A korábbi évek sokszorosára ugrott a bankkártyával és az átutalásokkal kapcsolatos csalások száma Magyarországon. Ráadásul a hazai bankok egyre nagyobb arányban próbálják az ügyfelekre terhelni a kárt, mivel változtak a csalók módszerei is. A Mastercard szakembereivel vettük végig, mi változott, mire érdemes jobban figyelniük a magyaroknak is, és mit tehetünk, ha már megtörtént a baj.
2023 első negyedévében a hazai bankkártyás csalások nyomán már több veszteséget kellett a magyar kártyatulajdonosoknak elszenvedniük, mint a kibocsátó bankoknak és kereskedőknek együtt. Az ügyfelekre terhelt kár nagyjából ötszázmillió forintra rúgott három hónap alatt.
De még ennél is durvábban megugrottak az elektronikus átutalásos átverésekből származó károk: csaknem 2,8 milliárd forintot buktak el a magyarok ilyen csalások miatt az idei első negyedévben, ennek elsöprő többségét a lakosság. Ez három hónap alatt hozzávetőleg négyszer akkora veszteség, mint amit a 2010–2020 közötti évtizedben összesen rájuk terheltek.
A két kategóriát azért érdemes egyébként külön kezelni, mert más típusú csalásokat próbálnak meg a bankkártyához kapcsolódóan, mint a bankszámlához, elektronikus átutaláshoz kapcsolódóan.
Pusztán az internetes, elektronikus fizetésnek önmagában nem kellene újdonságot jelentenie a magyar lakosság számára.
Valami érdemben megváltozhatott, ha nemcsak a sikeres csalások száma nőtt meg drámaian Magyarországon, hanem a hazai bankok is egyre inkább az ügyfélre tudják hárítani az ebből fakadó károkat.
A probléma kapcsán a Mastercard szakembereit kérdeztük meg. Nemes Máté kiberbiztonsági termékekért felelős termékmenedzser és Racskó Tamás New Payments Platform igazgató osztotta meg velünk a tapasztalatait.
Nem kell már magyarul tudni
„A külföldi csalásokhoz képest jelentős újdonságot nem látunk Magyarországon. Inkább azt lehet mondani, hogy Magyarország most került fel a térképre, és hogy vannak olyan bűnözői csoportok, akik kifejezetten magyar ügyfelekre utaznak” – mondta el Nemes Máté.
Szerinte Magyarország korábban egyrészt azért lehetett kevésbé érintett a hasonló csalások kapcsán, mert nagyon kevesen tudnak magyarul, a nyelv egyfajta természetes védelmet is hozott. Így például a csalók nem tudtak olyan minőségű megtévesztő üzeneteket küldeni, amely ne keltette volna fel az ügyfelek gyanakvását.
Most viszont a fordítóprogramok megiramodó fejlődésével sokkal élethűbb átveréseseket próbálhatnak meg magyarul nem tudó csalók is. A megkérdezett szakértők szerint az elmúlt másfél-két évben lényegesen jobb minőségű adathalászatot, spameket látnak magyarul is, mint korábban.
A másik ok szerinte abból fakad, hogy Magyarországtól nyugatabbra jóval előrébb tartanak a fogyasztók az ilyen jellegű biztonsági tudatosságban, azaz lényegesen nehezebb már átverni mondjuk egy átlagos nyugat-európai ügyfelet, mint egy magyart; hiszen ők rutintalanabbak, kevésbé találkozhattak még magyarul ilyen csalásokkal.
„Azt is hozzá kell tenni, hogy az azonnali fizetés három évvel ezelőtti bevezetése nagyon hasznos újítás volt a fogyasztóknak, de a csalók dolgát is megkönnyítette. A csalók gyakran hamar porlasztják a kicsalt összeget, azaz továbbutalják kisebb részletekben sokszor és sokfelé, hogy kevésbé legyen követhető. Ezt most meg tudják tenni öt másodperces ciklusokban, felgyorsult ez a módszer is. Ezért örvendetes, hogy a Magyar Nemzeti Bank folyamatosan azon dolgozik, hogy az átutalási rendszer központjában működjenek a csalásokat felismerő új technológiák" – emelte ki Racskó Tamás.
Technológiai helyett inkább pszichológiai támadások
Az EU legutóbbi pénzforgalmi szabályozása is érdemi változásokat hozott. Ezt az ügyfelek talán a kötelező kétfaktoros hitelesítés kapcsán ismerhetik: azaz nemcsak a bankkártya adatait kell megadni például egy vásárláshoz, hanem egy másik azonosítási módot is (például SMS, ujjlenyomat, másik jelszó) be kell iktatni.
Ezzel a megoldással Nemes szerint az EU igen jelentősen visszaszorította a technológiaibb jellegű csalásokat. Csakhogy a bűnözők cserébe áttértek a pszichológiai manipulációra: ezeknél
valamilyen trükkel ráveszik az ügyfelet, hogy ő maga utalja el a pénzt a csalóknak, vagy engedjen hozzáférést a pénzéhez.
Ennek számtalan verziója lehet, a facebookos nyereményjátékos csalásoktól a nigériai örökösös átveréseken át odáig, hogy akár egy hamis banki call centerhez irányítják az áldozatot.
Az elképesztően megugró lakossági károk alapján az ilyen rábeszéléses vagy pszichológiai átverések felismerésében gyengébbek a magyar felnőttek.
Alapjáraton kifizetik nekünk
Alapesetben ha az ember arra lesz figyelmes, hogy leemeltek a bankszámlájáról pénzt, azt a bankjának két napon belül teljesen meg kell térítenie, sőt az ügyfél még extra kártérítésre is jogosult lehet (44. §). Később lesz még szó arról, hogy ezt azért sok esetben hosszasan vitathatja a bank.
Online bankkártyás tranzakcióknál felmerülő ügyekre viszont van egy külön, bejáratottabb megoldás, a visszaterhelés (chargeback). Ez a nagy nemzetközi kártyatársaságok saját szolgáltatása arra az esetre, ha netán lopott tőlünk valaki a kártya révén, esetleg sérülten érkezett a megrendelt áru, vagy mégsem jön létre a vásárolt szolgáltatás, és a másik fél nem akarja visszaadni a pénzt.
Utóbbira példa lehet egy meghiúsult repülőjárat is, aminél teljes visszatérítés helyett kedvezményes új utazást vagy bármi mást akar csak adni a légitársaság. Fontos is, hogy ilyesmi fájdalomdíjat kevésbé érdemes elfogadnia annak, aki viszont akarja látni a pénzét.
Ezt a gyors visszaterhelést a kártyát kibocsátó bankunknál kell igényelni, ezután az ő ügyük, hogy a kárt ráterheljék arra, aki bizonyítottan hibázott. De ha az ember elfogad valami fájdalomdíjszerű ajándékot a meghiúsult eredeti ügylet helyett, onnantól már a kereskedővel, szolgáltatóval alkudott meg.
Azaz nem nagyon fogja tudni bizonyítani a bankjának, hogy a kereskedő nem foglalkozott érdemben a kárával. Azt talán mondani sem kell, hogy vitás ügyekben először a kereskedővel érdemes felvenni a kapcsolatot.
„Híres magyar eset például a Malév csődje. Aki kártyával vette a jegyét, de már nem kapta meg szolgáltatást, annak a Malév kártyaelfogadó bankja (az OTP) szabály szerint visszafizette a jegy árát” – hivatkozott Racskó Tamás a korabeli sajtómegjelenésekre.
A csalásoknál értelemszerűen nem fognak foglalkozni a bűnözők azzal, hogy az áldozatok visszakérnék a pénzüket, de minden hasonló reklamációt érdemes írott formában is dokumentálni, a bank ugyanis általában bekéri a bepanaszolt féllel folytatott kommunikációnkat.
Már csak azért is, mert a tényleges
vállalatok jellemzően sokat fognak tenni azért, hogy ez a kártyás chargeback ne valósuljon meg.
A bankok ugyanis elvehetik tőlük az online kártyás fizetés lehetőségét, ha ők hibáznak kártyás tranzakcióik egy-két százalékánál, és vissza kell adniuk a pénzt vásárlóiknak.
A gyakorlatban a szakemberek szerint a bank hamar pótolja például elmaradt szolgáltatásnál az ügyfél pénzét, de tájékoztatja is, hogy elindít egy vizsgálatot, és ha a szolgáltató bizonyítja az igazát, akkor visszaszedi a pénzt.
Ne hagyja, hogy még a bankja is kitoljon önnel
Mind a kártyás, mind az átutalásos átveréseknél akkor viseli az ügyfél a kárt, ha a bank be tudja bizonyítani, hogy az ügyfél súlyosan gondatlan volt, azért tudták átverni. A banki szerződések törvény szerint is tartalmaznak olyasmi kitételt, hogy az ügyfélnek elvárható gondossággal biztonságban kell tartania személyes hitelesítéshez használt banki adatait.
A megkérdezett szakértők szerint arra viszont
nincs erős definíció, honnantól számít valaki súlyosan gondatlannak.
Teljesen egyértelmű eseteknek olyanokat említettek, hogy például ha az ember ráírja a PIN-kódját a bankkártyájára, vagy mondjuk egy telefonhívás során kiadja a banki belépési adatait és az utaláshoz szükséges kétfaktoros hitelesítést jelentő SMS-kódját is.
A csalás bejelentésekor a bankok rögtön meg fogják kérdezni, hogy az ügyfél adta-e meg az adatait a feltételezett csalóknak, vagy ő indította-e az utalást. Ha igen, akkor eggyel nehezebb helyzetbe kerül, noha a pszichológiai módszerű átverések jellemzően inkább ilyenek.
Az említett kártyás chargeback rendszerben például a bankok nem is fogják tudni gyorsan kezelni a problémát. Nem kizárható, hogy egyes bankok erre alapozva rögtön meg is próbálják lerázni az ügyfelet azzal, hogy ezzel már súlyosan gondatlan volt, minek adta meg az adatait, viselnie kell a kárt.
Csakhogy önmagában egy jóváhagyott fizetés biztosan nem számíthat súlyos gondatlanságnak, ennyivel törvény szerint nem lehet ezt elintézni (43. §/1). Rendes vizsgálat kell, ahol a banknak kell bizonyítania, hogy az ügyfél az átlagos, laikus felhasználókhoz képest is súlyosan felelőtlen volt.
Azaz messze nem törvényszerű, hogy súlyos gondatlanság mellett lehet csak valakitől pénzt kicsalni. Tudhatnak például különleges adatokat az ügyfélről, amivel a bizalmát növelhetik, alkalmazhatnak erős pszichológiai nyomást, hogy gyors döntést erőszakoljanak ki belőle, vagy nagyon élethűen lemásolhatják a banki megoldásokat úgy, hogy a laikus ne tudja megkülönböztetni az eredetitől.
Nemes Máté azt javasolta, hogy csalásoknál az ügyfél rögtön tegyen rendőrségi feljelentést is, az jelentősen növeli az esélyeit egy vitában.
A bank is számos fontos adatot meg tud nézni, amelyek végül az ügyfél érvelését erősíthetik: például hogy a tranzakció mikor, milyen másik féllel, milyen hitelesítéssel történt, amelyekhez IP-címet is tudnak társítani.
Nyomozni viszont csak a rendőrség nyomozhat, így sokkal hatékonyabb eszköztárral szerezhetik vissza a pénzt, ami a lehető legjobb megoldás.
A kereskedőknél, szolgáltatóknál lévő POS-terminálok mindig csak akkora összeget tudnak kiírni, amekkora a bankkártyás terhelés lesz az adott vásárlás után. Attól tehát nem kell félni, hogy mondjuk a kiírt kétezer helyett húszezer forintot utaltat magának a csaló kávézós. A korábban említett okok miatt egyébként sem valószínű, hogy ilyesmit valaki jövedelmezően meg tudna csinálni. Ettől még a félreértések elkerülése érdekében a szakértők szerint érdemes mindig megnézni az összeget a terminálon, ne fizessenek bemondásra vagy egy felmutatott számológépre. Hasonlóan egyébként a netbankos átutalás sem lehetséges más összeggel, mint amit beírunk és hitelesítünk.
Arról, hogy a kártyáshoz képest miért az átutalásos csalás lett sokkal népszerűbb Magyarországon, Racskó Tamás elmondta: számos extra szűrőn esnek át azok a szereplők, akik képesek elfogadni a neten kártyás fizetést, illetve utána is nehezebb csalniuk, ráadásul a kártyakibocsátók ellenőrző rendszerei minden tranzakcióhoz azonnal rendelnek egy „csalásgyanúpontszámot” a jellemzői alapján, és ezt azonnal megosztják a bankokkal is.
Jó tudni, hogy ha a bank eljárása szerint az ügyfél megengedhetetlen gondatlansága miatt jöhetett létre az átverés, az ügyfél pedig ebbe nem nyugszik bele, következő körben fordulhat a Pénzügyi Békéltető Testülethez (PBT-hez).
A 2013 óta az MNB égisze alatt működő szervezethez tavaly nagyjából háromszáz ügy futott be ilyen visszaélésekkel kapcsolatban. Ezeknek hozzávetőleg tizede nem végződött elutasítással, hanem valamilyen új megegyezéssel. Azt is lehet tudni, hogy az elszaporodó csalások folytán idén már május közepére meghaladta ezt az esetszámot a testület.
Ha a PBT sem hoz kielégítő megoldást, akkor az ügyfél utolsó lehetőségként még mindig indíthat polgári pert is az igazáért. Az ilyen perekről nem találtunk hazai adatokat, de egy rafinált csalás után valószínűleg jó eséllyel indulhat egy átlagosan gondatlan fogyasztó.
Itt újra érdemes hangsúlyozni, hogy
a banknak kell bizonyítania, hogy az ügyfél egy átlagos fogyasztóhoz képest volt súlyosan gondatlan,
nem pedig mondjuk egy pénzforgalmi szakértőhöz vagy egy kiberbiztonsági szakemberhez képest.
Ebből a szempontból az is mindegy, hogy a banknak milyen, az ügyfelekre nézve kirívóan hátrányos belső üzletszabályzata van, az nem írhatja felül a vonatkozó magyar törvények fogyasztóvédő rendelkezéseit.
Itt találja például (BDT.2002.641. sz. eseti döntés) anonimizálva a Fővárosi Ítélőtábla egyik közelmúltbeli döntését. Itt még úgy is teljességgel az ügyfélnek adtak igazat, hogy kétfaktoros, SMS-megerősítéssel segítette a csalókat, annyira meggyőző volt, hogy a bank nevében keresik. A bank üzletszabályzatának az ügyfélre nézve megengedhetetlenül hátrányos kapcsolódó rendelkezéseit pedig mind semmisnek tekintették.
A legolcsóbb megoldás persze ezeknél az átveréseknél is az lenne, ha létre sem jönnének. A problémát érzékelik a hazai bankok és az állam is. Utóbbi mondjuk tavaly a KiberPajzs program kezdeti lépéseként egy azóta is elég kezdetleges honlapra mutató országos plakátkampánnyal kívánta „golyóállóvá” tenni a fogyasztókat a digitális bűnözőkkel szemben.
A plakátkampányt félretéve viszont rendszerszintű fejlesztés lehet például, ha a hazai pénzforgalomra rálátó elszámolószervezet, a GIRO Zrt. is bevezet egy újabb csalásszűrő rendszert. A legtöbbet persze maguk a fogyasztók tehetnek a pszichológiai átverések ellen, illetve a digitális tér biztonságosabb használatáért.
Nemes Máté és Racskó Tamás is egyetértett abban, hogy már az olyan alapelvek betartásával is sokat tehetnek az emberek a biztonságukért, mint hogy megnézik, hogy milyen országból származó számról kapnak SMS-t, milyen domainnéven van a webáruház, mennyire látnak magyar nyelvtani hibákat, vagy hogy az ügyfelek ne használják ugyanazt a jelszót több helyen.
Érdemes megjegyezni például, hogy
a bankok, közműszolgáltatók soha, semmiképp nem kérik el a belépési adatainkat telefonon vagy e-mailben.
Különösen nem kényszerítenek érzelmi alapon gyors cselekvésre valami váratlan közelgő veszély miatt.
Nincs olyasmi, hogy hirtelen egy napon belül rendezni kell a tartozást, különben lekapcsolják az áramot. Nem kell telefonon vámkezeltetni a csomagot, és valószínűleg nem mi nyertük meg az ausztrál lottót.
Kiemelték még, hogy az ügyfél bátran kérjen keresztazonosítást a szolgáltatójától: kérdezzen rá például az állítólagos banki ügyintézőtől valami olyan információra, amit csak a bank tudhat róla, mondja el például a legutolsó tranzakcióját.
Egy másik nagyon erős megoldás az adathalászat ellen, hogy ha mondjuk a gyanús banki ügyintéző jelentkezésekor egyszerűen letesszük a telefont,
utána pedig felhívjuk a bankot mi magunk azzal, hogy állítólag kerestek, most állunk szolgálatukra.
Általánosan is elmondható, hogy a bejáratott csatornákon kommunikáljunk a szolgáltatóinkkal, azzal már rengeteg veszélyt kiszűrhetünk.
Frissítés: A nyilatkozók állításait 2023. szeptember 15-én három helyen pontosítottuk a Mastercard kérésére.
