Nincs okoskészüléke, mégis digitális tranzakciókkal lopták meg a nyugdíjas mérnököt

2026-03-01 - 08:44

Nyugdíjas mérnök-közgazdász olvasónk, aki az MBH Bank ügyfele, egy műtét után otthon lábadozott tavaly augusztusban, amikor arra lett figyelmes, hogy néhány perc alatt több SMS-t kapott. Az üzenetek alapján Google Pay (digitális bankkártyás) tranzakciók történtek a számláján. Mint kiderült, négy sikeres tranzakció volt, két dubai kereskedőnél, és ezzel az idős úr bankszámlájáról összesen csaknem 500 ezer forintot szedtek le. Rögtön kérte a kártyája letiltását a bankjától, és panaszlevelében azt is kérte az MBH-tól, hogy térítsék meg a kárát. A pénzintézet a kártérítést azzal utasította el, hogy az idős férfi súlyosan gondatlanul járt el. A bank ugyanis azt vélelmezte, hogy kiadta valakiknek a bankkártya digitalizáláshoz szükséges adatokat (bankkártya száma, CVC-kód, SMS-kódok), és ezzel lehetővé tette a hitelesített tranzakciók kezdeményezését. Ilyen esetben pedig a chargeback (visszatérítés) sem lehetséges, közölték (erről a folyamatról itt írtunk). Olvasónk rendőrségi feljelentést is tett de csak novemberben, barátai tanácsára – a károsult lapunknak elmondta, hogy a nyomozás megindult, majd felfüggesztették, mert nem sikerült felderíteni a tettest. Nem adta ki senkinek az adatait Az olvasónk bejelentése alapján felvett, birtokunkba került rendőrségi jegyzőkönyvben az szerepel, hogy a tranzakciókat nem ő kezdeményezte, a mobiltelefonján nem intéz banki ügyeket, nincs is a telefonján internet (régi típusú készüléke van), és senkinek sem adta meg a bankkártyaadatait. A bank viszont azt írta, hogy kapott két banki SMS-t, még a tranzakciókat jelző üzenetek előtt: az egyik egy ellenőrző kód volt, a másik a bankkártya aktiváló kódja, amely szükséges a Google Pay fizetéshez. Azt is rögzítette a pénzintézet, hogy ezeket a kódokat aktiválták, így lett sikeres a bankkártya digitalizációja. Ha nem olvasónk aktiválta az SMS-ben a bank által küldött kódokat, akkor bizonyára megadta azokat valakinek. A kódokkal kapcsolatban van azonban egy rejtély – a nyugalmazott mérnök-közgazdász azt mondja, nem érkeztek meg telefonjára, így azokat nem is adhatta meg másnak. Szolgáltatója, a Magyar Telekom viszont azt írta megkeresésére, hogy megérkeztek a telefonszámára az SMS-ek. A bank közölte azt is, hogy a Google Pay tranzakciók jóváhagyásához minden esetben kell ügyfélhitelesítés. A dubai tranzakciók a bank álláspontja szerint kizárólag olvasónk engedélyével valósulhattak meg, ezért elutasították panaszát, illetve a kár megtérítésének igényét. A férfi fogyasztóvédelmi panaszt tett a Magyar Nemzeti Banknál (MNB), ám azt hatáskör hiányában elutasították. A kártérítési igény polgári jogi kategória, a bank ügyfél-azonosítási gyakorlata, illetve a banki csalásmonitoring, valamint a bankbiztonság pedig nem vizsgálható fogyasztóvédelmi eljárás keretében – írták. Szajki Bálint / 24.hu Az eset kapcsán felmerül a kérdés, hogy ha valakinek régi típusú, hagyományos telefonja van, akkor tudja-e egyáltalán digitalizálni a bankkártyáját, tud-e Google Pay tranzakciókat végezni. A szakértő szerint nem történhettek meg úgy a tranzakciók, ahogy azt a bank írta. De még az MBH Bank 24.hu-nak küldött válaszaiból is az rajzolódott ki, hogy régi telefonnal nem lehet bankkártyát digitalizálni. Okostelefon nélkül nem lehetséges Az MBH Bank szerint a 80 éves ügyfél egy olyan mobiltelefonnal követett el súlyos gondatlanságot, amely technikailag alkalmatlan minden PSD2-es erős ügyfélhitelesítésre. Ez nem digitális felelőtlenség, hanem a banki felelősség elhárítása – írta megkeresésünkre a csalások felgöngyölítésén munkálkodó AdhocSupport vezetője, szakértője, Petrásovits Zoltán. Az idős ügyfél mobiltelefonja (Blaupunkt BS04i) a gyártói adatok szerint egy klasszikus készülék, vagyis nem okostelefon, nincs rajta Android / iOS, nem fut rajta MBH Mobilbank, nem NFC-képes, nem telepíthető rá Google Wallet / Google Pay, nincs biometrikus azonosítás, push értesítés, alkalmazásalapú tranzakciójóváhagyás, és nincs digitális tokenkezelés sem. Tehát technikailag alkalmatlan a PSD2 szerinti erős ügyfélhitelesítésre. Ez nem vélemény, hanem műszaki tény – szögezte le a szakértő. Hozzátette, amennyiben Google Pay tranzakció történt, ahhoz szükségszerűen kellett hogy létezzen egy Google Wallet, amelyben a bankkártyát tokenizálni lehet. A tokenizálás kizárólag egy konkrét eszközhöz és Google-fiókhoz kötötten történhetett, melynek létezését és paramétereit a bank rendszereinek naplózniuk kell. Szerinte azért fontos mindez, mert ahogyan ő látja, a bank nem bizonyít, csak állít. Márpedig a Wallet létezése nem magától értetődő, hanem kulcsfeltétel. Idős ügyfélnél a Wallet-használat nem vélelmezhető – tette hozzá. Arra is kitért, hogy az SCA (erős ügyfélhitelesítés) legalább kettőt megkövetel az alábbi három feltétel közül: tudás (jelszó, PIN), birtoklás (SCA-képes eszköz, app, token), biometria. A konkrét ügyben a tudás esetleg meglehet, de a PIN ismerete önmagában nem elég. A másik két feltétel azonban nem teljesül, azaz nincs SCA-képes eszköz és biometrikus azonosítás. Vagyis olvasónk készülékén erős ügyfélhitelesítés nem történhetett. Súlyos gondatlanság? A bank szerint Google Pay tranzakciók történtek, tokenizált bankkártyával, az ügyfél által engedélyezve. De ha az ügyfélnek nincs a Google Payhez Google Walletje, okostelefonja, esetleg Google-fiókja sem, akkor hogy történhetett meg a tranzakció? A szakértő felhívta rá a figyelmet, hogy a neten meg lehet nézni, van-e elektronikus, tokenizált bankkártyánk, illetve hogy mi van a Walletben. Olvasónkat megkértük erre, de nem mutatott neki semmit a rendszer. Nikolas Kokovlis / NurPhoto / AFP A „súlyos gondatlanság” vádja ebben a kontextusban abszurd a szakértő szerint. Egy 80 éves, digitálisan nem igazán aktív, okostelefont nem használó ügyfélnél nem lehet vélelmezni Wallet-ismeretet, tokenizálási tudást, mobilbanki rutint, digitális tranzakció-jóváhagyási képességet. A „súlyos gondatlanság” itt nem bizonyított, hanem utólag ráerőltetett banki narratíva – jelentette ki. Hogyan lett akkor tokenizálva az ügyfél kártyája anélkül, hogy hozzáért volna a kártyájához? Más valaki is hozzá tudja adni a Walletjéhez az ő kártyáját a tudta és beleegyezése nélkül? A szakértő rövid válasza szerint technikailag ez lehetséges, de ha megtörténik, az nem az ügyfél hibája, hanem klasszikus kártyatokenizációs visszaélés, amelyért a bank és a kártyatársaság viseli a felelősséget. Petrásovits Zoltán szerint a kiindulópont az, hogy a Google Wallet / Google Pay tokenizáció nem igényli a kártya fizikai jelenlétét. A folyamat teljes egészében távolról végrehajtható, ha az elkövető megszerzi a minimálisan szükséges adatokat, azaz a bankkártyaszámot, a lejárati dátumot, a CVV/CVC kódot. (Ezek ugyanazok az adatok, amelyek egy online vásárlásnál kellenek.) Az erős ügyfélhitelesítés viszont nem egy SMS elküldését jelenti, hanem legalább két, egymástól független biztonsági elem együttes használatát. Az SCA egy EU-s (PSD2) kötelezettség, amely szerint a banknak legalább két, egymástól független azonosítást kell kérnie, mielőtt pénzügyi műveletet engedélyez. Az SCA azt biztosítja, hogy ellopott adatokkal ne lehessen pénzt költeni, csak valódi ügyfélközreműködéssel. És egy olyan készüléken, amely nem okostelefon, és nem fut rajta banki alkalmazás, az erős ügyfélhitelesítés technikailag nem valósulhat meg. Digitális követelmények Megkérdeztük az MBH Bankot is, általánosságban lehetséges-e okostelefon nélkül bankkártyát digitalizálni. Azt válaszolták, hogy a klasszikus, ügyfél által kezdeményezett digitalizáláshoz minden esetben okoseszköz szükséges, amely támogatja az adott mobilfizetési szolgáltatást. Hagyományos vagy nem internetképes készüléken a digitalizáció nem lehetséges – erősítette meg a bank is. Fizikai környezetben történő vásárlásra két digitális pénztárcaszolgáltató megoldását támogatják: az Apple Pay-t és a Google Pay-t. Használatukhoz iOS- illetve Android-alapú, NFC-képes okoseszköz szükséges. Válaszukban kitértek arra is, hogy Google Pay/Google Wallet érintéses fizetéshez az alábbi követelményeknek megfelelő eszköz szükséges: Android okostelefon vagy táblagép: Android 9.0 (Pie) vagy újabb operációs rendszer, NFC-támogatás, telepített Google Wallet, beállított kijelzőzár (PIN, minta vagy jelszó), Wear OS okosóra: Wear OS 2.0 vagy újabb, beépített NFC, telepített Google Wallet. Az MBH Bank szerint sem lehet nem okos eszközzel használni a Google Pay-t Érdeklődtünk arról is, hogy csak Google Pay fizetésre alkalmas eszközzel lehet-e bankkártyát digitalizálni. Azt írták, fizikai környezetben való használatra bankkártyát többféle digitális pénztárcába regisztrálhatnak az ügyfelek – nem kizárólag Google Pay kompatibilis eszközre (például: Apple Pay). A digitalizálás lehetősége attól függ, hogy milyen eszközt használ az ügyfél, illetve a bankkártya kibocsátója melyik mobilfizetési szolgáltatást támogatja. Internetes környezetben a Click to Pay esetében, valamint internetes kereskedőknél elmentett tokenizált kártyák esetén is digitalizáció történik a háttérben. Varga Jennifer / 24.hu Az MBH Bank leszögezte, a mobilfizetési megoldások bevezetésekor és működtetése során szigorúan követi a kártyatársasági és mobilfizetési szolgáltatók biztonsági előírásait, amelyeknek való megfelelést a digitális pénztárca szolgáltató által akkreditált laborok tanúsítanak. Fizikai környezetben Apple Pay-jel illetve Google Pay-jel végrehajtott tranzakció során erős ügyfélhitelesítés szükséges. POS terminálon ez a fizetésre használt készülékben tárolt biometrikus azonosító vagy a képernyőzár feloldására használt kód megadásával történik. ATM-es tranzakció esetén emellett a fizikai kártya PIN kódjának megadása is szükséges. A mobileszközön keresztüli hitelesítés a kártyatársasági szabályok alapján is erős ügyfélhitelesítésnek minősül. Megkérdeztük azt is, hogy az autentikációhoz kell-e okostelefon, amire azt a választ kaptuk, hogy nem feltétlenül. De olyan eszköz kell, amely képes fogadni vagy kezelni a hitelesítési lépést. Appos hitelesítéshez okostelefon szükséges. SMS-alapú hitelesítéshez elegendő egy hagyományos mobiltelefon is, amely képes SMS-t fogadni. Bizonyos esetekben a hitelesítés call centeres megerősítéssel történhet, amit szintén nem szükséges okostelefonról kezdeményezni. A mobilfizetéshez — Google Pay vagy Apple Pay esetében — a fizetésre használt eszköznek okoseszköznek kell lennie. Végül azt is tisztáztuk, hogy ha valakinek nincs okostelefonja, tud-e Google Pay-en keresztül fizetni. A bank válasza alapján fizikai környezetben Google Pay érintéses fizetéshez szükséges NFC-képes Android okostelefon, vagy NFC-s Wear OS okosóra. Hagyományos, nem okostelefonos készülékkel nem lehet Google Pay-t használni.Hozzátették, hogy a bankoknak nincs rálátásuk az ügyfél által birtokolt eszközökre, vagyis a bank nem tudja, van-e az ügyfélnek okoseszköze. Illetve hogy a digitalizációt jóváhagyó SMS-kód nem okos készülékre is megérkezik.