Online csalások és phishing – jogi védekezési lehetőségek

Bevezetés

Az online csalások és a phishing-támadások egyre kifinomultabbá válnak, és évről évre növekvő számú magyar állampolgárt érintenek. A Nemzeti Kibervédelmi Intézet adatai szerint 2025-ben a bejelentett kiberincidensek száma meghaladta a harmincezer esetet, amelyeknek jelentős része pénzügyi kárt is okozott az áldozatoknak. A jelen tanulmány célja, hogy átfogó képet nyújtson az online csalásokkal szembeni jogi védekezési lehetőségekről, a büntetőjogi felelősségtől a polgári jogi kártérítésig.

Az online csalás büntetőjogi megítélése

A csalás tényállása a Btk.-ban

A Büntető Törvénykönyvről szóló 2012. évi C. törvény (Btk.) 373. §-a határozza meg a csalás tényállását. Eszerint csalást követ el, aki jogtalan haszonszerzés végett mást tévedésbe ejt, vagy tévedésben tart, és ezzel kárt okoz. Az online csalás a hagyományos csalás tényállásának internetes környezetben megvalósuló változata.

A csalás minősített esetei közül az online környezetben különösen relevánsak:

• Jelentős kárt okozó csalás (250 001 Ft – 5 000 000 Ft): egy évtől öt évig terjedő szabadságvesztés
• Különösen nagy kárt okozó csalás (5 000 001 Ft – 50 000 000 Ft): két évtől nyolc évig terjedő szabadságvesztés
• Különösen jelentős kárt okozó csalás (50 000 000 Ft felett): öt évtől tíz évig terjedő szabadságvesztés

Információs rendszer felhasználásával elkövetett csalás

A Btk. 375. § speciális tényállásként rögzíti az információs rendszer felhasználásával elkövetett csalást. E tényállás alapján büntetendő, aki jogtalan haszonszerzés céljából információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy az adat hozzáférhetetlenné tételével az információs rendszer működését befolyásolja, és ezzel kárt okoz.

Ez a tényállás jellemzően az alábbi elkövetési magatartásokat fogja át:

• Hamis weboldalak létrehozása (phishing oldalak)
• Banki rendszerekbe történő jogosulatlan hozzáférés
• Kártékony szoftverek (malware) terjesztése pénzügyi adatok megszerzése céljából
• „Man-in-the-middle” típusú támadások online tranzakciók során

Tiltott adatszerzés

A Btk. 422. § szerinti tiltott adatszerzés tényállása szintén gyakran megvalósul a phishing-támadások kapcsán. Aki személyes adatot jogosulatlanul megszerez, illetve felhasznál, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. E tényállás különösen akkor releváns, amikor az elkövető a sértett személyes adatait (bejelentkezési adatok, bankkártya-adatok) phishing útján szerzi meg.

A phishing jogi természete

A phishing fogalma és típusai

A phishing (adathalászat) olyan társadalmi manipuláción (social engineering) alapuló támadási forma, amelynek során az elkövető egy megbízhatónak tűnő entitás – jellemzően bank, hatóság vagy ismert szolgáltató – nevében lép fel, és arra veszi rá az áldozatot, hogy bizalmas adatait (felhasználónevét, jelszavát, bankkártya-adatait) megadja.

A phishing leggyakoribb típusai:

1. E-mail phishing: Tömeges e-mailek küldése hamis banki vagy szolgáltatói értesítés formájában
2. Spear phishing: Célzott, személyre szabott adathalász támadás, amely konkrét személyeket vagy szervezeteket céloz
3. Smishing: SMS-alapú phishing, amely jellemzően hamis csomagkézbesítési vagy banki értesítéseket tartalmaz
4. Vishing: Telefonos phishing, amelyben az elkövető telefonon keresztül próbálja megszerezni az áldozat bizalmas adatait
5. Pharming: DNS-manipulációval megvalósított átirányítás hamis weboldalra

A phishing által megvalósuló bűncselekmények halmazata

Egy sikeres phishing-támadás tipikusan az alábbi bűncselekmények halmazatát valósítja meg:

• Információs rendszer felhasználásával elkövetett csalás (Btk. 375. §)
• Információs rendszer vagy adat megsértése (Btk. 423. §)
• Tiltott adatszerzés (Btk. 422. §)
• Készpénz-helyettesítő fizetési eszközzel visszaélés (Btk. 393. §) – amennyiben bankkártya-adatokat szerez meg az elkövető

A bank felelőssége phishing esetén

A pénzforgalmi szolgáltatóra vonatkozó szabályok

A 2009. évi LXXXV. törvény (a pénzforgalmi szolgáltatás nyújtásáról) és a 2017. évi CLXXXV. törvény (az egyes pénzügyi tárgyú jogszabályok módosításáról) alapján a pénzforgalmi szolgáltató (bank) köteles a fizetési megbízások teljesítése során a tőle elvárható gondossággal eljárni.

A PSD2 irányelv és az erős ügyfél-hitelesítés

Az Európai Parlament és a Tanács (EU) 2015/2366 irányelve (PSD2) bevezette az erős ügyfél-hitelesítés (Strong Customer Authentication, SCA) követelményét. Ennek értelmében az online fizetési tranzakciók során legalább két, egymástól független hitelesítési tényezőt kell alkalmazni:

1. Tudásalapú tényező: jelszó, PIN-kód
2. Birtokláson alapuló tényező: mobiltelefon, token
3. Inherens tényező: biometrikus adat (ujjlenyomat, arcfelismerés)

Amennyiben a bank nem alkalmaz megfelelő erős ügyfél-hitelesítést, és emiatt a fogyasztó pénzügyi kárt szenved, a bank felelőssége megalapozott.

A bank visszatérítési kötelezettsége

A pénzforgalmi törvény 48. §-a alapján a bank köteles a jóvá nem hagyott fizetési műveletek összegét haladéktalanul, de legkésőbb a bejelentéstől számított egy munkanapon belül a fizető fél (fogyasztó) részére visszatéríteni. E kötelezettség alól a bank csak akkor mentesül, ha bizonyítja, hogy:

• a fizetési művelet hitelesítése szabályszerűen megtörtént
• a fizetési műveletet rögzítő rendszer a kérdéses időszakban hibátlanul működött
• a fogyasztó szándékosan vagy súlyosan gondatlanul járt el

A súlyos gondatlanság kérdése a phishing-ügyek sarokpontja. A bírói gyakorlat szerint nem minősül súlyos gondatlanságnak, ha a fogyasztó egy különösen meggyőzőnek tűnő adathalász e-mail hatására adja meg adatait, feltéve, hogy az átlagos fogyasztótól elvárható gondosságot egyébként tanúsította.

A Kúria vonatkozó gyakorlata

A Kúria több döntésében is foglalkozott a bank felelősségének kérdésével phishing-ügyek kapcsán. A bíróság következetes álláspontja szerint a bank felelőssége akkor áll fenn, ha:

• az alkalmazott biztonsági megoldások nem feleltek meg az adott korszakban elvárható technológiai színvonalnak
• a bank nem tájékoztatta megfelelően ügyfeleit a phishing-veszélyekről
• a bank a gyanús tranzakciókat nem szűrte ki a rendelkezésre álló technológiai eszközökkel

A feljelentés menete

Az eljárás megindítása

Az online csalás vagy phishing áldozatává vált fogyasztó az alábbi lépéseket teheti:

1. Azonnali intézkedések: A bankkártya letiltása, jelszavak megváltoztatása, a bank értesítése
2. Feljelentés: A feljelentést a területileg illetékes rendőrkapitányságon tehetjük meg, személyesen vagy írásban. Online feljelentés a Készenléti Rendőrség Nemzeti Nyomozó Iroda Kiberbűnözés Elleni Főosztályánál is tehető.
3. Bizonyítékok rögzítése: A phishing e-mailek, SMS-ek, képernyőfotók, banki tranzakciós kivonatok megőrzése rendkívül fontos a nyomozás sikeressége szempontjából.

A nyomozó hatóság eljárása

A büntetőeljárásról szóló 2017. évi XC. törvény (Be.) alapján a nyomozó hatóság a feljelentés alapján nyomozást rendel el, amennyiben a bűncselekmény gyanúja fennáll. A kiberbűncselekmények nyomozása során a hatóság jellemzően az alábbi intézkedéseket teszi:

• IP-címek és e-mail headers-ek vizsgálata
• Digitális nyomok elemzése (log-fájlok, szervernyomok)
• Nemzetközi jogsegélykérelmek (amennyiben az elkövető külföldről tevékenykedik)
• Bankszámlaforgalom vizsgálata

A NAIH eljárása adatvédelmi jogsértés esetén

Amennyiben a phishing-támadás során személyes adatok jogosulatlan kezelése is megvalósul, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az általános adatvédelmi rendelet (GDPR) alapján szintén eljárhat. A NAIH vizsgálhatja, hogy az adatkezelő (pl. az a szervezet, amelynek adatbázisából az áldozat adatai kiszivárogtak) megfelelő technikai és szervezési intézkedéseket alkalmazott-e az adatok védelme érdekében.

Polgári jogi kártérítés

A Ptk. szerinti kártérítési igény

A Ptk. 6:519. § alapján a fogyasztó polgári jogi kártérítési igényt érvényesíthet azzal szemben, aki jogellenes magatartásával kárt okoz. Online csalás esetén a kárfelelősség megállapításának feltételei:

1. Jogellenes magatartás: A csalárd magatartás (phishing) nyilvánvalóan jogellenes
2. Kár: A fogyasztó vagyonában bekövetkezett csökkenés
3. Okozati összefüggés: A jogellenes magatartás és a kár között fennálló ok-okozati kapcsolat
4. Felróhatóság: Az elkövető szándékos magatartása

A bank elleni kártérítési igény

A fogyasztó a bankkal szemben is érvényesíthet kártérítési igényt a Ptk. 6:142. § (szerződésszegéssel okozott kár) alapján, amennyiben a bank a pénzforgalmi keretszerződésben foglalt kötelezettségeit – különösen a biztonságos fizetési rendszer fenntartásának kötelezettségét – megszegte.

Prevenciós javaslatok

A jogi védekezési lehetőségek mellett természetesen a megelőzés a leghatékonyabb védekezési eszköz. Néhány alapvető tanács:

• Soha ne adjuk meg banki adatainkat e-mailben, SMS-ben vagy telefonon érkező kérésre
• Ellenőrizzük a weboldal URL-jét és a tanúsítványt (SSL) online fizetés előtt
• Használjunk kétlépcsős hitelesítést minden pénzügyi szolgáltatásnál
• Rendszeresen frissítsük a szoftvereinket és használjunk vírusirtót
• Gyanús e-mailek esetén közvetlenül keressük meg a szolgáltatót a hivatalos elérhetőségein

Összegzés

Az online csalások és phishing-támadások ellen a magyar jogrendszer komplex védelmet nyújt: a büntetőjogi felelősségre vonástól a polgári jogi kártérítésen át a fogyasztóvédelmi és adatvédelmi hatósági eljárásokig. Az áldozatok számára kulcsfontosságú, hogy a támadás felismerése után haladéktalanul cselekedjenek: tiltsák le bankkártyájukat, tegyenek feljelentést, és rögzítsék a bizonyítékokat. Amennyiben a bank a visszatérítési kötelezettségét nem teljesíti, a fogyasztó békéltető testületi vagy polgári peres eljárásban érvényesítheti igényeit.

A jelen cikk tájékoztató jellegű, és nem minősül jogi tanácsadásnak. Egyedi ügyekben javasoljuk szakképzett ügyvéd felkeresését.