Átrendeződnek a visszaélések

Az elmúlt hetekben több túlterheléses kibertámadás érte a hazai pénzintézeteket – jelentette be Gabler Gergely, a Magyar Nemzeti Bank (MNB) igazgatója. A legkézenfekvőbb védekezés az, hogy a bank egyszerűen lekapcsolja a külföldi IP-címeket, hiszen a támadások döntő része külföldi szerverekről érkezik.

Az MNB értékelése szerint ugyanakkor

a csalások döntő része továbbra is az ügyfeleket célozza meg, és a számlaadatok megszerzésére irányul. Az MNB az utóbbi időben már szervezett bűnözői csoportokat azonosított egynémely támadás mögött.

A legújabb pénzforgalmi irányelv (PSD2) fő céljai között a piaci verseny új pénzforgalmi szereplők megjelenésével való élénkítése mellett a csalások, visszaélések és incidensek elleni hatékonyabb védelem, a fizetések biztonsága is szerepel. Fontos, hogy az ügyfelek védelme érdekében a szabályozó jelentékenyen megemelte a csalásokkal kapcsolatos adatszolgáltatást, ráadásul megfordította a bizonyítási terhet:

az ügyfél helyett a pénzintézetek feladata annak bizonyítása, hogy az ügyfél részt vett a csalásban, vagy súlyosan gondatlan viselkedése okozta a csalást.

Alapesetben, ha az előbbiek nem bizonyíthatók, a banknak 24 órán belül vissza kell adnia a csalásban érintett pénzösszeget az ügyfélnek. Ha ennek kivizsgálására nem elegendő 24 óra, az adott hitelintézetnek jelentenie kell az MNB felé, hogy több időre van szüksége. A jegybank tavalyi célvizsgálatai szerint

az új szabályozásnak való megfeleléssel van a legtöbb gond, a pénzintézetek egy része nem egyedi incidenseknél akarja alkalmazni a határidő-kitolást, hanem például az általános üzletszabályzat részévé tenné, ami szabályellenes.

Az MNB szakértői ugyanakkor hangsúlyozták: a visszaélések tekintetében Magyarország az EU harmadik legjobb adataival rendelkezik, a magyar pénzügyi szektor felkészültsége a csalások megelőzésére kiemelkedő. Az összes kártyás tranzakció értékét tekintve 0,012 százalékot tesz ki a csalásokban érintett tranzakciók értéke, fontos ugyanakkor azt is látni, hogy ezek mindössze 7 százalékában viselték a kárt a fogyasztók.

A szabályozás a csalásmegelőzésre vonatkozó szabályok mellett a kockázatmérséklésre limitek alkalmazását, illetve a vélelmezett csalások esetében a tranzakciók letiltását is engedélyezi a szolgáltatóknak, ám ennek is komoly riportálási feltételei vannak.

Nagy változást hoz a január. A bankoknak ettől az időponttól kezdve a PSD2 szabályozás szerint el kell utasítaniuk azokat az internetes vásárlási tranzakciókat, amelyeknél a fizetés csak kártyaszámmal és cvc-kóddal történik, és nem kapcsolódik hozzá erős ügyfél-hitelesítés, azaz külön – sms-es vagy biometrikus – azonosítás. Az MNB ennek a megoldásnak az alkalmazását elvben szeptember 14-től várná el a pénzintézetektől, s úgy látja, hogy a bankok felkészültek erre, ám az ügyfeleket még nem értesítették.

A Világgazdaság kérdésére a felügyeleti vezetők világossá tették,

szerintük a pénzintézetek feladata az ügyfelek tájékoztatása arról, hogy januártól a nem megfelelő módon végzett utalások nem teljesülnek.

Úgy vélték, a rendelkezésre álló idő elég lesz erre. Nagy kérdés ugyanakkor, hogy miként működik majd az egységes európai rendszer, mivel az MNB illetékeseinek tájékoztatása szerint az Európai Bankhatóság (EBA) a közelmúltban arról tájékoztatott, hogy a bankok egy része még nem készült el a fejlesztésekkel (s vélhetően ugyanez igaz a webáruházakra is), így az EBA most a bevezetési határidő további kitolását is elfogadhatónak tartja. Mindez azt jelenti, hogy nemcsak Európán kívüli (amerikai, kínai) webáruházak esetében, de elvben a páneurópai rendszeren belül megvalósuló fizetéseknél is eltérők lehetnek az online fizetési szabályok.

Biró Gabriella, a jegybank főosztályvezetője szerint a tavalyi visszaélésekkel összehasonlítva a legmarkánsabb emelkedést az online bankkártyás csalások aránya mutatja: míg 2019-ben a visszaélések 13, addig idén a 39 százaléka köthető ezen területhez. Új elem a SIM-cserés visszaélés, ahol az ügyfél adatait megszerezve a csalók új SIM-kártyát igényelnek a telefonhoz, amellyel ezt követően akár már a PSD2-es szigorú ügyfélazonosítás is kijátszható – az ügyletek 8 százalékában történt ilyen visszaélés. Az adathalász e-mailekkel és sms-ekkel megszerzett adatok terén úgy fest, javul a helyzet:

a visszaélések között az ilyenek aránya 60 százalékról 38 százalékra szorult vissza.

A céges fizetéseknél még mindig gond az úgynevezett számlaváltásos visszaélés, amikor a csaló egy üzleti partnernek kiadva magát arra kéri az érintett céget, hogy valamely kifizetést egy új számlaszámra teljesítsen. Biró Gabriella szerint ez ellen úgy lehet a leghatásosabban védekezni, ha az üzleti partnerek már a szerződéskötéskor egyértelműsítik, kik az ügyletben a kapcsolattartók, akik rendelkezhetnek bármilyen változtatásról.

Emelt PIN-limit

A fizikai bankkártyás vásárlások terén sem az MNB, sem a bankok nem tapasztaltak jelentős visszaélés-emelkedést azután, hogy a PIN-kód-mentes fizetés értékhatárát a koronavírus-járvány miatt a korábbi 5 ezer forintról 15 ezer forintra emelték. A tapasztalatok azt mutatják, hogy a limitemelés bevált, ezért a jegybank az átmeneti szabályozás véglegessé tételét fogja javasolni a jogalkotóknak. | VG