MNB: Kibercsalási ügyben nyert pert a Kúrián a Pénzügyi Békéltető Testület

Portfolio

2025. március 17. 10:08

Nem volt súlyosan gondatlan, mert nem volt tisztában a magatartása következményeivel az az ügyfél, aki egy kibercsalóval osztotta meg egy, a valódira hasonlító hamis banki weboldalon bizalmas azonosítóit – mondta ki a Kúria jogerős döntése a Magyar Nemzeti Bank közleménye szerint. A banknak így meg kell térítenie a fogyasztó kárát. A Kúria ítélete útmutató lehet a most zajló további hasonló eljárásokban.

Egy ügyfél azért fordult a Magyar Nemzeti Bankon (MNB) belül működő, szakmailag független Pénzügyi Békéltető Testülethez (PBT), mert bankja elutasította anyagi megtérítési igényét. Az ügyfél egy online apróhirdetési portálon akart egy terméket eladni, ám kibercsaló „vevője” egy banki weblaphoz hasonlító adathalász internetes oldalra kalauzolta, ahol az ügyfél megadta bizalmas azonosítóit.

Ezekkel a csaló az ügyfél számlájáról először 1 forint átutalását kezdeményezte, majd később nagyösszegű terhelés történt az ügyfél tudta vagy beleegyezése nélkül. A bank rendszere ugyanis úgynevezett megbízható partnerként mentette el az átutalás kedvezményezettjét a csaló cselekményének eredményeképpen. Ez lehetővé tette, hogy a csaló ezután már erős ügyfélhitelesítés, illetve (mivel tudta az azonosítókat) az ügyfél közreműködése nélkül további nagyobb összeget utaljon át ugyanazon kedvezményezettnek.

A PBT ajánlásban hívta fel a bankot az ügyfél által jóvá nem hagyott fizetés összegének megtérítésére, mert szerinte a fogyasztó súlyos gondatlansága (amely miatt a bank mentesülne a megtérítési kötelezettség alól) nem állt meg.

Az ügyfél ugyanis nem szerezhetett tudomást arról, hogy a kedvezményezettet megbízható partnerként is rögzítik, s nem láthatta előre a további jóvá nem hagyott utalás veszélyét.

A PBT ajánlását a bank perben támadta meg. Bár az elsőfokú bíróság a bank keresetét elutasította, a hitelintézet fellebbezése után a másodfokú bíróság jogerősen hatályon kívül helyezte a békéltetői ajánlást. A másodfokú bíróság szerint adatai kiadásával az ügyfél súlyosan gondatlanul járt el, ezért a banknak nem kell a kárát megtérítenie. Az ítélet szerint a banki mentesülés eldöntéséhez azt kellett vizsgálni, hogy az ügyfél az adott helyzetben általában elvárhatóan cselekedett-e saját netbanki adatainak biztonságban tartása kapcsán, ezeket megadta-e jogosulatlan személynek, és ha igen, ez felróható-e neki.

A PBT felülvizsgálati kérelmével a Kúriához fordult, amely nyomán a Kúria hatályon kívül helyezte a jogerős ítéletet, és helybenhagyta az elsőfokú bíróság döntését. Indokolása szerint

a konkrét esetben az ügyfél nem láthatta előre az őt érő kárt, szándéka nem terjedt ki a partnermentésre – sőt arról semmilyen formában nem szerzett tudomást – ezért nem volt, nem lehetett súlyosan gondatlan.

A Kúria azt is kifejtette, hogy nem általában, hanem személyre szabottan kell vizsgálni, hogy egy ügyfél magatartása szándékosnak vagy súlyosan gondatlannak minősül-e (ami miatt a bank mentesülne a kártérítéstől). Ezek ugyanis olyan vétkességi kategóriák, amelyek a kár bekövetkeztével összefüggésben mérlegelendők a konkrét ügyfélnél. Értékelni kellett tehát azt, hogy az ügyfél szubjektíven tisztában lehetett-e magatartása következményével, s számolnia kellett-e a kárával, illetve ennek kapcsán megállapítható-e esetleg nagyfokú közömbössége, felelőtlensége.

A Kúria ítélete azért nagy jelentőségű, mert az jogkérdésekben köti az alsóbb fokú bíróságokat, és a PBT-hez forduló kérelmezők hasonló ügyeiben útmutatásul szolgálhat. Figyelembe veendő tehát minden hasonló ügyben. Az MNB pénzforgalmi visszaélési adatai szerint évi tízezret meghaladó sikeres adathalász kibercsalás történik, amelyekben az óvatlan ügyfelek több milliárd forint kárt szenvednek. Ezek megelőzéséért a fogyasztóknak célszerű megismerni a – folyamatosan változó – internetes csalások módszereit és elkerülésük lehetőségeit. Az MNB részvételével működő Kiberpajzs kezdeményezés honlapján, illetve az MNB weboldalán is hasznos tanácsok olvashatók erről.

A védekezés alapeszköze, hogy a csalóknak nem szabad kiadni a banki műveletekhez szükséges személyes adatokat

(többek között mobil- vagy internetbanki belépési azonosító, jelszó, jóváhagyó kód, bankkártya-hitelesítési adat). Nem szabad letölteni a digitális eszközökre távoli hozzáférést biztosító alkalmazásokat (többek között AnyDesk, TeamView, RustDesk), illetve olyan e-mailekben szereplő linkekre kattintani, amely hamis intézményi internetbanki oldalra irányítja őket.

Címlapkép forrása: MTI Fotó/Hegedus Robert