahhoz csak a kirívó, feltűnő, durva hanyagság vezethet.

A károsult előadta, hogy a kapott – mint kiderült adathalász – e-mailt hivatalos banki levélnek vélte, azt gondolta, hogy azt a bank biztonsági osztályától kapta, az e-mailben található linken megnyíló oldal a bank adategyeztetésre szolgáló oldalának látszott. Előadása szerint csak a történtek után vált nyilvánvalóvá számára, hogy ez nem a bank oldala volt.

A testület előtti meghallgatáson még a bírósági ügy előtt a károsult elmondta, hogy meg volt győződve arról, hogy a bank részére adja meg az adatait. Nyilatkozta továbbá, hogy életkorára tekintettel kevésbé információtudatos, nem rendelkezett információval az új típusú csalási formákról. Hivatkozott arra is, hogy a kapott SMS-ek nem tartalmazták azt az információt, hogy banki regisztrációval kapcsolatosak.

A bíróság álláspontja szerint a károsult nem minden alap nélkül vélte az adathalász e-mailt a banktól származónak, mert a feladóként feltüntetett e-mail cím a bank nevére való utalást tartalmazott, a levélben a bank logójához nagyban hasonlító szimbólum szerepel. Az a körülmény, hogy a levél nyelvtani hibákat tartalmaz (merthogy tartalmazott valamennyi elírást), nem értékelhető olyan súllyal, amely a károsult súlyos gondatlan magatartását megállapíthatóvá tenné. Azt pedig a bank nem bizonyította, hogy az e-mailben található linkről elérhető internetes oldal tartalma – amelyen a károsult az adatokat megadta – alapján a károsultnak fel kellett volna ismernie azt, hogy az nem a bank internetes oldala.

szolgáltatásokra mutató hivatkozás

A bank terhére értékelte (vagyis a károsultnak kedvezve értékelte) továbbá, hogy az e-mailben található linkről elérhető weboldal tartalma nem volt ismert (nem volt lementve, nem volt már utólag megtalálható, az eljárásba nem került megvizsgálásra), így nem lehetett bizonyított tényként megállapítani, hogy azon felület arculati elemeiből, ahova a károsult adategyeztetés céljából az e-mail átirányította, a károsultnak az általában elvárható gondos magatartás tanúsítása mellett fel kellett volna ismernie, hogy az nem a banki pénzintézet hivatalos weboldala.

A bíróság értékelte továbbá azt a körülményt is, hogy a károsult nem volt tudatában annak, hogy a szerződés megkötésével a banki alkalmazás számára elérhetővé válik. Az Üzletszabályzat ilyen mélységű áttanulmányozásának elmulasztása szintén nem tekinthető súlyosan gondatlan magatartásnak. Ugyanígy, a bank honlapja, Facebook-fiókja, illetve a nyomtatott és internetes sajtótermékek figyelemmel kísérésének elmulasztása sem tekinthető súlyosan gondatlan – legfeljebb gondatlan – magatartásnak.

A banktól kapott sms-üzenet tartalmának ellenőrzését illetően a károsult súlyos gondatlanságát szintén nem állapították meg, mert az sms tartalmát rögzítő lekérdezés is alátámasztja a károsultnak azt a következetes állítását, miszerint az sms szövege nem utalt arra, hogy a kód a bank szolgáltatás telepítésére és aktiválására szolgál. Abból az üzenetből, hogy „a banki alkalmazás regisztrációs kód”, valamint „szerződés neve regisztráció aktiválás” nem kellett arra gyanakodnia, hogy a kód nem az internetes banki szolgáltatásokhoz tartozó fiókjának frissítéséhez, hanem egy általa nem is ismert és igénybe venni sem kívánt alkalmazás használatához szükséges. Alappal feltételezhette ezért, hogy az sms kódok megadásával fiókjának frissítését hagyja jóvá.

A történet vége: A bíróság úgy ítélte meg, hogy a károsultnak az a magatartása, amellyel az adathalász e-mailben szereplő linken megnyíló internetes oldalon a személyes hitelesítési adatait megadta, nem tekinthető súlyosan gondatlannak és a fizetési művelet nem tekinthető a kérelmező által jóváhagyottnak, így a bank – felelőssége kimentésének a hiányában – köteles a károsult részére megtéríteni a fizetési művelet összegét és a fizetési számla tekintetében a megterhelés előtti állapotot helyreállítani.

Ha már bekövetkezett a baj…

Remélem, hogy kedves olvasóm nem esett ilyen csalás áldozatává, de ha mégis, akkor bizakodásra ad okot a fenti jogeset, mivel itt a fogyasztó érdekei kerültek előtérbe. Fontos tudnod azonban, hogy minden eset más és a körülmények különbözősége miatt a döntések is lehetnek különbözőek. Egy ilyen per végigvitele szaktudást igényel ezért mindenképp javaslom ügyvéd szakértelmének az igénybevételét.

A fent megjelent cikk nem minősül jogi tanácsadásnak. Jogi állásfoglalást az irodám kizárólag megbízás alapján bocsát ki. Figyelembe kell venni a cikk megjelenésének időpontját is, mert előfordulhat, hogy a jogszabályok változása miatt a benne lévő információk később már nem aktuálisak. A jelen oldalon található írásokat a szerzői jog védi, azok jogosulatlan felhasználása tilos.

A cikk szerzője: Dr. Jenővári Dániel ügyvéd

Email Share Tweet Share