Öt lépés a kibercsalások elleni védelem érdekében – de kinek a hátába döfi a tőrt a jegybank?
Elengedhetetlen, hogy hatékonyan reagáljunk az egyre növekvő banki csalásokra. Az MNB által meghatározott öt lépés csupán a kezdet, és sokkal átfogóbb védelmi rendszert szükséges kialakítani, amelyben más szektorok együttműködése is kulcsfontosságú lehet, akár kényszerítő eszközök révén. Fontos hangsúlyozni, hogy az ügyfelek felelőssége sem elhanyagolható; tudatosságuk növelése nélkül gyakorlatilag megnyitjuk az ajtót a csalók előtt. Az Index részletes értékelése több javaslatot is tartalmaz, amelyek a jegybank új célkitűzéseivel foglalkoznak.
A Magyar Nemzeti Bank (MNB) nemrégiben bemutatta új kezdeményezését, amely "öt csapás" néven ismert, és célja a digitális banki csalások elleni küzdelem erősítése. Az intézkedéssorozat célja, hogy hatékonyan csökkentse a pénzügyi csalások számát, és védelmet nyújtson az ügyfelek számára a modern banki szolgáltatások használata során.
Az öt elem:
A fentiek alapján egyértelmű, hogy az 5 csapás legnagyobb része új kötelezettségeket ír elő a bankok számára. Ezek elsősorban a csalásokkal szembeni hatékonyabb védekezésre, valamint más területek bevonására vonatkoznak. Azonban a kockázatkezelésre vonatkozóan nem találunk utalásokat, ami figyelmet érdemel.
Miután össztársadalmi ügyről van szó, nem biztos, hogy elégséges, ha az MNB szűken értelmezett szerepében piacfelügyelőként lép fel és kísérletet sem tesz, hogy szélesebb kontextust adjon a kérdésnek. Fontos hangsúlyozni, hogy a jegybank határozott fellépése érthető és jórészt indokolt - hiszen a pénzügyi rendszerbe vetett bizalom alapja, hogy az emberek ne váljanak tömegesen csalások áldozatává. Ugyanakkor sokan felvetik: nem kontraproduktív-e, ha a kommunikáció csak egy résztvevő felé irányul, és "teljes pályás letámadásként" állítja be a bankrendszer megregulázását? Ahelyett, hogy minden lehetséges érintett szektor, intézmény és szereplő bevonását valósítaná meg.
Íme egyedi megfogalmazásban a kérdésedre adott válaszom: Az alábbiakban elegánsan, öt megfontolt pontba rendezve mutatjuk be a legfontosabb aggályainkat és javaslatainkat az öt csapás témakörében.
A központi csalásszűrő rendszer bevezetése mérföldkőnek számít a magyar bankrendszer történetében, azonban felveti a kérdést, hogy miért csak most, a kiberbűnözők éveken át tartó tevékenysége után került sor erre a lépésre. Az azonnali utalások kiskapuit már régóta kihasználják a csalók, és az elektronikus átutalásokkal kapcsolatos visszaélések száma és mértéke 2020 után drámai módon megnövekedett. Ezt a növekedést nehéz nem összefüggésbe hozni az Azonnali Fizetési Rendszer (AFR) 2020 márciusi bevezetésével. Az MNB statisztikái alapján 2024-re a bankkártyás és átutalásos csalások száma elérte a 226 ezret, összesen 42 milliárd forintnyi kárt okozva, ebből 31 milliárd forint az átutalásokat érintette. Ez a szám elképesztő mértékben meghaladja a korábbi éveket; 2020-ban például az átutalásos károk összege mindössze 2,78 milliárd forint volt.
Kerestük nyomát olyan előzetes jegybanki figyelmeztetésnek - ajánlásnak vagy kötelezésnek - a 2020-at megelőző, az AFR elindítása előtti időkből, amely a bankszektornak előírta volna, vagy akár csak nyilvánosan biztatta volna valós idejű csalásszűrés bevezetésére, de nem találtunk ilyet. Eközben az MNB az AFR csatlakozást kőkeményen áthajtotta a rendszeren - a minden bankra kötelező 7/24 órában rendelkezésre álló 5 másodpercen belüli átutalás Európa jó részében még ma is csak terv, mi tehát megelőztük ebben a kontinenst. Beszédes, hogy
Fontos megjegyezni, és erre a kérdésre is választ kaptunk az MNB legutóbbi sajtótájékoztatóján, hogy a jegybank miért emelte meg 20 millió forintra az azonnali fizetés keretében küldhető maximális összeget. Ezzel párhuzamosan azonban a bankokat kötelezi arra, hogy napi tranzakciós és összeglimiteket állítsanak be. Érdemes hangsúlyozni, hogy a jegybank döntése, miszerint a biztonságot a felhasználói élmény elé helyezi, teljesen érthető; ennek azonban a bankok és az ügyfelek közötti viszonyra nézve nem kedvező következményei lehetnek. Az elvárás, hogy a bankok egyedi limiteket állítsanak be ügyfelenként, nehezen érthető, különösen, hogy más szolgáltatások terén nem találkozunk hasonló követelményekkel.
A KVR-re való visszatérés kapcsán megállapíthatjuk, hogy jobb később, mint soha – a központi szűrés mindenképpen jelentős előrelépést jelent. Fontos azonban, hogy a bankok saját rendszerei is zökkenőmentesen integrálódjanak a KVR működésébe. Mert hiába érkezik a figyelmeztetés a GIRO központjától, ha a bank nem képes megfékezni az 5 másodperc alatt lebonyolódó utalást – így a központi szűrés hatékonysága lényegében semmivé válik.
Kiemelkedő jelentőségű kérdés merül fel azzal kapcsolatban, hogy mi történik azokkal a bankokkal, amelyek a gyors ütemű fejlesztések, technikai hátrányok vagy egyéb tényezők miatt nem tudják időben integrálni magukat a KVR rendszerébe. A jegybank már jelezte:
A csalási események és mintázatok felfedezése jellemzően csak egy szűkebb körben lehetséges. Ennek logikája világos: ha 2025. július 1. után az MNB szigorúan lép fel az ilyen mulasztásokat elkövető intézmények ellen, akár jelentős bírságok kiszabásával, azzal nemcsak a verseny tisztaságát védi, hanem megakadályozza, hogy ezek az intézmények költségelőnyhöz jussanak a hanyagságukkal. Azáltal, hogy nem fektetnek be a tranzakciós tételek biztonsági ellenőrzésébe, és elnyújtják a fejlesztési költségek időbeli elosztását, gyengítik az egész rendszer integritását és biztonságát.
Az MNB korábbi és új ajánlásainak betartatása teljes mértékben indokolt, és elvárható, hogy a jegybank megfelelő szankciókkal éljen mulasztás esetén. Felmerül azonban a kérdés, hogy eddig miért nem léptek fel hatékonyan. Emellett a pénzügyi közvetítőrendszer felügyeletéért felelős intézménynek különös figyelmet kellene fordítania arra, hogy kommunikációjában ne sugallja, hogy az „egész bankrendszer kibervédelme” gyenge lábakon áll. Az efféle benyomás ugyanis komoly kockázatot jelenthet a pénzügyi szektor iránti bizalom szempontjából. Figyelemre méltó, hogy...
De hogyan kerülnek az ügyfelek adatai, belépési kódjai és online banki elérései a csalók birtokába? Legtöbbször úgy, hogy az ügyfelek önként osztják meg ezeket az információkat — akár közvetlenül a kiberbűnözőkkel, akár olyan külső szolgáltatásokkal, amelyek nem nyújtanak olyan magas szintű védelmet, mint amit a banki rendszerek biztosítanak.
A csalások visszaszorítása terén a bankok munkája igenis meglátszik: a lakosság banki átutalásos visszaélések száma ugyan még emelkedik, de az üteme lassul. Ennél is komolyabb eredmény, hogy az átutalásos visszaélésekben érintett összeg éves összevetésben 2024. III. és IV. negyedévében már csökkent, a 2024. IV. negyedévében mért 5,041 milliárd forintos lakossági kár 40 százalékkal alacsonyabb, mint a csúcsot hozó 2023. III. negyedévi 8,017 milliárd forint.
A felderítési képességek terén a bankok egyre sikeresebbek: az MNB legfrissebb statisztikái szerint 2024 negyedik negyedévében a bankkártyákat érintő támadások csupán 12,8 százaléka tudott átjutni a bankok védelmi rendszerein. Ezzel szemben 2023 első negyedévében még majdnem minden harmadik bankkártyás csalás eredményes volt.
Természetesen Virág Barnabás, az MNB alelnöke jól rávilágít arra, hogy egy ilyen mutató esetében a nulla a csupán elfogadható érték – egy ideális világban, ahol a bűncselekmények teljesen hiányoznak. A bankok védelmi intézkedések sorát vezették be: a legnagyobb szereplők az utóbbi évek során milliárdos nagyságrendben invesztáltak biztonsági rendszereik fejlesztésébe. De vajon képes-e valaki tényleges, 100%-os védelmet biztosítani? Elképzelhető-e valaha, hogy a zsebtolvajlás, autólopás és más bűncselekmények végleg eltűnnek a társadalomból?
Számos bank már a KVR bevezetése előtt is kidolgozta saját, fejlett csalásmegelőző rendszereit. Például bizonyos banki platformokon azonnali vörös riasztás aktiválódik, ha az ügyfél hirtelen ukránra váltja az internetbank nyelvét. Bár ez elsőre apró részletnek tűnik, a valóságban sok csaló külföldi, és ahhoz, hogy hozzáférjenek az internetbankban lévő pénzeszközök elutalásához, először is módosítaniuk kell a nyelvi beállításokat.
Az MNB kommunikációjában célszerű lenne elismerni a bankok erőfeszítéseit, és a bizalom növelése érdekében objektív kritériumokat kidolgozni a banki védekezés hatékonyságának mérésére. Jelenleg a jegybank nagy mértékben a bankok saját nyilatkozataira támaszkodik: például az Erste Bank arról számolt be, hogy a csalási kísérletek 80-90%-át képesek kiszűrni, míg az OTP azt állítja, hogy belső intézkedéseiknek köszönhetően a pénzforgalmi visszaélések mértékét egy év alatt felére csökkentették. Elengedhetetlen, hogy létezzenek nyilvánosan elérhető és összehasonlítható teljesítménymutatók, amelyek segítik a banki védekezés valós hatékonyságának megítélését.
Ha nem is lehet nyíltan "szégyenpadra" ültetni a lemaradókat (hiszen ezzel épp a gyengébb láncszemeket fednénk fel a csalók előtt), a kiemelkedő védelmi rendszereket üzemeltető 3-5 bankot igenis meg lehetne nevezni pozitív példaként - természetesen objektív adatok (és nem önbevallás) alapján.
Ezzel egy időben elengedhetetlen, hogy a lemaradó intézményeket szankcionáljuk, ahogyan azt a jegybank már korábban bejelentette. A kiszabott bírságok egyértelműen jelezni fogják a piacon, hol és melyik banknál merültek fel problémák.
Az Index javaslata szerint érdemes lenne külön kezelni a csalásmegelőzés kapcsán kirótt bírságok összegét, és azt a kiberbiztonság erősítésére fordítani. Ezzel a megoldással lehetőség nyílna az ügyfelek edukációs kampányainak finanszírozására, a rendőrségi nyomozások technikai támogatására, valamint a jövőbeli védelmi fejlesztések elősegítésére. Így a bírságok nem csupán büntetésként funkcionálnának, hanem közvetlenül hozzájárulnának a problémák megoldásához is.
Az újonnan bevezetett szabályozás értelmében először a banknak kellene felelősséget vállalnia, még abban az esetben is, ha a csaló nem a banki infrastruktúrát támadta meg, hanem az ügyfelet manipulálta a megtévesztés révén. Ez a megközelítés nem egyedülálló Európában, azonban nem tekinthető sem egyszerűnek, sem pedig véglegesen megoldottnak. Virág Barnabás a holland példát említette, ahol az ügyfelekre nehezedő kár mértéke egyetlen év alatt 69 százalékkal csökkent. A holland rendszerben azonban figyelembe veszik az ügyfél felelősségét is: amennyiben az ügyfél súlyosan gondatlan volt, a kártérítést ott is elutasíthatják. Az Egyesült Királyságban a bankok által kidolgozott önkéntes kódex (valamint a várható jogszabályi keretek) azt deklarálja, hogy az átveréses (authorised push payment) csalások áldozatait alapvetően kártalanítani kell, kivéve ha az ügyfél maga is csalárd módon vagy súlyosan gondatlanul járt el.
Európa különböző országainak jogrendszereiben a súlyos gondatlanság gyakran olyan körülmény, amely gátolja a kártalanítást. A kérdés azonban az, hogy ennek a fogalomnak a meghatározása nem mindig egyértelmű, és szinte minden esetben az egyedi körülmények mérlegelése szükséges. Általánosságban elmondható, hogy más jogi keretek között a súlyos gondatlanságot a következő alapvető tényezők határozzák meg:
Az ügyfél egy különleges személy, aki a vállalkozás szívében helyezkedik el. Az ő igényei, elvárásai és visszajelzései formálják a szolgáltatásokat és termékeket, amelyeket kínálunk. Együttműködésünk során nem csupán tranzakciót bonyolítunk le, hanem értékes kapcsolatokat építünk ki, amelyek alapja a bizalom és a kölcsönös tisztelet. Az ügyfél tapasztalata és elégedettsége mindig is a legfontosabb számunkra, így folyamatosan törekszünk arra, hogy meghallgassuk és megértsük őt, hogy a legjobb élményben részesíthessük.
Látható tehát, hogy a "first loss" elvét is körültekintően, pontos feltételekkel alkalmazzák máshol. Az MNB által vázolt magyar szabályozásból egyelőre hiányoznak a részletek, de érdemes lenne analóg módon egyértelmű kritériumokat lefektetni. Fontos lenne tehát, ha a banknak lenne joga vizsgálni az első esetet is, és ha vitatja a kifizetést, az ügyfél a Pénzügyi Békéltető Testülethez vagy bírósághoz fordulhat.
Ugyanakkor így is felmerül a kérdés: nem jelent-e morális kockázatot, ha az ügyfelek úgy érezhetik, az "első hibázás" büntetlenül megúszható? Jelenleg fájdalmas, de hatékony motiváció a körültekintésre, hogy aki bedől egy csalásnak, az szinte biztosan viseli a kárt - az átutalásoknál 98, a kártyás visszaéléseknél 80 százalékban az ügyfélre terhelték a kárt az elmúlt év IV. negyedévében a bankok. Ha viszont a bankok által előzetesen megfogott tranzakciókkal is számolunk, akkor az ügyfelek pénzének csak 47 százaléka az, amit elvesztettek, a többit sikerült megőrizni. (Bankkártyáknál nincs ilyen publikus adat, de a megszűrt csalási kísérletek magas szintje miatt itt az ügyfélveszteség aránya még alacsonyabb lehet.)
Ha az emberek azt az üzenetet kapnák, hogy "semmi gond, ha elsőre figyelmetlen voltál, a bank majd visszafizeti", könnyen eluralkodhat rajtuk a kényelem érzése. Emellett egy ilyen új szabályzat a csalók számára is kedvező helyzetet teremthet, hiszen újabb visszaélések születhetnek. Elképzelhető, hogy a bűnözők és a látszólagos áldozatok összefognak, abban a reményben, hogy a bank úgyis átvállalja a veszteségeket.
A helyzetet tovább bonyolítja, hogy a bankoknak nincsenek nyomozati jogkörük vagy eszközeik a csalások felderítésére, miközben a jogszabályok a bizonyítási terhet rájuk hárítják. Az egyetlen lehetőségük csupán az ügyfelek nyilatkoztatása, hogy megerősítsék: valóban ők adták-e át a belépési adataikat a csalóknak, vagy érkezett-e számukra figyelmeztető üzenet a banktól. Ha az ügyfél hamis információt közöl, a bank kénytelen a kárt megtéríteni, még akkor is, ha a telekommunikációs szolgáltató megerősíti, hogy az internetbanki belépésről szóló értesítést ténylegesen továbbította az ügyfél felé. A banknak ugyanis nincs nyoma az üzenetek megérkezéséről. Ez a helyzet nemcsak a közös felelősségvállalás megvalósítását nehezíti meg, hanem feszültséget is generál a bank és ügyfél között.
A sajtótájékoztató során felvetődött egy fontos kérdés: mi történik akkor, ha a csalók nem a bankok, hanem olyan intézmények nevében lépnek fel, mint például egy közüzemi szolgáltató, a NAV vagy akár a Magyar Nemzeti Bank? Hogyan tudnak ezek a csalók telefonon vagy adathalász e-mailek révén rávenni az embereket, hogy a saját maguk által készített hamis weboldalon felfedjék pénzügyi adataikat?
Nem észszerű megoldás tehát teljesen felmenteni az ügyfeleket sem a felelősség alól. A csalók módszerei egyre professzionálisabbak, de az átverések döntő része minimális odafigyeléssel még így is elkerülhető lenne. Mit gondoljunk arról az ügyfélről, aki komolyan elhiszi, hogy amikor felhívja egy "banki ügyintéző", és kiderül, hogy "ja, ön nem is az OTP-nél bankol, akkor kapcsolom az Erste Bankot", akkor tényleg egyik banktól a másikhoz lett átirányítva - ugyanazzal a kitalált mesével... Az ilyen hiszékenység kárát biztosan fair lenne teljes mértékben a bankokra hárítani?
Ahogy egy biztosító sem fizet a lakásbetörésre, ha a tulajdonos a kulcsot a zárban hagyta vagy maga adta oda a rablónak, úgy a bankok esetében sem észszerű, ha a legsúlyosabb ügyféligénytelenség esetén is automatikusan nekik kellene fizetniük a kárt.
Betörés esetén a rendőrség természetesen képes lehet az elkövetőt felderíteni, azonban a keletkezett kár csak akkor térülhet meg, ha a rablótól sikerül visszaszerezni az értékeket. Amíg ez nem történik meg, addig a veszteség a mi terhünket jelenti, különösen, ha súlyos gondatlanságot tanúsítunk. A közelgő szabályozás előtt hasonló helyzetekben senkit nem vontak felelősségre, és nem létezett olyan automatikus kárviselői mechanizmus, amely a bűnöző és a kárt előidéző gondatlan fogyasztó között közvetítene.
A bankkártyákra vonatkozó szabályozás keretein belül a liability shift, vagyis a felelősség átruházása egy jól körülhatárolt elvet képvisel. Itt a kárfelelősség alapja világos: amennyiben a bankkártya csupán mágnescsíkkal rendelkezik, és nem a modernebb chip technológiával, akkor a felelősség teljes mértékben a bankot terheli. Ezt a logikát követve, egy hasonló elv érvényesülhetne az azonnali visszaélésszűrő rendszerek esetében is. Például, ha a Magyar Nemzeti Bank (MNB) konkrét, objektív kritériumok mentén határozná meg az elvárásokat, és a bankoknak ezeknek nem felelnek meg, akkor automatikusan kötelesek lennének viselni a károkat – akár a teljes kárért, nem csupán az első veszteségért.
Összegzésképpen elmondható, hogy a first loss elv bevezetése jelentős motivációt jelent a bankok számára, de a hatékonysága csak akkor garantált, ha párhuzamosan figyelembe vesszük az ügyféloldali morális kockázatokat is. Csak az nem elegendő, hogy a szabályok értelmében csupán egyszer lehet "büntetlenül" tévedni, hiszen a második alkalommal már nem jár automatikus kártalanítás. A helyzet komplexitása megköveteli a mélyebb megközelítést és a kockázatok alaposabb kezelését.
Az Index által javasolt megoldás szerint érdemes lenne hazánkban is alkalmazni a brit Payment Systems Regulator (PSR) 2023. decemberi irányelveit, amelyek az önrészhez kötött kárviselésről szólnak. Az Egyesült Királyságban a kibocsátó maximum 100 font (körülbelül 47 ezer forint) értékhatárt állapíthat meg, amely felett az ügyfélnek kell viselnie a kárt. Egy hasonló szabályozás bevezetése Magyarországon valószínűleg elrettentő hatással lenne az ügyfelekre, ösztönözve őket a tudatosabb pénzügyi döntésekre. Érdemes megjegyezni, hogy a brit rendszerben az önrész nem kötelező: az olyan bankok, amelyek magabiztosak saját biztonsági rendszereikben, dönthetnek úgy, hogy nem alkalmaznak önrészt, ami versenyelőnyt jelenthet számukra a piacon.
Ugyancsak fontos garanciális elem, hogy a kárból levont önrészt az ügyfél jogosult visszakövetelni, ha megítélése szerint nem ő követte el a visszaélést és nem is volt gondatlan. Ha a bank ezt vitatja, a bizonyítás a banké, az ügyfél panaszával a helyi ombudsmanhoz vagy a bírósághoz fordulhat. Egy erre hajazó rendszer ügyfélbarát lenne, mégis észszerű felelősségmegosztásra operálna.
Különösen a social engineering (megtévesztésen alapuló), illetve "pszichológiai manipuláción alapuló" csalások két nagy csoportjában érezhető visszásnak, hogy a jegybank kárfelelősségi elvei alapján minden felelősséget a bankokra teszünk az ál-bankos telefonhívásoknál és a megtévesztő honlapoknál. Ezeknél ugyanis nyilvánvalóan más iparágak szereplői is tevőlegesen részt vállalnak - még ha nem is szándékosan - a csalások sikerében.
A telefonos csalások, más néven vishing, során a csalók jellemzően külföldről indítják a hívásokat, azonban olyan magyar telefonszámokat használnak, amelyek gyakran megegyeznek a különféle bankok ügyfélszolgálati számaival. Ez a módszer különösen megtévesztő, és sokakat könnyen áldozatul ejthet. Érdemes megjegyezni, hogy a telekommunikációs szolgáltatók technikai eszközökkel rendelkeznek, amelyek lehetővé tennék a hamisítványok kiszűrését vagy legalábbis a számuk drasztikus csökkentését. Ezen a téren Finnország lehet egy figyelemreméltó példa, hiszen 2022-ben olyan jogszabályokat vezettek be, amelyek kötelezték a szolgáltatókat a hamis hívószámok azonosítására és a gyanús hívások blokkolására, így védve a felhasználókat a csalásoktól.
Azóta számos országban bevezettek olyan szabályozásokat, amelyek kötelezik az operátorokat arra, hogy blokkolják az összes olyan nemzetközi hívást és SMS-t, amelyeknél a hívó fél száma "hazai" formátumban jelenik meg.
A fenti példa mutatja, hogy ha a telekommunikációs cégek is érdekeltté vannak téve - szabályozással vagy kárviseléssel - igenis találnak műszaki megoldást a probléma enyhítésére. Nálunk ezzel szemben hiába szerepelt már a Nemzeti Média- és Hírközlési Hatóságnak (NMHH) 2023-as országgyűlési beszámolójában az, hogy ez egy szabályozandó terület - az itthoni szolgáltatók kötelezése a mai napig is elhúzódik, ami magában rejti azt, hogy bevezetése után is csak hónapokkal később hozza majd meg első eredményeit.
Felmerül tehát a kérdés:
Miért fontos, hogy a bankok, mint például az OTP, saját védelmi rendszereiket fejlesszék, a telekommunikációs cégek helyett? Az OTP legfrissebb MobilBank verziója éppen ezt a célt szolgálja: lehetővé teszi az ügyfelek számára, hogy már a hívás során ellenőrizzék, valódi banki hívással állnak-e szemben. Ez a lépés nemcsak a biztonságot növeli, hanem a felhasználók tudatosságát is fokozza a pénzügyi csalásokkal szemben. Az ügyfelek védelme érdekében a bankoknak fontos, hogy saját technológiákat és megoldásokat alkalmazzanak, hiszen ők ismerik legjobban a pénzügyi tranzakciók sajátosságait és a potenciális kockázatokat.
A helyzet hasonló a másik jelentős érintetti csoport, az online platformok esetében is. Számos csalási hullám során világossá vált, hogy a Google, más keresőmotorok, közösségi média platformok, apróhirdetési oldalak, valamint online piacterek kulcsszerepet játszanak a csalók ügyfélszerzésében. Ezen felületeken keresztül a bűnözők fizetett hirdetésekkel vagy hamis profilokkal csábítják el a gyanútlan áldozatokat.
Erre jó példa, hogy az elmúlt hetek egyik legnagyobb hazai csalássorozata során az egyik nagybankunk internetbankjára hasonlító hamis weboldalak linkjei napokon át a Google találati lista élén szerepeltek hirdetésként kiemelve. Sok ügyfél ezekre kattintva jutott el a csalók oldalára, akik így könnyedén megszerezték a netbankos belépési adatokat. A szolgáltató csak késéssel, vonakodva távolította el a csaló reklámokat, amelyek ugyananakkor újra meg újra vissza tudnak kerülni a találati listák élére.
Joggal merül fel a kérdés: miért ne viseljen felelősséget az a platform, amely bevételt szerzett a csalóktól és elősegítette a bűncselekményt? Virág Barnabás az Index érdeklődésére azt mondta, egyetért abban, hogy például a Google felelőssége is felvethető ezekben az esetekben. Hozzátette viszont, hogy az ilyen jellegű szabályozás túlmutat Magyarország jogi lehetőségein, európai összefogásra lesz szükség.
Valóban, egy kis ország önállóan nem képes rábírni a Big Tech vállalatokat arra, hogy megfontoltabban járjanak el, azonban a kérdés nem csupán a mi határainkon belül merül fel. Az Európai Unióban már jelenleg is aktívan foglalkoznak olyan kezdeményezésekkel, amelyek célja, hogy a nagy online platformok nagyobb felelősséget vállaljanak és kártérítési kötelezettséggel bírjanak a szolgáltatásaikon belül elkövetett pénzügyi visszaélések kapcsán. Az MNB-nek és a kormánynak érdemes minden lehetséges fórumon hangsúlyoznia ezt a szükségletet.
Összességében tehát a visszaélések elleni harcnak sokrétű megközelítéseket kellene alkalmaznia. Nem elegendő csupán a bankokat nyomás alá helyezni, ha közben a csalók zavartalanul kihasználhatják a telekommunikációs rendszerek gyengeségeit, és akadálytalanul népszerűsíthetik hamis weboldalaikat az internetes platformokon, amelyek látszólag a szabályozások felett helyezkednek el. Így könnyedén csapdába csalják áldozataikat, miközben a védekezés szempontjából érthetetlen helyzetek alakulnak ki.
Különös figyelmet keltett a bejelentés során, hogy a jegybank az öt csapás kapcsán nem említette meg a nemzetközi szinten is elismert KiberPajzs kezdeményezést. Az MNB alelnöke csupán utólag, egy újságírói kérdésre reagálva ismerte el, hogy a KiberPajzs kulcsszerepet játszhat a frissen indított kampányban és a védekezési stratégiákban.
Pedig épp az ilyen együttműködések jelenthetik a valódi megoldást. A 2022 óta működő KiberPajzs lényege, hogy soha nem látott összefogás jött létre a pénzügyi csalások ellen. A kezdeményezés társalapító részvevője az MNB és a Bankszövetség mellett a Nemzetgazdasági és az Igazságügyi Minisztérium, a rendőrség, a Nemzeti Kibervédelmi Intézet és az NMHH. Azóta több más szervezet is csatlakozott, így a Magyar Államkincstár, a Szerencsejáték Zrt., valamint a két nagy kártyatársaság is.
A projekt indulása óta több országos edukációs kampány és akció zajlott; szakértők szerint a folyamatos információcsere és figyelemfelhívás kulcsfontosságú a megelőzésben, s az összefogás, tapasztalatcsere illetve a tanácskozások alapján immár jogilag is lehetővé vált információcsere nagymértékben segíti a csalások megelőzését, a bűnözőkkel szembeni gyors és hatékony fellépést.
Azt gondoljuk, hogy az MNB és a kormányzat által finanszírozandó figyelemfelhívó kampányt érdemes lenne a KiberPajzson keresztül indítani - az összehangolt projektet minden résztvevő fel tudná karolni, speciális tudásával hozzá tudna járulni, hogy az ismeretátadás lényegi és teljes legyen - ez meghatványozhatja a kampány erejét.
Képzeljük el, milyen nagyszerű lenne, ha a KiberPajzs keretein belül a közvetlen ügyfélvédelem is komoly fejlődésnek indulna! Jelenleg óriási űr tátong, mert hiányzik egy központi csalásbejelentő forródrót vagy weboldal, ahol bárki könnyedén bejelentheti, ha gyanús hívást, SMS-t vagy e-mailt kapott, esetleg rábukkant egy adathalász webhelyre, és szeretné figyelmeztetni a hatóságokat. Egy ilyen szolgáltatás lehetővé tenné, hogy gyorsan és hatékonyan elinduljon a bűnözők felderítése, valamint megerősítené az emberek érzéseit, amikor gyanút keltenek bennük. Jelenleg azonban a helyzet nem éppen rózsás – a bankok honlapjain az információk sokszor jól elrejtve találhatók, míg a hatóságok között gyakran ping-pongozik a bejelentő, anélkül, hogy tiszta útmutatást kapna, hová fordulhatna segítségért.
Ezen a téren a hatóságok és a piaci szereplők együttműködése jelentősen hozzájárulhatna az ügyfélélmény javításához és a gyorsabb reagálási időhöz. Fontos hangsúlyozni, hogy a jegybank által bevezetett intézkedések célja a bizalom növelése. A pénzügyi szolgáltatók iránti bizalom nem csupán attól függ, hogy ki vállalja a felelősséget a kárért, hanem attól is, hogy az ügyfelek mennyire érzik magukat biztonságban és támogatva a mindennapi életük során. Ebben a folyamatban a KiberPajzs típusú összefogás kulcsfontosságú szerepet játszhat.
Ezen többletfeladat költségeinek egy részét - ahogy azt már fent javasoltuk - fedezhetné a területen végzett vizsgálatok alapján feltárt hiányosságok miatt - remélhetően nem csak a bankokra - kivetett bírságok összege, így biztosítva, hogy célzottan a kibervédelemben hasznosuljon a hiányosságok miatt beszedett büntetés.
A méltányosság kérdése nem sorolható be sem banki, sem pedig felügyeleti keretek közé; ez a megközelítés nemcsak nehezen kivitelezhető, hanem objektív értékelési rendszert sem lehet itt kialakítani. Csakis egyedi, helyzet-specifikus mérlegelés jöhet számításba. Ennek érdekében sürgető lenne egy olyan független testület létrehozása, amely különálló a piactól és a szabályozó hatóságoktól, hogy hitelesen és pártatlanul tudja kezelni a méltányosság kérdéseit.
Az MNB ötpontos csomagja mindenképpen üdvözlendő és időszerű válasz egy súlyos problémára. A banki online csalások az utóbbi években soha nem látott méreteket öltöttek, és a társadalmi kár túlnyomó részét eddig az átvert ügyfelek viselték. A siker azonban azon múlik, mennyire lesznek összehangoltak és arányosak az intézkedések.
E téren érdemes megemlíteni a Belga Bankszövetség (Febelfin) legutóbb közzétett nyilatkozatát, amely hangsúlyozza, hogy az iparág szereplői teljes mértékben tudatában vannak annak, hogy az adathalászat és az online csalások elleni hatékony fellépéshez elengedhetetlen a közös munka. Ebben a kontextusban a különböző érdekelt felek, a kormányzati szervek és a szektorban aktív egyéb szervezetek közötti folyamatos együttműködés kulcsfontosságú.
Mivel az online csalók technikái - a mesterséges intelligencia és a deepfake-ek révén - folyamatosan fejlődnek, számos új kihívással kell szembenéznünk. Ezen fejlemények folyamatos közös nyomonkövetése és a szükséges alkalmazkodóképesség kulcsfontosságú.
Amennyiben a bankok tényleg implementálják a legújabb szűrőrendszereket, ha a központi csalásmegelőző rendszer hatékonyan fog működni, ha a telekommunikációs és technológiai szektor is vállalja a felelősséget a saját területén, és ha a szabályozók minden érintettől együttműködést és folyamatos innovációt követelnek, akkor – ami elengedhetetlen – az ügyfelek is tudatában vannak annak, hogy az ő figyelmük továbbra is elengedhetetlen, hiszen ők képezik a támadások kereszttüzét. Ebben az esetben van remény arra, hogy a kibercsalások száma jelentősen csökkenni fog.
A tét hatalmas: a pénzügyi innovációk és az ügyfél-digitálizáció jövője azon múlik, hogy a résztvevők mennyire hajlandók bízni az online platformokban. Ez a bizalom pedig közös felelősségünk, amely meghatározza a digitális átalakulás sikerét.
