A modern digitális pénzügyi ökoszisztéma egyik legsúlyosabb kihívását, a mobilfizetési megoldásokkal – különösen a Google Pay és Apple Pay rendszerekkel – elkövetett visszaéléseket vizsgáltuk meg, mert az Adhoc Support által üzemeltetett csoportokban, egyre több panasz merül fel, hogy a sértettek pénzét, hol a Google Pay rendszerén, hol az Apple Pay rendszerén viszik el, több millió forint értékben esetenként.
Az első rész egy közvetlen hangvételű, az EuroAstra oknyomozó portál stílusában megírt gyakorlati útmutató. Ez a szekció a „károsult” szemszögéből és harcos retorikával nyújt azonnal alkalmazható tanácsokat a tranzakciós problémák bejelentésére, reagálva a felhasználói kiszolgáltatottság érzésére és a banki bürokrácia útvesztőire.
A második rész egy kiterjedt, szakértői elemzés az Adhoc Support csapatának munkája, amely a pénzügyi kriminalisztika és a bankbiztonság szemszögéből tárja fel a jelenséget. Ez a szekció részletesen elemzi a tokenizációs csalások technológiai hátterét, a pszichológiai manipuláció (social engineering) mechanizmusait, valamint a magyarországi esetek – különös tekintettel az MBH Banki tapasztalataikat is beemelve. Az Adhoc Support szakmai elemzése kitér a szabályozói környezet, így a Magyar Nemzeti Bank (MNB) által bevezetett Központi Visszaélés-szűrő Rendszer (KVR) és a Kúria jogértelmezésének hatásaira is, átfogó képet adva a digitális fogyasztóvédelem jelenlegi állásáról és jövőbeni kilátásairól. A PSD2 és DSA elemekre szedésével pedig, percnyi kétséget nem hagynak bennük olvasókban, hogy ha ésszel és értő módon intézzük ügyeinket, a terhünkre nem róható banki csalások ügyében, a kártérítés sem marad el.
Az MNB friss, 2025 végi adatai szerint a PSD2 panaszok száma 2000 felett járt, és 40%-ban kényszerítették a bankokat térítésre – de a késések 15%-ban még mindig hetekig tartanak, mutatva a rendszer gyengeségeit. 2026-ban pedig az EU DSA bírságai (pl. Google ellen) tovább szigorítanak, de addig is tegyünk ellene mi is akiket közvetlenül érinthet az ügy.
I. RÉSZ: HOGYAN JELENTHETSZ TRANZAKCIÓS PROBLÉMÁT?
EUROASTRA STÍLUSÚ HARCOS ÚTMUTATÓ
HOGYAN JELENTHET TRANZAKCIÓS PROBLÉMÁT – NE HAGYD, HOGY A BANKOD ÉS A TECH-ÓRIÁSOK HÜLYÉNEK NÉZZENEK!
Szerző: Digitális Fogyasztóvédelem
Dátum: 2026. január 20.
Eleged van abból, hogy a pénzednek lába kél, miközben a bankod ügyfélszolgálata csak a vállát vonogatja, és a technológiai óriások elérhetetlen felhők mögé bújnak? Azt hitted, hogy az Apple Pay és a Google Pay a biztonság bevehetetlen erődje?
Óriásit tévedtél!
Itt az ideje, hogy felébredj Csipkerózsika-álmodból, és a sarkadra állj! Amikor a telefonod pittyen – vagy éppen nem pittyen, mert a csalók már azt is kijátszották –, és látod, hogy egy ismeretlen „FeedBC: E001” tétel vagy egy dublini székhelyű fantomcég levonta a fizetésed felét, ne ess pánikba. Támadj vissza!
Ez az írás nem egy udvarias kérés a bankodhoz. Ez a te pénzed, a te életed, a te biztonságod. Most megmutatjuk, hogyan jelentsd be a csalást úgy, hogy ne tudjanak lerázni magukról, mint kutya a vizet. Itt nincsenek finomkodó körök, csak a kőkemény valóság és a lépések, amikkel visszaszerezheted az irányítást.
AZONNALI CSELEKVÉS: A „PÁNIKGOMB” HELYETT TUDATOS ELLENTÁMADÁS
Ne várj holnapig! Ne hidd el, hogy „majd jóváírják maguktól”. A csalók nem alszanak, ők éppen most vásárolnak a te kontódra a világ másik felén, vagy éppen egy magyarországi webshopban. A banki rendszerek pedig gyakran lassabbak, mint egy csiga a sivatagban. Ha gyanús tranzakciót látsz – legyen az egy rejtélyes Google Play vásárlás, amit sosem töltöttél le, vagy egy Apple Store terhelés, miközben nincs is iPhone-od –, azonnal lépned kell.
APPLE PAY ESETÉN: NE BÁMULJ, CSINÁLD!
Ha Apple eszközöd van, a kezedben a kulcs, de használnod is kell. Ne csak a banki appot nézegesd!
- Nyisd meg a Tárca (Wallet) appot. Igen, rögtön ahogy lenyomták a számládról a pénzt.
- Koppints a kártyára. Arra, amelyikről a pénz eltűnt.
- Keresd a részleteket. A jobb felső sarokban a három pöttyre (vagy az ‘i’ betűre) bökj rá.
- Menj a tranzakciókra. Látod azt a tételt, amit nem te vettél? Azt a gyanús összeget, ami nem stimmel?
- Koppints rá, és nyomd meg a „Probléma jelentése” (Report an Issue) gombot..
De ne hidd el, hogy ennyi elég! Ez csak az Apple belső rendszere. Ők gyakran mossák a kezeiket, mondván, ők csak a technológiai közvetítők. Ha azt írják, „forduljon a kártyakibocsátóhoz”, az azt jelenti: a bankodhoz. Ne hagyd, hogy pingpongozzanak veled!
GOOGLE PAY ESETÉN: A DIGITÁLIS ÚTVESZTŐ
A Google rendszere egy labirintus, de van kiút.
- Irány a pay.google.com. Ne a Play Áruházban keresgélj össze-vissza, hanem a fizetési központban.
- Jelentkezz be.
- Keresd meg a tevékenységek listáját. Itt feketén-fehéren látod, mi történt.
- Használd a „Jogosulatlan vásárlás bejelentése” űrlapot..Töltsd ki, légy precíz.
- Vigyázat! A Google algoritmusai szeretik elutasítani a visszatérítést sablonüzenetekkel: „nem találtak csalásra utaló jelet”, vagy hogy a „családtagod vásárolt”. Ne hagyd annyiban! Ha elutasítják, fellebbezz, és csatold a banki igazolást.
GOOGLE PAY ESETÉN: A DIGITÁLIS ÚTVESZTŐ
A BANKOD HÍVÁSA: A HANGFELVÉTEL EREJE ÉS A VARÁZSSZAVAK
Most jön a neheze. Fel kell hívnod a bankodat. Igen, tudjuk, hogy órákat fogsz zenét hallgatni, miközben a vérnyomásod az egekbe szökik. ( bár az MNB éppen minap adta hírül, hogy 2 perc a várakozás és nem több…de a gyakorlat eddig letaglózóan más…) De van egy új szabály, amit a fejükre olvashatsz!
Tudtad, hogy a pénzforgalmi visszaélést bejelentő hívásokat KÉT PERCEN BELÜL fogadniuk kell élő hanggal? Ez nem szívesség, ez kötelesség!..
Ha nem veszik fel időben, máris van egy újabb panaszod az MNB felé, amit a beszélgetés elején jelezhetsz is.
Mit mondj, hogy komolyan vegyenek?
Ne hebegj-habogj! A bizonytalanság az ő malmukra hajtja a vizet. Mondd tisztán és határozottan:
„Csalás áldozata lettem. Ismeretlen, jogosulatlan tranzakciót észleltem.”
„Azonnal tiltsák le a kártyámat és a hozzá kapcsolódó ÖSSZES tokenizált digitális kártyát!”
Ez a kulcs. Ha csak a plasztikot tiltják le, de a csaló telefonján lévő tokent nem, a lopás folytatódik!
A „Tokenizációs Csalás” Kifejezés – A Te Atombombád!
Ez a varázsszó, amitől az ügyintézők is megrettennek. Ha azt próbálják sugallni, hogy te adtad meg a kódot, vagy te voltál óvatlan, mondd a szemükbe (vagyis a fülükbe): „Ez egy tokenizációs csalás, a rendszerük biztonsági rése tette lehetővé, hogy a kártyámat egy idegen eszközhöz adják hozzá megfelelő hitelesítés nélkül!”.
Ne hagyd, hogy rád kenjék a felelősséget! Te nem adtál engedélyt arra, hogy egy vadidegen eszköz legyen a bankkártyád klónja.
Mi az a PSD2?
Teljes név: Második Fizetési Szolgáltatási Irányelv (PSD2)
Magyarázat: Ez az Európai Unió fizetési szolgáltatásokról szóló irányelvének második változata, hivatalosan az (EU) 2015/2366 irányelv. 2015-ben fogadták el, és az EU tagállamaiban 2018-ra vezették be. A PSD2 célja a fizetések biztonságosabbá, innovatívabbá és versenyképesebbé tétele, például harmadik felek (pl. fintech cégek) számára nyitja meg a piacot, kötelezővé teszi az erős ügyfélhitelesítést (SCA), és erősíti a fogyasztóvédelmet a csalások ellen. Az eredeti, 2007-es PSD-re épül, hangsúlyozva a nyílt bankolást, az adatok megosztását (hozzájárulással) és a határokon átnyúló fizetések díjainak csökkentését.
Ez az alapja annak, hogy a digitális kártyád, bárhol tárolható legyen és ez sajnos a „bárhol”-nál a téged kifosztó vagy kifosztani készülő esetében is igaz.
Fogja, lemásolja a digitális kártyádat és bumm…te alszol és viszik a pénzed mint a huzat. Tamás pont így járt, talán tőle több adat ha ezt elolvasod.
A RENDŐRSÉGI FELJELENTÉS: A PAPÍR, AMI NÉLKÜL SEMMI VAGY
Sokan azt mondják, felesleges, „úgysem kapják el”.
Hazugság és önfeladás!
A bank csak akkor veszi komolyan az ügyedet, ha látja, hogy te nem blöffölsz. A banki jogászok azzal számolnak, hogy lusta leszel elmenni a rendőrségre.
- Menj be a legközelebbi kapitányságra vagy ülj a géped elé, digitálisak vagyunk és ott a Magyarország.hu -n a Rendőrségi feljelentés és már is gyors és hatékony is egyben.
- Tegyél feljelentést ismeretlen tettes ellen információs rendszer felhasználásával elkövetett csalás miatt.
- A jegyzőkönyv számát azonnal küldd meg a banknak és az Apple/Google supportnak is. Ez a hivatalos bizonyíték, hogy bűncselekmény történt, nem pedig te vásároltál be véletlenül.
HA ELUTASÍTANAK: A PÉNZÜGYI BÉKÉLTETŐ TESTÜLET (PBT) – A VÉGSŐ VÉDŐVONAL
A bankok szeretik azt a sablonlevelet kiküldeni: „Ön súlyosan gondatlan volt, mert kiadta az SMS kódot/jóváhagyta a tranzakciót.” Ne hidd el, és ne fogadd el! A helyzet megváltozott. A Kúria legújabb döntései szerint a banknak kell bizonyítania a súlyos gondatlanságot, nem neked az ártatlanságodat. Ha téged megtévesztettek, ha a bank nevében hívtak, az nem feltétlenül a te hibád!
Ha elutasítják a panaszodat, irány a Pénzügyi Békéltető Testület (PBT). Az eljárás ingyenes, és a statisztikák szerint sokszor az ügyfélnek adnak igazat a bankkal szemben. Ne hagyd, hogy a bank jogászai megfélemlítsenek. A PBT előtt ők is csak egy fél a sok közül.
ÖSSZEFOGLALVA A HARCI TERV:
- Tiltsd le a kártyát és a tokent azonnal (appban vagy telefonon)!
- Jelentsd a tranzakciót az Apple/Google felületén.
- Hívd a bankot (hivatkozz a 2 perces szabályra és a tokenizációs csalásra).
- Tegyél rendőrségi feljelentést, és csatold a jegyzőkönyvet.
- Ne fogadd el az elutasítást – fordulj a PBT-hez és az MNB-hez!
Ne legyél áldozat! Légy te a bankod rémálma, a tudatos fogyasztó, aki nem hagyja, hogy a pénzét mások költsék el. Panaszkodjunk Együtt, de tegyünk is ellene!
A MOBILFIZETÉSI CSALÁSOK RENDSZERSZINTŰ ELEMZÉSE
A FOGYASZTÓVÉDELMI HELYZETKÉP : szerintünk siralmas!
A DIGITÁLIS FIZETÉSI ÖKOSZISZTÉMA ÉS A BIZALMI VÁLSÁG
A készpénzmentes társadalom felé vezető úton az Apple Pay és a Google Pay megjelenése forradalmi lépés volt. A technológiai ígéret – a fizikai kártya biztonságos, tokenizált változata a mobileszközön – kényelmet és elméletileg magasabb szintű védelmet kínált. A valóság azonban a 2020-as évek közepére egy komplex, folyamatosan változó fenyegetési térképet rajzolt ki, ahol a technológiai innovációt a bűnözői csoportok adaptációs képessége gyakran megelőzi.
Magyarországon a bizalom eróziója két, egymástól független, de hatásában összeadódó jelenségre vezethető vissza: a tömeges technikai hibákra (mint a 2024-es Apple Pay incidens) és a célzott, rendszerszintű sebezhetőségeket kihasználó csalássorozatokra (mint az MBH Bank ügyfeleit érintő támadások). Ezen események nem csupán elszigetelt esetek, hanem a digitalizáció árnyoldalainak tünetei: a banki IT-rendszerek elavultsága (legacy systems), a fogyasztói edukáció hiányosságai és a szabályozói reakcióidő lassúsága együttesen teremtik meg a „tökéletes vihart”.
Jelen elemzés célja, hogy a felületes híradásokon túlmenően, a technológia és a szabályozás mélységeiben tárja fel a problémák gyökerét. A kutatás során felhasznált források – fogyasztói panaszok, banki közlemények, technológiai leírások és jogi precedensek – egy koherens, bár aggasztó képet festenek a jelenlegi helyzetről.
A TECHNOLÓGIAI HÁTTÉR: A „TOKENIZÁCIÓ” ÉS ANNAK KORRUPCIÓJA
A mobilfizetési csalások megértéséhez elengedhetetlen a tokenizáció (EMVCo Payment Tokenisation Specification) folyamatának ismerete. Ez a technológia képezi a modern mobilfizetés gerincét, és paradox módon ez vált a csalók elsődleges célpontjává is.
A Tokenizáció Működési Elve
Amikor egy felhasználó hozzáadja bankkártyáját (PAN – Primary Account Number) az Apple Wallethez vagy a Google Payhez, a rendszer nem a valós kártyaszámot tárolja el. Ehelyett a kártyakibocsátó (bank) és a fizetési hálózat (Visa/Mastercard) közreműködésével létrehoznak egy egyedi digitális azonosítót, azaz egy tokent (DPAN – Device Primary Account Number).
- Ez a token kizárólag ahhoz az egy eszközhöz kötődik, amelyen létrehozták.
- A tranzakció során a kereskedő csak ezt a tokent látja, a valós kártyaszám rejtve marad.
- A token kriptográfiai védelmet élvez, és használatához biometrikus azonosítás (FaceID, TouchID) vagy jelkód szükséges az eszközön.
Elméletben ez a rendszer feltörhetetlen, hiszen még ha a kereskedő adatbázisát fel is törik, a megszerzett tokenek más eszközön nem használhatók. A gyakorlatban azonban a csalók nem a titkosítást törik fel, hanem a létrehozási folyamatot (provisioning) manipulálják.
A „Provisioning” Sebezhetősége: A Sárga Út Veszélyei
A kártya digitalizálása során a bankoknak kockázatelemzést kell végezniük arról, hogy valóban a kártyabirtokos próbálja-e hozzáadni a kártyát az eszközhöz. A Visa és Mastercard rendszereiben három fő hitelesítési útvonal létezik:
- Green Path (Zöld Út): A banki algoritmusok alacsony kockázatot jeleznek (pl. az eszköz régóta használt, az iTunes előzmények tiszták), így a kártya hozzáadása automatikusan, további ellenőrzés nélkül megtörténik. Ez a legkényelmesebb, de a legveszélyesebb is.
- Yellow Path (Sárga Út): A rendszer kockázatot észlel, ezért kiegészítő hitelesítést (Step-Up Authentication) kér. Ez leggyakrabban egy SMS-ben küldött egyszeri jelszó (OTP) vagy a banki mobilapplikációban történő jóváhagyás.
- Red Path (Piros Út): A kérés elutasításra kerül a magas kockázat miatt.
A kutatási adatok és a felhasználói panaszok egyértelműen mutatják, hogy a „Tokenizációs Csalás” (Tokenization Fraud) mechanizmusa a Yellow Path kijátszására épül.
1. Fázis: Adatszerzés. A támadók adathalász (phishing) weboldalakon, hamis webshopokon vagy adatvásárlás útján megszerzik a felhasználó statikus kártyaadatait (kártyaszám, név, lejárati dátum, CVC).
2. Fázis: Kezdeményezés. A csaló a saját eszközén (saját iPhone-ján vagy Androidos telefonján) indítja el a kártya hozzáadását a megszerzett adatokkal.
3. Fázis: A Manipuláció. A banki rendszer érzékeli, hogy az eszköz új/ismeretlen, ezért „Sárga Útra” tereli a folyamatot, és kiküld egy SMS kódot a valódi kártyabirtokosnak. Ekkor lép életbe a social engineering: a csaló felhívja az áldozatot (vagy SMS-t küld), magát banki alkalmazottnak, „Apple Supportnak” vagy „biztonsági szolgálatnak” kiadva. Azt állítja, hogy gyanús tranzakciót észleltek, és annak megállításához vagy visszautasításához kérik a kódot.
4. Fázis: A Klónozás. Az áldozat, bízva a „banki hívásban” és a segítő szándékban, megadja a kódot. A csaló beírja ezt a saját eszközén. A bank rendszere ezt érvényes hitelesítésnek tekinti, és létrehozza a tokent a csaló telefonján.
Innentől kezdve a csaló eszköze „legitim” fizetőeszközzé válik. Bármely boltban vagy webshopban vásárolhat, és mivel a tranzakciót a saját ujjlenyomatával vagy arcával hitelesíti, a banki rendszerek ezt Erős Ügyfélhitelesítésnek (SCA) tekintik. Ez teszi rendkívül nehézzé az utólagos reklamációt, hiszen technikailag minden biztonsági protokoll „teljesült”.
Hogyan vernek át pontosan? (egyszerűen elmagyarázzuk)
Bárkit könnyű átverni, mert a csalók pszichológiát használnak (social engineering). Nem a telefonodat törik fel, hanem téged manipulálnak.
Lépésről lépésre:
Adatok ellopása: Phishinggel kezdenek – hamis e-mail/SMS: „Bankod fiókja letiltva, kattints ide!” Vagy Booking.com-on keresztül szerzik meg a kártyaadataidat (szám, név, CVC, lejárat). Nem kell hackernek lenni, elég egy hamis weboldal.
Token hozzáadása: A csaló a saját telefonján (pl. Google Pay-en) hozzáadja a te kártyádat. A bank „sárga úton” (yellow path) hitelesít: Küld egy SMS-kódot NEKED. Ekkor hívnak fel „banki ügyintézőként”: „Gyanús tranzakció, adja meg a kódot, hogy leállítsuk!” Te megadod, ők beírják – bumm, a token (digitális klón) az ő telefonjukon van. Mostantól biometriával (ujjlenyomat) fizethetnek, mint ha te lennél.
Költés: Gyorsan költenek kisebb összegeket (pl. webshopokban), hogy ne tűnjön fel. Tünet: „FeedBC: E001” vagy furcsa kódok a kivonaton (MBH Banknál gyakori, integrációs hibák miatt).
Miért nem veszi észre a rendszer? A Google/Apple tokenizációja biztonságosnak tűnik (SCA – erős hitelesítés), de ha te adod meg a kódot (manipulálva), a rendszer „jóváhagyottnak” látja. Itt a rés: Nem mindig proaktívak (pl. Gemini AI képes detektálni scam hívásokat milliszekundumok alatt, de nem mindig használják megelőzésre).
II.rész A valóság az, hogy ha baj van, megy a mutogatás!
Adhoc Support szakmai kérdések megvitatása
Apple Pay: Az Anonimitás mint Kockázat
Az Apple Pay „privacy-first” (magánszféra-központú) architektúrája, bár védi a felhasználót a kereskedők adatgyűjtésétől, akaratlanul a csalókat is segítheti. Az Apple nem tárolja és nem osztja meg a tranzakciós adatokat a bankkal olyan részletességgel, amely lehetővé tenné a kártyabirtokos személyazonosságának azonnali ellenőrzését a tokenizáció után. Amikor a bank megkapja a tranzakciós jelet, csak a tokent látja. Ha a bank kockázatelemző rendszere nem valós idejű és nem kapcsolja össze hatékonyan az eszköz helyadatait a kártyabirtokos szokásaival, nehezen szűri ki, ha a tokent egy külföldi eszközön használják, miközben az ügyfél itthon tartózkodik.
Google Pay és a Merchant ID Spoofing
A Google Pay esetében a panaszok egy sajátos típusa a tranzakciós adatok zavarosságára utal. Kutatási források említenek eseteket, ahol a kereskedő neve helyett értelmezhetetlen karaktersorozatok (pl. 18 karakteres kódok) jelennek meg.
Ez gyakran arra utal, hogy a csalók „Merchant ID Spoofing” technikát alkalmaznak: ideiglenes, hamis kereskedői fiókokat hoznak létre, vagy feltört terminálokat használnak, ahol manipulálják a tranzakció leíró adatait. Ez megnehezíti a felhasználó számára a csalás azonnali felismerését, és a banki reklamációt is bonyolítja, mivel nehéz bizonyítani, hogy nem egy legitim szolgáltatásról van szó.
Mi a DSA, és hogyan kapcsolódik a Google Pay csalási panaszaihoz?
DSA (Digital Services Act): Ez az EU Digitális Szolgáltatások Törvénye (EU 2022/2065), ami 2024 óta teljes körűen érvényes. Célja a digitális platformok (mint Google, Meta stb.) felelősségének növelése illegális tartalom, csalások és panaszkezelés terén. Kötelezi a platformokat gyors panaszkezelésre, átláthatóságra és kockázatkezelésre (pl. csalárd appok vagy hirdetések eltávolítása). Nagy platformok (mint a Google) esetében a Európai Bizottság közvetlenül felügyel, és bírságolhat akár 6%-os globális bevétel alapján.
Kapcsolat a Google Pay-jel: A Google Pay egy digitális fizetési szolgáltatás, ami részben DSA alá eshet, ha csalás platformon keresztül történik (pl. hamis appok a Google Play-en, csalárd hirdetések vagy linkek a Google Search-ben). Az EU 2025-ben többször kérte a Google-től (és másoktól) infót csaláskezelésről, pl. hamis banki appokról a Google Play-en.
Ha a panaszod DSA-alapú (pl. a Google nem távolított el csalárd tartalmat, ami a csaláshoz vezetett), akkor elutasítás DSA-ellenes lehet. ( lásd. MBH Banki Google csalás 2022-től 2025-ig többször is) A Google Pay csalási panaszok többsége nem DSA, hanem PSD2/PSR alá esik (lásd alább), mert fizetési tranzakciókról van szó, nem content-ről.
Az EU 2025 végén keményen lépett: A Google elleni DSA-vizsgálat (probe Apple-lel és Microsofttal) 2026 elején bírságot hozott (hasonlóan az X 120 millió eurós scam-büntetéséhez 2025 decemberben).
Ez mutatja: Ha a Gemini AI képes milliszekundumok alatt detektálni scam-et, de nem teszik, felelősségre vonhatók – használjuk ki!
A „Google DSA report” nem egy link, hanem több eszköz/report, mert a DSA (EU 2022/2065) kötelezi a Google-t transparency reportokra (évente kétszer, pl. content moderation statisztikákra), violation jelentésre (illegális tartalomra), és appeals-re.
Google DSA Transparency Report (hivatalos DSA reportok): A Google kötelező DSA transparency reportjai (pl. 2024-2025-ös verziók, PDF-ben). Itt láthatod, hogyan kezeli a Google a DSA-t (content moderation, scam-ek statisztikái):
Fő oldal: transparencyreport.google.com
Legfrissebb EU DSA Report PDF (2025 augusztus): storage.googleapis.com/transparencyreport/report-downloads/pdf-report-27_2025-1-1_2025-6-30_en_v1.pdf
Korábbi (2024 február): storage.googleapis.com/transparencyreport/report-downloads/pdf-report-27_2023-9-11_2024-2-29_en_v1.pdf Ezekben van adat scam-ekről, pl. Google Pay content moderation-ről.
DSA Violation Jelentés a Google-nek (illegális tartalom/scam report): Ha DSA violation-t akarsz jelenteni (pl. Google nem távolított el csalárd appot/hirdetést, ami a csaláshoz vezetett):
Általános report tool: support.google.com/legal/answer/3110420 – Válaszd ki a terméket (pl. Google Pay), okot (pl. „Illegal content”), és add meg az URL-t/screenshot-ot. Ez DSA-kompatibilis, és ők vizsgálják (de gyakran sablonválasz jön).
EU DSA Transparency Database (EU-s trackelés Google döntéseire): Itt kereshetsz Google DSA döntéseket (pl. miért nem távolítottak el scam-et): transparency.dsa.ec.europa.eu – Keress „Google” kulcsszóra, mutatja a content moderation statisztikákat (3+ milliárd döntés 2026-ig).
Google DSA Compliance Oldal (blog/magyarázat): Hogyan teljesíti a Google a DSA-t: blog.google/company-news/inside-google/around-the-globe/google-europe/complying-with-the-digital-services-act – Itt van a Transparency Center link: transparency.google.
Ha ezek nem segítenek (pl. elutasítás után appeals), használd a NMHH DSA formot (korábban említett: e-nmhh.nmhh.hu/enhh/4/urlapok/esf00120/), ők továbbítják a Google-nek/EU-nak.
Miért Utasít El a Google „Zsigerből” ?
A Google Pay panaszokat (pay.google.com-on) gyakran elutasítják, mert:
Nem unauthorized tranzakció: Ha a csaló SCA-val (kóddal, biometriával) fizetett, a Google azt mondja: „Hitelesített volt, nem csalás.” PSD2 szerint ez a bank felelőssége, nem az övék (ők csak interfész).
Sablon okok: „Családtag vásárolt” vagy „Nem találtunk jelet” – mert nem látják az egész láncot (pl. off-platform phishinget, mint e-mail).
DSA kapcsolata: A DSA (Digitális Szolgáltatások Törvénye) kötelezi őket csalárd tartalom (pl. hamis appok Google Play-en, csalárd hirdetések) eltávolítására és megelőzésre, ha képesek detektálni (pl. Gemini AI-val). De fizetési csalásokra főleg PSD2 érvényes, nem DSA (kivéve ha platformon keresztül történt, pl. hamis app).
2025-ben az EU többször kérte a Google-től infót scam kezelésről, és új törvény (2025 november) teszi őket felelőssé: Ha értesítik őket csalárd tartalomról, de nem távolítják el, vissza kell téríteniük a banknak a kárt (ami aztán neked jár). Nem „szarják le” teljesen – 2025-ben vizsgálatok folynak (pl. Google ellen DSA probe Apple-lel, Microsofttal), és bírságok jöttek hasonlóért (pl. X 120 millió euró 2025 decemberben scam-ek miatt). De igen, nem mindig proaktívak, mert profitot priorizálnak – ez a kritika alapja.
Ha elutasítanak, ne add fel: A DSA szerint belső appeals-t (fellebbezés) kell biztosítaniuk, különben DSA-ellenes.
Na de Aztán? Mi Történik az Elutasítás Után? (Lépésről Lépésre, amit még a….. is megért)
Ne érezd magad egyedül – van „létra” felfelé. Ha a Google / Apple elutasít (pl. „Nem DSA-kompatibilis panasz”), itt a terv:
Belső Fellebbezés (Appeals) a Google-nél: Az elutasító e-mailben van link – fellebbezz 7 napon belül, csatolj bizonyítékot (pl. rendőrségi jegyzőkönyv, banki igazolás). DSA szerint gyors és átlátható appeals-t kell adniuk (2025-2026: EU ellenőrzi ezt).
Külső Vitás Testület (Out-of-Court Dispute Settlement): Ha belső appeals sem segít, DSA Article 21 szerint független testülethez (ODS body) fordulhatsz. Ingyenes/olcsó (max 20 EUR), online, 90 napon belül dönt. Lista: digital-strategy.ec.europa.eu/en/policies/dsa-out-court-dispute-settlement. Pl. Magyarországon NMHH kezeli, de EU-szinten is. 2025-ben már 6 ilyen body van, és 4500+ appeals-t kezeltek az első hónapokban.
EU Szinten: Hivatalos DSA Oldal és Panaszkezelés
A DSA fő hivatalos oldala az Európai Bizottság „Shaping Europe’s Digital Future” portálján van: digital-strategy.ec.europa.eu/en/policies/digital-services-act. Itt találod a teljes infót a DSA-ról, beleértve a szabálysértések jelentését.
Violation Jelentés EU Szinten: Ha a panasz egy nagy platformra (VLOP, mint Google, X, Meta) vonatkozik, és EU-s szintű (nem csak magyar), akkor a Digital Services Coordinator-ok (DSC-k) hálózatán keresztül kell menni. Az EU nem kínál egy központi „report” gombot mindenkinek, hanem a nemzeti DSC-khez irányít (lásd alább). Ha VLOP elleni panasz, az Európai Bizottság közvetlenül vizsgálhatja (pl. 2025-2026-os Google/X bírságokhoz hasonlóan).
További EU-s adatbázis: A DSA Transparency Database (statements of reasons, azaz moderációs döntések nyilvántartása): transparency.dsa.ec.europa.eu – itt kereshetsz platformok döntéseit, de nem violation reportra való.
Magyarországon: NMHH Mint Digital Services Coordinator (DSC)
Magyarországon a Nemzeti Média- és Hírközlési Hatóság (NMHH) a kijelölt DSC, ők kezelik a DSA panaszokat (pl. illegális tartalom, csalárd appok, platform hibák jelentése).
Hivatalos Link a Jelentéshez:
Angol nyelvű oldal: english.nmhh.hu/internethotline/dsa – itt magyarázzák a DSA-t és az Internet Hotline-t (illegális tartalom jelentésére).
Panasz űrlap: e-nmhh.nmhh.hu/enhh/4/urlapok/esf00120/ – ez az online form, ahol DSA violation-öket (pl. Google Pay csaláskezelési hibák) jelenthetsz. Anonim is lehet, de adj meg URL-t vagy részleteket a problémáról.
E-mail: internethotline@internethotline.hu – ha nem akarsz formot, ide írj.
Éves Jelentésük: Az NMHH 2025-ös reportja szerint 12 panaszt kaptak (főleg VLOP-ok ellen), és továbbították őket (pl. Írországba, ha Google).
Tehát ha a te panaszod Google-ra vagy Apple -re vonatkozik, ők továbbítják és nyomon is követik.
Hogyan Jelentsd Be Gyakorlatilag? (Ha DSA-Alapú, Pl. Google Elutasítás)
Lépj be az NMHH formra (e-nmhh.nmhh.hu/enhh/4/urlapok/esf00120/), add meg a részleteket: Mi a violation (pl. „A Google nem előzte meg detektálható csalást DSA Article 35 szerint”), platform neve (Google Pay), URL vagy bizonyítékok (pl. elutasító e-mail screenshot).
Ha EU-s, használd a digital-strategy.ec.europa.eu oldalt a DSC lista kereséséhez (Magyarország: NMHH).
Időkeret: DSA szerint 6 hónapod van appeals-re, de minél hamarabb, annál jobb.
Ha nem DSA (csak fizetési csalás), akkor PSD2 alatt bank/MNB/PBT út (mint korábban említettem).
Banki Út (PSD2): Fordulj a bankodhoz – ők térítenek 1 napon belül (max 50 EUR felelősséged). Ha nem, Pénzügyi Békéltető Testület (PBT) ingyenes. Kúria 2025-ös döntése: A bank bizonyít, nem te (ha becsaptak, nem vagy „gondatlan”).
Rendőrség és További Védelem: Feljelentés után (ismeretlen tettes ellen) a bank komolyabban veszi. MNB KVR (2025 júliustól) AI-val szűri tranzakciókat – 2026-ra bővül kártyákra is.
Miért Működik Ez? Az EU 2025-2026-ban keményen lép: Vizsgálatok Google ellen (scam response), új törvény financial scam-ekre (platformok fizetnek, ha nem távolítanak el tartalmat), bírságok (pl. X 120M EUR). Ha DSA-t „leszarják”, bírság akár 6% globális bevétel (Google-nél milliárdok). Trump lehet, hogy meg kakarja őket védeni, de az EU be fogja szedni rajtuk a pénzt és a változást is.
A MAGYARORSZÁGI BANKI SZEKTOR VALÓSÁGA
Az elméleti kockázatok Magyarországon húsbavágó valósággá váltak az elmúlt időszakban. Két eseménysorozat emelkedik ki, amelyek alapjaiban rengették meg a digitális fizetésbe vetett bizalmat.
Azért, hogy kivédhető legyen a sok falig érő kifogás, a miért te vagya hibás felhasználóként, most mutatunk néhány pontos adatot amit te vagy jogi képviselőd is, bátran és ingyen használhat.
Az MBH Bank és a „Károsultak” Kálváriája
Az EuroAstra oknyomozó munkája és a fogyasztói panaszok rávilágítottak az MBH Bank (a korábbi MKB, Budapest Bank és Takarékbank fúziója) rendszereinek kritikus hiányosságaira. A jelentések szerint több ezer ügyfél vált „tokenizációs csalás” áldozataivá, milliárdos nagyságrendű kárt elszenvedve.
A „FeedBC” Rejtély: Az MBH Bank ügyfelei körében visszatérő panasz a „FeedBC: E001” kód megjelenése a számlakivonatokon. Míg a versenytársak (pl. OTP, Erste) részletes, közérthető leírást adnak a tranzakciókról, az MBH Bank rendszere gyakran csak technikai kódokat közöl. Szakértői elemzés szerint ez a banki háttérrendszerek (Core Banking System) integrációs problémáira utal. A fúzió során egyesített rendszerek adatkommunikációja nem transzparens, ami a „batch” (kötegelt) feldolgozás során elveszíti a tranzakciók részletes metaadatait. Ez a homályosság ideális környezetet teremt a csalóknak, hiszen az ügyfél nehezebben veszi észre a kisebb összegű, de rendszeres lopásokat. A panaszok szerint az MBH Bank rendszerei nem minden esetben küldtek megfelelő SMS értesítést a kártya digitalizációjakor, vagy a kétfaktoros hitelesítés (2FA) rendszere bizonyult kijátszhatónak.
Áldozatkezelés: A legfájóbb pont az áldozatok számára a bank hozzáállása volt. A beszámolók szerint az MBH BANK sokáig automatikusan elutasította a kártérítési igényeket, mondván, az ügyfél adta ki az adatokat, így ő a felelős. Ez az „áldozathibáztató” gyakorlat figyelmen kívül hagyta a social engineering kifinomultságát és a banki védelmi vonalak hiányosságait. Tamás esete, akitől 2200 eurót loptak el a Google Pay rendszerén keresztül, iskolapéldája annak, hogyan marad magára az ügyfél a bank és a tech-óriás közötti felelősséghárításban.
A gyakorlatban gyakran „le van ******” Magyarországon: mi az?
A PSD2 nem mindig működik úgy, ahogy papíron kéne, különösen Magyarországon (sok esetekben a panaszok szerint hetekig húzzák a visszatérítést, vagy rád kenik a „gondatlanságot”). De jogilag még sem kamu a PSD2: Az EU PSD2 (2015/2366 Irányelv) kötelező, és Magyarországon a Pénzügyi Szolgáltatások Törvénye (2013. évi CCXXXVII. tv.) implementálja. Lássuk miért nem kamu, de miért érzed úgy:
Mi Mondja a PSD2? Article 74: Illetéktelen tranzakció esetén a banknak azonnal (1 munkanapon belül) vissza kell térítenie az összeget (kivéve ha gross negligence – durva gondatlanság, pl. tudatosan adtad meg a kódot). Felelősséged max. 50 EUR (kb. 20 ezer Ft), a többi a bankot terheli. Ha tokenizációs csalás (mint amit említettél), a bank rendszere hibás, így ők fizetnek.
Miért van „le *****” ez Magyarországon?
Bankok gyakran vizsgálatot indítanak (ami hetekig tart ( bár csak ne hónapokig és mellébeszéléssel tarkitva, ami a gyakorlat), mondván „ellenőrizzük a gondatlanságot” – de a PSD2 szerint először téríteni kell, utána vizsgálni. MNB 2025-ös statisztikái szerint 15% panaszban késik a visszatérítés (pl. MBH Bank scam-ekben, ahol milliárdos károk voltak 2024-2025-ben).
Magyarországon az MNB felügyeli, de nem mindig büntet keményen: Pl. 2025-ben MBH-t 50 millió Ft-ra bírságolták PSD2 violation-ért, de az áldozatoknak még mindig harcolni kell (PBT-n keresztül nyernek sokan, 60% sikerarány 2025-ben).
A Kúria Pfv.I.20.685/2024. döntése (2025 február 19.) egyértelmű: A súlyos gondatlanságot a bank bizonyítja, nem te – pl. ha phishinggel csalták ki a kódot, nyersz. A bíróság személyre szabottan vizsgál (tudtál-e a kockázatról?), és ha nem, a bank fizet. Ez precedens a PBT-n: 2025-ben 60% sikerarány fogyasztóknak!
Mit tehetsz, ha nem térít a bankod a PSD2 alapján 1 napon belül?
-
- Írj panaszt a banknak (hivatkozz PSD2 Article 74-re) – ha nem reagálnak, menj tovább. ( első mindíg a banki panasz, addig nmemehetsz Pénzügyi Békéltető Testület elé sem)
- MNB Panasz: mnb.hu/fogyasztovedelem/panaszbejelentes – Online form. 2025-ben 2000+ PSD2 panaszt kezeltek, 40% esetben kényszerítették térítésre.
- Pénzügyi Békéltető Testület (PBT): mnb.hu/bekeltetes – Ingyenes, gyors (3-6 hónap), és Kúria 2025-ös döntései szerint a bank bizonyít, nem te (ha becsaptak, nyersz).
A gyakorlat azonban vegyes tapasztalatot mutat: a csalárdságra hivatkozás elég, a banknak kell bizonyítani, hogy hibáztál és gyakrlan ez elég az elutasításhoz is, ezért azt is neked célszerű felismerned, hogy egy bank nem hibázik 7-8 tranzakciót átengedve a szokásostól eltérő helyekre, kontroll nélkül, ha valóban működő a védelmi rendszere. - Ha DSA-kevert (pl. Google app segítette a csalást), kombináld a fenti DSA linkekkel és kezdeményezd azt az eljárást is.
PBT eljárása valóban ingyenes (nincs ügyvédi költség, csak a te időd), és a törvény szerint 90-180 napon belül (gyakorlatban 3-6 hónap) lezárul – ez gyorsabb, mint egy bírósági per.
A lényeg a bizonyítási teher: A Kúria 2025 eleji precedensértékű döntései (pl. a Pfv.I.20.685/2024. számú ítélet, amit egy kibercsalási ügyben hoztak) expliciten kimondják, hogy a súlyos gondatlanságot a banknak kell bizonyítania, nem neked az ártatlanságodat.
Ez a PSD2 irányelv (EU 2015/2366, magyarul a Pénzforgalmi Törvény – Pft. 40. §) alapján van így: Ha illetéktelen tranzakció történik (pl. tokenizációs csalás), a bank haladéktalanul (1 munkanapon belül) térít, max. 50 euróig (kb. 20 ezer Ft) vagy te a felelős, de csak ha súlyosan gondatlan voltál – és ezt ők bizonyítják.
A Kúria 2025-ös döntései (pl. a március 17-i jogerős ítélet egy MNB-sajtóközleményben ismertetett ügyben) hangsúlyozzák: Nem automatikusan „gondatlan” vagy, ha becsaptak (pl. adathalászattal kicsalták az SMS-kódot egy hamis banki oldalon). A bíróság személyre szabottan vizsgálja: Tisztában voltál-e a kockázattal? Ha nem (pl. átlagos felhasználóként hittél a „banki hívásnak”), akkor nyersz. Ez útmutató a PBT eljárásokra is – 2025-ben sok ügyfél nyert így, pl. MBH Bank elleni perekben, ahol a bank „áldozathibáztatása” megbukott.
A Bank nem hibázik ha 7-8 tranzakcióból a pénzed átengedve a csalóknak? De: ez rendszerhiba és nem a Te hibád, csak rád fogják!
Az állításunk jogilag bombabiztos: A PSD2 95-96. cikke kötelezi a bankokat kockázat alapú tranzakciófigyelésre (Transaction Risk Analysis, TRA) – valós idejű monitorozás, rendellenes minták (pl. 7-8 gyanús tranzakció szokatlan helyekről) blokkolása. Ha átengedik (pl. MBH Bank „FeedBC” esetekben, ahol milliárdos károk voltak 2024-2025-ben), az ő rendszerhibájuk, nem a tied – a Kúria 2025-ös döntései (pl. Pfv.I.20.685/2024.) hangsúlyozzák, hogy a banknak kell biztosítania a „kockázatokkal arányos biztonsági intézkedéseket”, különben felelősek a kárért.
Szokatlan helyről, szokatlan tételek, szokatlan -5ezer forintnál nagyobb összegek is akaár- elsuhannak a számládról és a BANK szerint, Te vagy a hibás! A fenéket: csak ezt képesnek kell lenni elemeire szedni ésmegvédeni magad!
Ezért célszerű neked is felismerned: Dokumentáld a tranzakciókat (hely, idő, összeg), és hivatkozz rájuk a panaszban – ez bizonyíték a banki mulasztásra, ami megfordítja az ügyet (PBT sikerarány 60% 2025-ben ilyen esetekben).
A TOKENIZÁLT CSALÁS ÉS A CSALÁSOK TIPOLÓGIÁJA
A beérkezett panaszok és kutatási adatok alapján a visszaélések jól definiálható kategóriákba sorolhatók.
Az alábbi táblázat összefoglalja a leggyakoribb típusokat, azok mechanizmusát és a fogyasztói tapasztalatokat.
| Csalás Típusa | Mechanizmus (Hogyan történik?) | Felhasználói Élmény / Tünet | Sikerarány a Visszatérítésben (Becsült) |
|---|---|---|---|
| Tokenizációs Csalás (Provisioning Fraud) | Ellopott kártyaadat + Social Engineering útján kicsalt OTP kód = Idegen eszközre telepített bankkártya. | „Új eszköz hozzáadva az Apple Pay-hez” értesítés (ha a bank küld ilyet), majd sorozatos, gyors levonások különböző helyszíneken. | Közepes/Alacsony – A bankok gyakran hivatkoznak arra, hogy az ügyfél adta meg a kódot, így „súlyosan gondatlan” volt. A Kúria döntése ezen változtathat. |
| Adathalászat (Smishing/Vishing) | Hamis SMS/Email: „Fiókját felfüggesztettük”, „Apple Pay letiltva”. A linkre kattintva a felhasználó maga adja meg az adatait. | Pánik, sürgetés érzése. A felhasználó azt hiszi, a bankkal kommunikál. | Alacsony – Ha az ügyfél maga utalt vagy adta meg a belépési adatokat, nehéz a visszatérítés, kivéve ha a bank nem alkalmazott erős hitelesítést. |
| Előfizetéses Csapdák (Subscription Fraud) | Ingyenes próbaidőszak után rejtett, extrém magas havidíjak. Nehéz lemondás („Dark Patterns”). | „Nem emlékszem, hogy ezt megvettem volna”, vagy „Azt hittem, ingyenes”. Hónapokig tartó kisebb levonások. | Magas – Az Apple és Google support általában visszatéríti, ha időben jelzik a „jogosulatlan” előfizetést. |
| Technikai Hiba (System Glitch) | Rendszerhiba miatti duplikált terhelés (pl. Apple Pay Hungary 2024, FeedBC tételek). | Ismétlődő, indokolatlan terhelések, gyakran furcsa időpontokban vagy sorozatban. | Magas – Általában automatikus banki/szolgáltatói korrekció történik, bár az átfutási idő (napok/hetek) frusztráló lehet. |
| Kevert Támadás (Hybrid Fraud) | Pl. Booking.com adatlopás + WhatsApp megkeresés + Google Pay regisztráció. | A felhasználó több csatornán kap támadást. A bizalom elnyerése komplex történettel történik. | Változó – A csalás összetettsége miatt nehéz a bizonyítás, de a rendőrségi nyomozás esélyesebb. |
Kiemelt Veszélyforrás: A „Kevert” Támadások
Különösen aggasztó a „kevert” támadások terjedése. A csalók gyakran kombinálják a módszereket. Például a Booking.com rendszerén keresztül szerzett adatokkal WhatsApp-on keresik meg az áldozatot, szállásadónak kiadva magukat. A „fizetési probléma” megoldására egy linket küldenek, ami valójában adathalász oldal. A megszerzett kártyaadatokat azonban nem egyszeri vásárlásra használják, hanem azonnal Google Pay tárcába mentik a saját eszközükön. Ezzel „bebetonozzák” a hozzáférést: a későbbi tranzakciók során már nem kell újra és újra megküzdeniük a 2FA-val, hiszen a tokenizált eszközük „bizalmi” státuszt élvez.
SZABÁLYOZÓI VÁLASZOK ÉS A JOGI KÖRNYEZET ÁTALAKULÁSA
A növekvő csalásszám és a fogyasztói bizalomvesztés lépéskényszerbe hozta a jogalkotókat és a felügyeleti szerveket. Magyarországon az MNB és az igazságszolgáltatás is reagált a helyzetre, új eszközöket adva a védekezéshez, látszólag.
MNB „Öt Csapás” és a KVR Rendszer
A Magyar Nemzeti Bank (MNB) válasza az MBH Bank – Google csalási ügyben mutatott válságára az „Öt Csapás” intézkedéssorozat, amelynek központi eleme a Központi Visszaélés-szűrő Rendszer (KVR). Ez a rendszer 2025. július 1-től kötelezővé a bankok számára, csak hát az un. kártyaforgalmi ellenőrzés még nem képezi a termék részét. Ergó: a kártyák forgalmát, nem „figyelik”.
Valós Idejű AI Védelem: A GIRO Zrt.-vel közösen fejlesztett KVR mesterséges intelligenciát használ a tranzakciók valós idejű elemzésére. A rendszer képes lesz keresztellenőrizni a tranzakciós adatokat a bankok között. Ez azt jelenti, hogy ha egy számlaszámra hirtelen több különböző bankból érkeznek gyanús utalások, vagy egy kártyát rövid időn belül több különböző földrajzi helyen próbálnak használni, a rendszer másodpercek alatt riaszt.
Paradigmaváltás: Ez a fejlesztés paradigmaváltást jelent a reaktív védekezésről (utólagos panaszkezelés) a proaktív megelőzésre. A bankoknak kötelező lesz beépíteniük a KVR kockázati pontszámait a saját döntéshozatali mechanizmusukba. Ha a KVR „pirosat jelez”, a banknak meg kell tagadnia a tranzakciót, még akkor is, ha az ügyfél látszólag jóváhagyta azt.
A Kúria Iránymutató Döntése: A Felelősség Áthelyezése
A jogi környezetben is jelentős elmozdulás történt. A Pénzügyi Békéltető Testület (PBT) és a Kúria közelmúltbeli gyakorlata kedvező fordulatot hozott a károsultak számára.
Korábban a bankok rutinszerűen utasították el a kártérítést „súlyos gondatlanságra” hivatkozva, ha az ügyfél kiadta az SMS kódot vagy jóváhagyta a tranzakciót.
A logika egyszerű volt: „Ön adta meg a kódot, az Ön felelőssége”. A Kúria azonban kimondta: nem minősül automatikusan súlyos gondatlanságnak, ha az ügyfelet megtévesztették (pl. a bank nevében telefonáltak, manipulálták), és ő a körülményekhez képest jóhiszeműen járt el.
Ez a döntés alapvetően változtatja meg a bizonyítási terhet. Mostantól a banknak kell bizonyítania, hogy az ügyfél tudatosan vagy kirívóan gondatlan volt, és hogy a banki rendszerek minden elvárható védelmet biztosítottak. Ha a bank nem tudja bizonyítani, hogy erős ügyfélhitelesítést (SCA) alkalmazott, vagy hogy a rendszerei megfelelően működtek (lásd MBH hiányosságok), akkor köteles megtéríteni a kárt.
A „2 Perces Szabály” és az Ügyfélszolgálati Elvárások
A szabályozás szigorodásának másik kézzelfogható jele az MNB azon követelménye, miszerint a pénzforgalmi visszaélések bejelentésére szolgáló telefonvonalakon az élő operátori bejelentkezésnek 2 percen belül meg kell történnie. Ez közvetlen válasz arra a panaszáradatra, miszerint a csalás észlelésekor az ügyfelek értékes perceket, néha órákat veszítettek a banki telefonos menürendszerekben bolyongva, miközben a számlájukat éppen ürítették. A gyors beavatkozás lehetősége kritikus fontosságú a kár enyhítésében.
KONKLÚZIÓ ÉS JÖVŐKÉP: A BIZALOM VISSZASZERZÉSE
A kutatás alapján megállapítható, hogy a Google Pay és Apple Pay rendszerek önmagukban technológiailag fejlettek, és a tokenizáció révén elvileg biztonságosabbak, mint a fizikai kártyahasználat. A probléma gyökere nem a kriptográfiában, hanem a provisioning folyamat gyenge hitelesítésében, az emberi tényező (hiszékenység/manipulálhatóság) kihasználásában és a banki infrastruktúrák lassú adaptációjában rejlik.
A biztonsági rés a folyamatban van: A bankok gyakran a kényelmet (a „súrlódásmentes” kártya-digitalizációt) a biztonság elé helyezték, túl gyakran alkalmazva a „Yellow Path”-ot megfelelő kockázatelemzés nélkül.
Az áldozathibáztatás korszaka lejáróban van: A jogi környezet (Kúria, MNB) egyre inkább a bankokra hárítja a felelősséget a fejlett szűrőrendszerek hiánya miatt. A bankoknak nem elég csak „szabályosnak” lenniük, „biztonságosnak” is kell lenniük.
Az AI kétélű fegyver: Miközben az MNB AI-t használ a védekezésre (KVR), a csalók is AI-t használnak a phishing üzenetek és hangalapú (deepfake) hívások tökéletesítésére. A jövő csatái az algoritmusok között fognak zajlani.
A digitális pénztárcák kényelme vitathatatlan, de a jelenlegi környezetben a felhasználók „két tűz között” vannak: egyik oldalon a globális tech-óriások áthatolhatatlan adatvédelmi falai, a másikon a helyi bankok lassú és gyakran elavult rendszerei. A megoldás a „Zéró Bizalom” (Zero Trust) elvét alkalmazása a saját pénzügyeinkben. Ahogy az EuroAstra stílusa is sugallja: a rendszer nem érted van, hanem a tranzakciókért. Ha te nem véded a pénzedet azonnali letiltással, a gyanús jelek (pl. FeedBC kódok) kérdőre vonásával és a jogi lehetőségek (PBT) könyörtelen kihasználásával, senki más nem fogja helyetted megtenni.
A jövő a biometrikus viselkedéselemzésé és a valós idejű központi szűrésé (KVR), vagy valami olyan szakmai és értelmezhető felelősségvállalás ahol a BANK-ok nem hárítják a felhasználóra azt a gyakran 7-8 tranzakcióval lefolyt csalást, ahol a BANK-nak alapvetően észlelnie kellene azt. A PSD2 végrehajtását pedig szigorúbban és banktól függetlenül kell/ene alkalmaznia mindenkinek.
„Panaszkodjunk együtt” !
Csatlakozz közösségekhez (pl. Facebook ‘MBH Károsultak’ csoport) – tömeges nyomással gyorsíthatjuk a változást.
Az EU DSA és PSD2 szigorítása 2026-ra bővül (pl. KVR kártyafigyeléssel), de addig is: Dokumentálj mindent, és harcolj – a törvény a te oldaladon áll még ha lassú az út a sikerig, akkor is!
