Így nullázzák le semmi perc alatt bárki bankszámláját: rengeteg magyar hiába futhat a pénze után

Online csalásnak tekintjük azt, amikor egy csaló megtéveszti az ügyfelet, vagy technikai módszerrel jut hozzá belépési adatokhoz, majd pénzt vesz ki a számláról vagy fizetést indít. Ez magában foglalja az adathalászatot, hamis weboldalakat, mobilos csalásokat és az úgynevezett „Authorised Push Payment (APP)” típusú átutalási csalásokat, amikor a megtévesztés hatására az ügyfél saját akaratából indít átutalást a csaló számlájára.

Magyar jogban nincs egységes, kifejezetten online csalásokra vonatkozó kártérítési szabály. Az ügyfél és a bank szerződése, illetve a bank általános üzleti feltételei határozzák meg a felelősséget. A banknak biztonságos szolgáltatást kell nyújtania és megfelelő intézkedéseket kell hoznia a csalások megelőzésére. Amennyiben ezek hiányoznak, az ügyfél kérheti a kár megtérítését. A Magyar Nemzeti Bank is kiemeli, hogy az ügyfeleknek gyanús tranzakció észlelésekor azonnal értesíteniük kell a bankot.

Mikor térítik meg a bankok?

A bankok nem automatikusan térítik meg a veszteséget minden esetben. A megtérítés feltételei általában a következők:

• az ügyfél nem volt súlyosan gondatlan (pl. nem adta meg szándékosan belépési adatait egy gyanús oldalnak),
• a bank nem mulasztotta el a megfelelő biztonsági intézkedéseket,
• a csalást időben észlelték és az ügyfél azonnal jelezte a banknak.

Magyar bankok gyakorlatában előfordul, hogy bizonyos esetekben részleges kártérítést adnak vagy visszaadják a teljes összeget, ha az ügyfél nem felelős a történtekért. Ezek a döntések az egyedi ügy körülményeitől függenek.

Chargeback

A bankkártyás fizetéseknél a visszaterhelési, azaz chargeback eljárás bizonyos esetekben védelmet ad a fogyasztóknak. Akkor alkalmazható, ha a kártyabirtokos vitatja a tranzakciót, például azért, mert nem ő indította a fizetést, csalás történt, vagy nem kapta meg a megrendelt terméket, szolgáltatást. Ilyenkor az ügyfél a saját bankjánál jelzi a problémát, amely a kártyatársaságok, például a Visa vagy a Mastercard szabályai szerint hivatalos eljárást indít. A vitatott összeget ilyenkor a kereskedő bankjára terhelik vissza, és a kereskedőnek kell igazolnia, hogy a tranzakció jogszerű volt és a teljesítés megtörtént. Ha ezt nem tudja bizonyítani, az összeget visszautalják az ügyfél részére.

Lényeges, hogy ha a tranzakciót a kártyabirtokos jóváhagyta, vagy az adatokat megtévesztéssel adta meg egy csalónak, akkor jellemzően nem indítható visszaélés jogcímen bankközi chargeback eljárás, így a kár ilyen módon nem térül meg.

Országos szinten az online pénzügyi visszaélések összesített, publikus statisztikáit a Magyar Nemzeti Bank teszi közzé. A Nemzeti Kibervédelmi Intézet a Pénzcentrumnak arról írt, hogy elsősorban a hozzá beérkező bejelentésekből, például adathalász oldalak és telefonos csalások jelzéseiből lát részleges képet. Tapasztalatuk szerint a próbálkozások száma magas és szinte mindennapos, ugyanakkor a sikeres csalások aránya a tudatosítás hatására időszakosan csökkenhet.

Az MNB legfrissebb adatai alapján vegyes kép rajzolódik ki:

• A hazai kibocsátású bankkártyákkal elkövetett sikeres visszaélések száma negyedéves alapon 7,3 százalékkal nőtt, ugyanakkor az okozott kár értéke 16,6 százalékkal, közel 300 millió forinttal csökkent.
• A nem kártyás, jellemzően átutalásos visszaélések száma 41,1 százalékkal, értéke 41,6 százalékkal mérséklődött az előző negyedévi kiugró szinthez képest.
• A legnagyobb visszaesés a vállalati szektorban történt, ahol a darabszám 78,0 százalékkal, az érték 52,1 százalékkal csökkent.
• Az összes visszaélés több mint fele, 52,5 százaléka továbbra is adathalászathoz kötődik.
• A károk összértékét vizsgálva azonban a pszichológiai manipuláció aránya jelentősen nőtt, 13,2 százalékponttal 39,2 százalékra, így jelenleg ez a legnagyobb kárt okozó visszaélési forma.

Az adatokból az látszik, hogy a kártyás visszaélések darabszáma emelkedett, de az egy esetre jutó kár csökkent, míg az átutalásos csalásoknál mind a szám, mind az érték jelentősen visszaesett a korábbi kiugró negyedévhez képest. A trendek alapján az adathalászat továbbra is tömeges jelenség, de a nagyobb összegű károkat egyre inkább a pszichológiai manipuláción alapuló csalások okozzák.

A telefonos csalások még mindig „népszerűek"

A Nemzeti Kibervédelmi Intézet szerint jelenleg a social engineering alapú támadások terjednek a leggyorsabban. Ezen belül kiemelkedik az e-mailes adathalászat és az SMS-alapú smishing, mivel ezek rövid idő alatt nagy tömeghez juttathatók el, akár több tízezer felhasználót is elérve egy kampány során.

Mint írták, a támadások gyakran időszakos eseményekhez igazodnak, például adóbevallási időszakhoz, közműszámlákhoz vagy csomagküldéshez. A csalók rendszeresen visszaélnek ismert hazai bankok, hatóságok és szolgáltatók nevével, hogy növeljék a hitelesség látszatát.

A telefonos csalások továbbra is hatékonyak, különösen hívószám-hamisítással és jól felépített történettel. Ezek egyre gyakrabban kapcsolódnak más módszerekhez, például egy adathalász üzenetet követő telefonhíváshoz.

Az Intézet arra is felhívja a figyelmet, hogy nő a közösségi médiában és keresőkben megjelenő adathalász kampányok száma, ahol fizetett hirdetésekkel és mesterségesen generált aktivitással terelik a felhasználókat hamis oldalakra.

Rengeteg a támadás ellenére jól vizsgázik a szűrőrendszer

A Magyar Nemzeti Bank adatai alapján 2023 eleje és 2025 III. negyedéve között vegyes trend rajzolódik ki a hazai kibocsátású bankkártyákkal elkövetett visszaéléseknél. 2025

Az Magyar Nemzeti Bank adatai szerint a meghiúsított kártyás visszaélések száma 2023 eleji 106 ezerről 2024-ben meredeken emelkedett, 2024 III. negyedévében 331 633 darabot ért el, majd 2025 II. negyedévében 435 776-ra ugrott. Ezt követően 2025 III. negyedévében 215 036 darabra esett vissza. A sikeres visszaélések száma 2023-ban negyedévente 42–49 ezer között mozgott, 2024 I. negyedévében 56 934 darabbal tetőzött, majd csökkenni kezdett. 2025 közepére 46–50 ezer közé mérséklődött. A kép azt mutatja, hogy a támadások száma magas, de a sikeres esetek száma a 2024 eleji csúcs óta enyhén csökken.

A sikeres visszaélések értéke 2023-ban folyamatosan emelkedett, 2023 IV. negyedévében már 2,4 milliárd forint fölött volt. A csúcs 2024 II. negyedévében következett be 2,77 milliárd forinttal. Ezt követően csökkenés indult, 2025 III. negyedévében az érték 1,51 milliárd forintra esett vissza.

A pszichére erősen hatnak

A Nemzeti Kibervédelmi Intézet tapasztalatai szerint az esetek többségében nem a felhasználói eszköz technikai feltörése okozza a kárt, hanem a pszichológiai befolyásolás.

A technikai eszközök, például a professzionálisan felépített adathalász oldalak, a hívószám-hamisítás vagy a banki felületre hasonlító hamis oldalak elsősorban a megtévesztés hitelességét erősítik. A tényleges pénzügyi veszteség abból adódik, hogy az áldozat a manipuláció hatására érzékeny adatokat ad meg, szoftvert telepít, vagy saját maga hagy jóvá, illetve indít tranzakciót. Az Intézet szerint a mesterséges intelligencia fejlődése tovább növeli a kockázatot, mivel a csalók egyre személyre szabottabb és meggyőzőbb üzeneteket tudnak készíteni.

A több lépcsős megerősítések és tranzakciós figyelmeztetések hatásáról nincs számszerű, összehasonlítható adat. Ugyanakkor valószínű, hogy ezek csökkentik a technikai jellegű visszaélések sikerességét. A pszichológiai manipuláción alapuló csalások esetében azonban korlátozott a védelmi hatásuk, mivel az ügyfél maga hagyja jóvá a műveletet. Ez azt mutatja, hogy a technikai védelem mellett a felhasználói tudatosság és a helyzet felismerése is meghatározó szerepet játszik a megelőzésben.

Így döntenek a bankok a visszaélésekről

A Pénzcentrum több magyar bankot is megkeresett azzal kapcsolatban, hogy milyen elbírálás alá esnek a visszaélések kivizsgálásai. Az MBH Bank válaszában arról írt, hogy  Egy csalási esemény kapcsán az ügyfél súlyos gondatlanságának megítélése minden esetben egyedi, alapos vizsgálat alapján történik, amelynek során figyelembe veszik mind a hazai, mind a nemzetközi gyakorlatokat, szabályozásokat.

Minden esetet önállóan, a rendelkezésre álló információk alapján értékelünk. Az esetleges kártérítésről jogszabályi környezetnek megfelelően és a körülmények részletes mérlegelése után döntünk. Itt is hangsúlyozzuk: minden ügy egyedi elbírálás alá esik

- fogalmazott a pénzintézet.

Az OTP Bank azt válaszolta: minden visszaélési ügyet egyedileg vizsgál ki. A szakértők a banki rendszerekben rögzített adatok és az ügyfél nyilatkozata alapján rekonstruálják a történteket. A súlyos gondatlanság megítélését a pénzforgalmi törvény és a PSD2 irányelv alapján végzik.

Súlyos gondatlanságnak azt tekintik, amikor az ügyfél kirívó módon elmulasztja az alapvető biztonsági szabályokat, például kiadja PIN kódját vagy jelszavát, illetve nyilvánvalóan gyanús kérésnek tesz eleget, és ezzel közvetlenül hozzájárul a kárhoz. A bank nemcsak a szabálysértés súlyát vizsgálja, hanem azt is, hogy az ügyfél tisztában volt-e vagy tisztában lehetett-e a magatartása következményeivel, számíthatott-e a kár bekövetkezésére.

Ha a vizsgálat során nem állapítható meg súlyos gondatlanság, vagy banki hiba merül fel, a pénzintézet megtéríti a kárt. Emellett az egyedi körülmények mérlegelése alapján bizonyos esetekben méltányosságot is alkalmazhat.

A K&H Bank válaszában kifejtette, hogy egyedileg vizsgál ki minden egyes ügyfélbejelentést, a kártalanítás az Általános Szerződési Feltételeknek megfelelően történik. A digitális csalások folyamatosan változó környezetet jelentenek, ezért a bank jelezte, hogy több szinten is védi ügyfeleit: fejlett technológiai megoldásokkal, valós idejű visszaélés‑szűréssel, valamint folyamatos, közérthető edukációval.

Hol hibáznak az ügyfelek?

A Nemzeti Kibervédelmi Intézet tapasztalatai szerint a sikeres online banki csalások mögött jellemzően nem kifinomult technikai feltörés áll, hanem emberi tényező.

Az esetek többségében viselkedési hibák teszik lehetővé a visszaélést. A leggyakoribb ok a sürgetés és a kapkodás, amikor az áldozat nem ellenőrzi a megkeresés hitelességét. Gyakori hiba az is, hogy a felhasználó idegen felületen adja meg bankkártyaadatait vagy netbanki belépési adatait, különösen a CVC kódot.

Az Intézet szerint tipikus forgatókönyv a csatornaváltás, amikor egy e-mail vagy SMS után a kommunikáció üzenetküldő alkalmazásban folytatódik. Szintén gyakori, hogy az áldozat „biztonsági okokra” hivatkozva maga hagy jóvá vagy indít tranzakciót, illetve távoli hozzáférést biztosító alkalmazást telepít egy banki ügyintézőnek hitt személy kérésére. Fontos tapasztalat, hogy bár a lakosság elméletben ismeri a leggyakoribb csalási módszereket, a gyakorlatban sokan nem tudják egyértelműen megkülönböztetni a valós és a csaló megkereséseket.

Címlapkép: Kovács Tamás, MTI/MTVA