A Black Friday-re a csalók is készülnek

A koronavírus-járvány kapcsán bevezetett korlátozások, a Black Friday és a közelgő karácsonyi bevásárlások kapcsán különösen aktuális az EUROPOL figyelemfelhívó kampánya, amely az online kerekesdelemmel kapcsolatos csalásokra hívja fel a figyelmet.

Az E-commerce 2020 nemzetközi akció célja az online csalások, illetve az ezt megelőző illegális kártyaadatszerzések lehetőségének visszaszorítása, amely – közvetve vagy közvetlenül – a vásárlókat, a kereskedőket, a csomagküldő szolgálatokat és a pénzintézeteket egyformán sújtja.

Darázs-Horváth Zsófia rendőr százados, a Készenléti Rendőrség szakértője szerint

az online termékvásárlási csalások során – az elkövetési trendek jellegére tekintettel – a nyomozások eredményességéhez elengedhetetlenül szükséges az állami és a magánszektor szoros együttműködése, valamint a nemzetközi együttműködés.

Bor Olivér nemzetbiztonsági százados, a Nemzeti Kibervédelmi Intézet sajtóreferense emlékeztetett: az egy hete lezárult Európai Kiberbiztonsági Hónap mottója „Gondolkodj, mielőtt kattintasz!” is arra figyelmeztette az érintetteket, hogy fontos a megfontoltság.

Szavai szerint a csalók ma már nagyon komoly pénzeket is költenek a közösségi piactereken arra, hogy hirdetéseikkel becsalogassák a vevőiket. A csalásra utal a rendkívül nagy, esetenként akár 90 százalékos árengedmény.

Már a Világgazdaság is foglalkozott ennek a típusú csalásnak két fajtájával:

A vevők egy része belenyugszik ebbe is, de a többség – ma már reklamál. A „webshop” üzemeltetője rendszerint elnézést kér és visszautalja a szóban forgó termék után az összeget. A vevő megnyugszik, noha a cél nem is az áru értékesítés, hanem a fizetési kártya adatainak megszerzése volt, amelyet bizonyos idő múlva használni is fog a csaló…

Sütő Ágnes, a Magyar Bankszövetség kommunikációs főtitkár-helyettese ugyanakkor arról tájékoztatott, hogy

az internetes vásárlások biztonsága terén Magyarország kimagaslóan jól teljesít: a 2019-ben lebonyolított 146,8 millió internetes vásárlás esetén 1 millió tranzakcióból csupán 33 volt netes csalással érintett, az ebből keletkező károknak ráadásul csak 7 százalékát fizették a kártyabirtokosok.

Ez a kedvező eredmény azonban csak az ügyfelek óvatos és tudatos magatartásával tartható fenn.

A szabályozók is lépnek ugyanakkor a kérdésben

Legkésőbb 2021. január elsejétől valamennyi hazai pénzintézetnek be kell vezetnie az erős ügyfél-hitelesítést az internetes vásárlási tranzakciók biztonságának erősítése érdekében. Az átállást az Európai Unió pénzforgalmi irányelve (PSD2) írja elő. Eszerint a netes vásárlásokkor az eddigi adatok – bankkártya szám, név, lejárat, ellenőrző (cvc2/cvv2) kód – megadása már nem lesz elég.

Szükség lesz egy olyan azonosításra, amely kapcsán egyértelműsíthető, hogy az adott tranzakciót valóban a kártyabirtokos indította, s nem pusztán a kártya adataival kíván visszaélni valaki.

Erre az ügyfél aktív közreműködését kívánó újabb azonosítási lépés adhat garanciát.

Az erős ügyfélhitelesítés folyamata bankonként eltérő, sokféle lehet

Az egyik megoldás, hogy a bankkártya alapadatok megadása után a kártyabirtokos a fizetés megerősítéséhez a kibocsátó bank által üzenetben megküldött, illetve további, az ügyfél által ismert adatokat ad meg. Az erős ügyfélazonosításhoz tehát szükséges lehet a bankkártyás és ügyfél adatokon kívül egy, a fizetési felületen megnyíló új ablakba beírandó egyszer használatos kód használatára is. De ugyanúgy megfelelhet az azonosítási feltételeknek, ha

a bank a mobiltelefonon keresztül jelszavas (pl. mobil PIN-kód), vagy biometrikus (ujjlenyomat, írisz) azonosítást kér az ügyféltől a tranzakció végrehajtására.

Van olyan hitelintézet, amely mobilbanki vagy egyéb applikációt von be a tranzakció jóváhagyásába.

Abban az esetben, ha az azonosítás nem sikeres, vagy nem történik meg, a fizetési szolgáltatónak el kell majd utasítania a tranzakció végrehajtását. A fentiek miatt fontos, hogy az év hátralévő részében minden kártyabirtokos ügyfél tegyen eleget a bankja azon – általában több csatornán keresztül is eljuttatott – felhívásának, hogy adja meg, illetve ellenőrizze az erős ügyfél-hitelesítéshez szükséges, a hitelintézetnél regisztrált adatait (pl. mobiltelefonszám) – hívta fel a figyelmet Sütő Ágnes.

Több pénzintézet már sikerrel alkalmazza a többlépcsős azonosítást, így lehetnek olyan ügyfelek, akiknek nem kell új szabályokat alkalmazni január elsejétől. Előfordulhat ugyanakkor, hogy a szolgáltató a korábban már berögzített adatok (például telefonos kódok) frissítését, vagy egy alkalmazás letöltését kéri az új biztonsági folyamathoz. Ugyanakkor kiemelten fontos, hogy

ez a letöltés/frissítés valóban az eredeti banki felületen történik. Továbbra sem kérnek a szolgáltatók PIN kódot vagy egyéb érzékeny adatot az azonosításhoz

- emlékeztetett a Bankszövetség főtitkár-helyettese.

Az Európai Unió előírásai szerint az EU-n belüli hitelintézettel szerződött internetes kereskedőknek és szolgáltatóknak lesz kötelező erős ügyfél-hitelesítést alkalmazniuk a bankkártyás vásárlásoknál 2021. január elsejétől. Ugyanakkor a magyar szabályozás értelemszerűen csak a magyar webshopok üzemeltetőivel szemben tudja elvárásként megfogalmazni, hogy bankkártya elfogadó bankjukkal dolgozzanak azon, hogy januártól az internetes kereskedők honlapjainak fizető felülete is alkalmas legyen a szigorú ügyfél-hitelesítésre.

Miután a tagállamokban működő kereskedők felkészültsége eltérő lehet, előfordulhat olyan helyzet, amikor európai cég által üzemeltetett webshopból hiúsul meg a vásárlás azért, mert a fizető felület nem alkalmas a többlépcsős azonosításra. A fizetési folyamat több szereplős, a hiba ilyenkor nem a magyar banknál van, hiszen neki az ügyféladatok védelme érdekében kötelezően végre kell hajtania a tranzakció letiltását.

Az Európai Unió határain kívüli (pl. kínai, amerikai) webshopok üzemeltetőinek – egyelőre – nem kötelező az erős ügyfél-hitelesítés biztosítása, így az ottani áruházakban indított fizetési tranzakciók jóváhagyásához a korábban megszokott adatok megadása elegendő – jelezte Sütő Ágnes.