Az MNB felkészül az Apple miatti kibercsalásokra, és vizsgálja az utasbiztosításokat

A Magyar Nemzeti Bank (MNB) felügyeleti és fogyasztóvédelmi alelnöke többek között arról beszélt Indexnek adott interjújában, hogy

• az Apple-ügy egyúttal arra is rámutat, hogy a bankoknak az eddigieknél hatékonyabban kellene figyelniük az ügyfelek számláinak kártyás terheléseit,
• az intézmények által szolgáltatott adatok és az ügyféljelzések alapján az MNB még értékeli az azonnali vizsgálatindítás szükségességét, amiben elsődlegesen a pénzforgalmi szabályoknak megfelelő ügykezelést vizsgálnák,
• mindent meg kell tenni hazai és uniós szinten is a fizetési műveletekben szereplő harmadik felek felelősségének, feladatainak a tisztázására,
• komoly kockázatot lát az MNB abban, hogy a mostani ügyet is megpróbálják majd kihasználni a kibercsalók, és az Apple-ügyre hivatkozva próbálnak majd adatokat szerezni az ügyfelektől,
• a felügyelet áttekinti azt is, hogy a légitársaságok járatkésései kapcsán egyértelműek-e ma az utasbiztosítók kártérítésre vonatkozó szerződéses feltételei,
• ugyancsak górcső alá veszik azt, hogy az ügyfeleket milyen pontosan tájékoztatják az utasbiztosítók arról, hogy külföldi megbetegedés esetén az ellátási díjakat közvetlenül a biztosító fizeti a kórháznak, vagy azt az ügyfélnek kell megelőlegeznie.

Miként tűnhetett el közel 2 milliárd forint az ügyfelek bankszámláiról június 26-án alig két óra alatt?

Az Apple webáruháznál és nemzetközi kártyaelfogadó partnerénél egy aznap délutáni – technikai hibának bizonyuló – frissítés nyomán ismételten levontak olyan, kizárólag forintalapú tranzakciós összegeket, amelyeket az érintett ügyfelek korábban tényleg kifizettek. Volt, akinél – valószínűleg egy korábbi adatbázis nyomán – rég megszűnt előfizetési tételeket számították fel újra, s a levonások akár több tízezres vagy százezres összegűek lehettek. Az alapincidens hozzávetőlegesen két órán át tartott, ugyanakkor ennek későbbi napokon is lehetett hatása. Például egyenleghiány miatt a korábban sikertelen tranzakcióknál ismételt terhelés indulhatott. A fogyasztóknak esetleg később érkező sms-üzenetek is erre az időszakra vonatkoztak.

Fontos hangsúlyozni, hogy nem a magyarországi bankoknál keletkezett a probléma, s nem is kibercsalásról volt szó.

Az Apple-től legalább bocsánatkérést várnak

Önök mégsem az Apple-t, hanem a bankokat, pénzforgalmi szolgáltatókat szólították fel azonnali cselekvésre már a következő napon. Miért?

Ami a kérdés egyik oldalát illeti: valóban sok olyan ügyfél, illetve banki szakember lehet most, aki egy meglehetősen hangos és nagy nyilvánosság előtti bocsánatkérést várna el az Apple-től az incidens és az utána történtek miatt. Másrészt az MNB-nek ilyen esetekben az a feladata, hogy az ügyfelek biztonságát és a pénzügyi stabilitást szavatolja a teljeskörű és haladéktalan banki kártalanítással. Ha nem így történne, a nap végén az emberek nem a harmadik félnek számító szolgáltatót, kereskedőt hibáztatnák, hanem csak annyit éreznének: valaki, „valamilyen informatikai hiba” elvitte a pénzemet a számlámról és a bank nem segített. Ez pedig bizalomvesztést okozhatna. Most, a helyzet gyors rendezésével nem ez történt.

De tényleg más emelte le a pénzt, és nem a bankok...

Csakhogy

A pénzforgalmi törvény szerint ha egy ügyfél bejelenti a bankjának, hogy illetéktelenek pénzt vettek le tőle, akkor főszabályként a hitelintézetnek maximum 1 munkanapja van a visszatérítésre. Kivételt képez, ha a bank az adott helyzetben észszerű okból csalásra gyanakszik, és ezen tényről hivatalosan értesíti az MNB-t is. Azaz nem várhat senkire, legkésőbb a következő munkanap végéig jóvá kell írnia az elvett összegeket a károsult számláján.

Ez nem történt meg így?

Az ügy kirobbanása után 3 nappal még alig volt ilyen visszatérítés, pedig a bankok nem értesítették arról az MNB-t, hogy nagy tömegű tranzakció kapcsán csalásra gyanakszanak. Ezért léptünk fel még határozottabban a bankoknál. Különösen azért, mert egyes intézmények ügyfélszolgálatán egyenesen elutasították az ügyfelek jelzéseit, és az Apple-höz irányították volna az érintett panaszosokat. Ez teljességgel elfogadhatatlan! Mint ahogy az is, hogy az egyik, nálunk panaszt tévő ügyfél szerint bankja először jóváírta nála az elvont összeget, majd ismét elvette azt (!), mondván, hogy majd az Apple fog neki közvetlenül fizetni.

A bejelentési kötelezettség csak a csalásgyanús esetekre vonatkozik, itt azonban hamar egyértelmű lett, hogy nem visszaélés történt. De a technikai megoldást nehezítette, hogy sem az Apple, sem elszámoló bankja nem kereste a magyar bankokat, azok megkeresésére eltérő válaszokat adtak, s szombat hajnalig nem is igazolták vissza, mely tranzakciók voltak érintettek a hibában. Egyetért-e azzal, hogy az ilyen esetek elkerülését, az ügyfelek gyorsabb kártalanítását elősegítené, ha az uniós szabályozás komolyabb együttműködési kötelezettséget írna elő a harmadik feles szolgáltatóknak, az ő bankjaiknak és a kártyatársaságoknak?

Épp arról beszélünk, hogy nem történt csalás (ami egyedüli haladékot adhatott volna a térítésre), ám a bankok mégsem fizettek a törvény előírása szerint még azoknak az ügyfeleknek sem, akik már bejelentették a kárt. Természetesen mindent meg kell tenni uniós és hazai szinten a harmadik felek felelősségének, feladatainak tisztázására. Ez azonban nem mentesíti a bankokat, hogy tegyék a dolgukat – a saját hitelességük, az irántuk való bizalom erősítésére is.

Mi a helyzet azokkal az ügyfelekkel, akik nem jelezték a hibát a bankjuknál, például mert még nem vették észre a levonás(ok)at? Honnan kellett volna tudnia a bankjuknak, hogy mi volt az éppen akkori jogos Apple-fizetés és a jogtalan tranzakció?

Az MNB már korábban is jelezte a hazai bankszektor felé, hogy elvárja, a bankok olyan visszaélésszűrő rendszereket alkalmazzanak, amelyek képesek valós időben, azonnal riasztást kiadni a gyanús tevékenységekről. Ez az eset is rámutat arra, mennyire fontos, hogy a hazai bankszektor teljesítse ezt az elvárást, hiszen ilyen megoldásokkal a bankok már az ügyfelek jelzései előtt felvehették volna a kapcsolatot az Apple-lel, sőt blokkolhatták volna ezeket a levonásokat.

Úgy vélem, a bankoktól elvárható az is, hogy azonnal vegyék fel a kapcsolatot a hibát elkövető harmadik féllel – kártyaelfogadóval, kereskedővel stb. –, s egyeztessék azok adatbázisát a sajátjukéval az adott tranzakciókról. Különösen igaz ez nagy létszámú ügyfelet és összegeket érintő esetekben. Ehhez a kellő informatikai háttér mindkét oldalon megvan. Maga az MNB is azonnal tárgyalt a bankokkal, kártyatársaságokkal és az Apple-lel is, amely megkezdte a hibásan elvont összegek visszafizetését. Ezután jeleztük a bankoknak június 29-én: elfogyott az ügyfelek és a mi türelmünk is.

A kibercsalók kihasználhatják a történteket

Van-e még tennivalójuk az ügyfeleknek? Lesznek-e következményei felügyeleti oldalról?

Nyilvánvalóan nincs feladata annak, aki visszakapta a pénzét. Nagy mennyiségű tranzakcióról beszélünk, így kis számban lehetnek még olyan ügyfelek, akiket valamilyen hiba miatt nem megfelelően kártalanítottak. Javasoljuk, hogy ők tegyenek bejelentést, panaszt a bankjuknál. Pénzforgalmi vitánál a jogszabály a panaszok kivizsgálására rövidebb időt ad csak a bankoknak, mint egyéb ügyekben, így gyorsabban választ kell kapniuk. Ha ez nem kielégítő, javasoljuk, tegyenek bejelentést az MNB ügyfélszolgálatához. Az MNB-hez június 26. és július 8. között összesen 28 darab ilyen ügyféljelzés érkezett, ami azt mutatja, hogy az eddigi intézkedéseknek is köszönhetően az eszkalációt sikerült időben elkerülni.

Az intézmények által szolgáltatott adatok és az ügyféljelzések alapján az MNB még értékeli az azonnali vizsgálatindítás szükségességét, elődlegesen a pénzforgalmi szabályoknak megfelelő ügykezelésre tekintettel. Szándékunk világos: nem akarunk több ilyen Apple-ügyet a jövőben. Az emberek pénzének a bankszámlájukon a helye mindaddig, amíg saját elhatározásukból el nem költik.

Akkor mostanra teljesen lezárult az Apple-ügy?

Nem egészen.

Eddigi tapasztalatunk szerint minden rendkívüli esemény – akár egy bankfúzió, informatikai fejlesztés miatti bankszünnap vagy a mostani eset – nyomán felerősödnek az ügyfelekkel szembeni adathalász próbálkozások. Most akár újabb ilyen hullám jöhet.

Ha az MNB ilyet érzékelne, maga is felkészül, és azonnal riasztja a KiberPajzs-együttműködésben vele dolgozó hatóságokat és bankokat, illetve a nyilvánosságot. Addig is kérünk mindenkit, hogy legyen óvatos! Nem zárható ki, hogy rövidesen kibercsalók keresik meg az ügyfeleket sms-ben, telefonon vagy e-mailben a bank vagy a webáruház nevében, hogy adják meg a bankszámla- vagy kártyaadataikat. Azt fogják hazudni, hogy még további problémák, levonások vannak Apple-ügyben, és „ők majd segítenek”. Senkivel, soha ne osszuk meg jelszavainkat, ne válaszoljunk a csalóknak, ne töltsük le a felajánlott „vírusirtó” kémprogramjaikat sem, hanem a megszokott banki ügyfélszolgálati számon érdeklődjünk a történtekről. Ki fog derülni, hogy adathalász kísérletről van szó. Az intézmények az MNB felhívására (vezetői körlevél) online csalásokkal kapcsolatos információs aloldalt hoztak létre, melyen az ügyfelek tájékozódhatnak a csalás megelőzéséről, elkerüléséről és teendőikről, amennyiben csalás áldozatául esetek, valamint erről az aloldalról is elnavigálhatnak a KiberPajzs internetes oldalra.

Járatkésések: fókuszban az utasbiztosítások

Egy teljesen más témaként olyan meglepő pletykát hallottunk, hogy az MNB is foglalkozik a mostanában sok utas számára jelentős bosszúságot okozó repülőjárat-késésékkel. Hogy kerülnek önökhöz a légitársaságok?

A hír nem egészen pontos, mi természetesen továbbra is a saját munkánkat végezzük. Ennek keretében viszont

Az erre vonatkozó uniós rendelet szerint a légitársaságok kötelesek kártalanítást fizetni és segítséget nyújtani hosszas járatkésés, járattörlés vagy visszautasított beszállás esetén az EU tagállamok területén található repülőterekről induló, vagy harmadik országból oda érkező légijáratoknál. Az érintett utasbiztosítások feltételeiből ugyanakkor egyértelműen, világosan látnia kell a biztosított utasoknak azt, hogy milyen esetekben milyen térítésre tarthatnak igényt a biztosítótól, mik azok az összegek, amelyek kifizetése nem a légitársaságtól, hanem a biztosítótól követelhető. Ennek ismeretében tudják eldönteni, hogy megkötik-e az utasbiztosítási szerződést, vagy nem. Ahogy tehát korábban a gyorskölcsönző intézményeknél, most is a félreérthető vagy nem világos szerződéses „gumiszabályok” ellen lépünk fel annak érdekében, hogy az – a szolgáltatásért amúgy díjat fizető – ügyfelek számára a szerződések egyértelmű, az átlagfogyasztó számára érthető feltételeket tartalmazzanak.

Ez az egy téma, amit áttekintenek a biztosítók utasbiztosításainál?

Nem. Hangsúlyozom, hogy még csak a rendelkezések feltérképezésénél járunk, de át kívánjuk tekinteni azt is, hogy mennyire világosak a biztosított ügyfelek külföldi sürgősségi orvosi ellátásának térítési feltételei. Egyértelműek-e ezek, hogy a külföldön sérült, megbetegedett biztosítottnak az – akár sokmilliós – orvosi, kórházi költségeinek megfizetéséről magának kell-e gondoskodnia, és csak utólagos megtérítésükre tarthat igényt, vagy a költségeket közvetlenül a biztosító rendezi helyette a szolgáltatást nyújtó felé. Ez szintén nagyon nem mindegy egy amúgy is krízishelyzetben lévő ügyfélnek, itt is világosan kell fogalmaznia minden biztosítónak.

(Borítókép: Kandrács Csaba 2023. március 27-én. Fotó: Németh Kata / Index)