A legfontosabb feladata a hazai hitelintézeti rendszernek és a Magyar Nemzeti Banknak (MNB), hogy a fogyasztók minél szélesebb körét készítse fel a kibercsalások kivédésére, legfőképpen a biztonsági szelepek rendszeres monitorozásával és az információk széles körű terjesztésével. 

Cyber,Threat,From,North,Korea.,North,Korean,Hacker,At,The
A kiberbűnözők mindig előállnak egy újabb módszerrel, főleg, ha az aktuális.
Fotó: trambler58

A pénzügyek digitális útra terelődése, az egyre kifinomultabb bűnözői módszerek időszakában egyre fontosabb az ügyfelek tudatosságának erősítése, illetve az intézmények belső védelmi rendszereinek, folyamatainak jegybanki támogatása – fogalmazták meg szerda délelőtt a Magyar Nemzeti Bank (MNB) felügyeleti szakemberei.

Mint ismert, az MNB ajánlásban fogalmazta meg elvárásait a bankoknak, elektronikus pénzkibocsátó és pénzforgalmi intézményeknek a pénzforgalmi bűnözői visszaélések észlelése, kezelése és megakadályozása érdekében. Az egyes elemeit tekintve több lépcsőben – 2024 január 1., szeptember 1., illetve
2025. március 1-jétől – alkalmazandó felügyeleti szabályozó eszköz célja a piaci szereplők jogalkalmazásának, illetve egységes gyakorlata kialakításának támogatása is. Az ajánlás az MNB korábban bejelentett Központi Visszaélésszűrő Rendszeréhez, illetve a partnereivel közösen indított KiberPajzs ügyfél-edukációs kampány sorába illeszkedik.

 

Mikor súlyosan gondatlan az ügyfél?

A sajtóbeszélgetésen elhangzott: jegybanki elvárás, hogy a pénzforgalmi keretszerződésben és azt megelőző ügyfél-tájékoztatásban a visszaélések kapcsán el kell különíteni az abban érintett ügyfél esetleges súlyosan gondatlan (kirívóan észszerűtlen, szinte szándékos) magatartását az egyszerű gondatlanságtól. Nem lehet gyengíteni a jogszabályokhoz képest a piaci szereplőkre vonatkozó kárviselési szabályokat, s az adott ügyfél magatartását egy konkrét esetben annak körülményei alapján és nem általánosan kell megítélni. 

Egyszóval, míg a bankkártyás csalások esetében a bank megtéríti a kárt, ha egyértelmű, hogy a kártyabirtokos ártatlan, az internetes tranzakcióknál viszont gyakran hosszadalmasabban ki kell vizsgálni az ügyet.

Ha az ügyfél új, nem bankkártyás fizetési eszközt – például mobil- vagy netbankot – igényel, regisztrál és  használ először, az MNB elvárja, hogy a pénzügyi intézmény küldjön megerősítő üzenetet neki erről, s biztonsági okból alkalmazzon erős ügyfélhitelesítést. Ha az intézmény újonnan ilyen szolgáltatást bocsát ügyfele rendelkezésére, erről ne az új elektronikus csatornán keresztül, hanem egy másik kommunikációs csatornán értesítse a fogyasztót – ajánlja a központi bank felügyeleti levele.  

Cyberattack,On,Computer,Screen.,Cyber,Attack,,Security,Breach,And,Russian
A leggyakoribb kibercsalási módszerek a bankok vagy más hivatalos szervek nevében elkövetett csalások.
Fotó: Shutterstock

A legmagasabb szintű digitálisbűnözés-elhárítás és fogyasztóvédelmi tevékenység akkor valósulhat meg, ha az intézmények a mindenkor aktuális csalási szokások kiszűrésére felkészült, korszerű és megbízható biztonsági rendszereket, eljárásokat alkalmaznak, amelyek képesek az esetleges visszaélések megakadályozására – fogalmazott Freisleben Vilmos az MNB igazgatója.

 

Hogyan lehet védekezni?

A leggyakoribb kibercsalási módszerek a bankok vagy más hivatalos szervek nevében elkövetett csalások, továbbá a kéretlen, illetve váratlan adathalász e-mailek és sms-ek. Ezeken kívül a „váratlan nyeremények, pénzeső”, amikor jellemzően a közöségi médiában, online piactereken az ügyfelet direkt keresik fel vagy nagyobb összegű nyeremény lehetőségével, esetleg örökléssel keresik fel a gyanútlan ügyfelet.

„A kiberbűnözőkre jellemző, hogy ráállnak az aktualitásokra és a támadhatóbb korcsoportokra, főként az internetet használó nyugdíjasokra” – válaszolta kérdésünkre Bíró Gabriella, az MNB főosztályvezetője. Mostanában például „slágertéma” az iskolakezdés, a nagyszabású banki esemény, az MBH Bank megalakulásának minden fontos lépése, vagy akár a kincstári számlák az állampapírokba való befektetés megnövekedésének apropóján.  

Az MNB azt ajánlja, az ügyfél és a szolgáltató közti telefonos vagy egyéb hangalapú kommunikációnál az intézményeknek célszerű keresztazonosítást alkalmazni. 

Ennél legalább 3 kérdésre részben az ügyfél, részben a szolgáltató ügyintézője ad választ a beszélgetésben, így mindkét fél azonosítható. Ha pedig visszaélés történt, a bankoknak, egyéb intézményeknek olyan elektronikus kommunikációs csatornával kell rendelkezniük, amelyen az érintett ügyfelek várakozás nélkül bejelenthetik, vagy visszavonathatják a nem általuk adott megbízást.

A piaci szereplőknek az informatikai rendszerekben naplózással kell rögzíteniük az ügyfelek fizetési műveleteit, s a visszaélések kivizsgálásához szükséges eseményeket is.

Így mindkét folyamat utólag is rekonstruálható lesz. A jegybank azt is előírta, hogy ha az ügyfél kéri, az intézményeknek haladéktalanul ingyenesen elektronikus értesítést kell küldenie, ha fizetési számlája egyenlege, illetve személyi hitelesítési, értesítési adatai megváltoztak (műveletmegfigyelési üzenet).

 

Ezeket is előírja a jegybank

A pénzügyi intézményeknek az adathalászat megelőzésére a biztonságtudatosságot erősítő ügyféledukációs stratégiát kell kidolgozniuk. Kiemelt helyen és módon (például honlapjukon, sms vagy push üzenetekben) rendszeresen és közérthetően – infografikákkal, rövid videókkal – tájékoztatniuk kell a fogyasztókat az aktuális visszaélések típusairól. Fontos a figyelemfelhívás akkor is, ha az intézmény új IT-rendszert vezet be vagy a réginél jelentős módosítást, cserét hajt végre.

Az MNB elvárja, hogy az intézmények által – a fizetések értékénél, darabszámánál – alkalmazott műveleti értékhatárok igazodjanak az ügyfelek fizetési szokásaihoz, miközben akadályozzák meg az ettől eltérő tranzakciókat. 

Legyen ingyenes lehetőség az értékhatárok átmeneti és állandó elektronikus (erős ügyfélhitelesítéssel történő), illetve telefonos (keresztazonosítással végezhető) módosítására a pénzügyi csalások csökkentése érdekében.

Data,Center,Programmer,Using,Digital,Laptop,Computer,,Maintenance,It,Specialist.
A jegybank azt is előírta, hogy ha az ügyfél kéri, az intézményeknek haladéktalanul ingyenesen elektronikus értesítést kell küldenie, ha fizetési számlája egyenlege, illetve személyi hitelesítési, értesítési adatai megváltoztak.
Fotó: Shutterstock

A jegybanki ajánlás emellett kitér az erős ügyfél-hitelesítés elemeit biztosító többfunkciós készülékek kockázatainak mérséklésére, a visszaélésekkel kapcsolatos műveletmegfigyelő mechanizmusokkal  kapcsolatos szabályokra, illetve az ügyfelek által jóvá nem hagyott fizetési műveletek helyesbítési kérelmére is. Utóbbi kapcsán leszögezi: az intézményeknek egyedileg kell vizsgálniuk az adott művelet teljesítésének körülményeit. Önmagában nem utasíthatják el az ügyfél igényét azért, mert például egy kártyás fizetési művelet annak PIN-kódjával történt, vagy arra hivatkozva sem, hogy a tranzakció kapcsán az adott fogyasztó elektronikus eszközére küldtek sms vagy push üzenetet.