Ki a felelős azért, hogy kijátszották a bank számítógépes rendszerét?

Egy ítélet szerint a bank nem háríthatja el a felelősséget a rendszerének hiányosságaira visszavezethető károkért. Az ügy előzménye egy 93 milliós elektronikus csalás.

Egy hónap alatt több részletben valamivel több mint 95 millió forintot utalt át a B-G Javító és Kereskedő Kft. a TopPingpong Utánpótlás Alapítványnak. Valójában nem neki szánta a pénzt, a legnagyobb beszállító számláit rendezte volna az átutalásokkal, ám a külsős rendszergazdájuk átírta a Budapest Bank számítógépükre telepített szoftverjében a törzsadatok között a beszállító bankszámlaszámát az alapítványéra.

Mindez csak akkor derült ki, amikor a beszállító levélben figyelmeztette egyre tetemesebb tartozására a kft. vezetőjét. Ő nem értette, mi történhetett, hiszen a Budapest Bank Üzleti Terminál szolgáltatásának 2002-es bevezetése óta legalább 70-szer utaltak ennek a beszállítónak a saját számítógépükről, a pénz mindig pontosan megérkezett. A B-G Kft. vezetője ezért a számlavezető bank dabasi fiókjához fordult magyarázatért.

A banknál megállapították, hogy a kft. 2005. szeptember 12. és október 11. között 13 részletben összesen 93 millió 135 ezer forintot utalt át a Top-Pingpong Utánpótlás Alapítványnak. Mindenesetre kérték, készítsenek biztonsági mentéseket a banki műveletekhez használt számítógép merevlemezéről, hátha sikerül kideríteni, mi történhetett.

Sikerült. A bank 2006. február 7-én levélben tájékoztatta a B-G Javító és Kereskedő Kft.-t, hogy 2005. augusztus 5–23. között billentyűfigyelő programot telepítettek a szóban forgó gépére, amelynek segítségével ismeretlenek hozzájutottak (hozzájuthattak) valamennyi jelszavukhoz. A bank kérte az adott komputeren használt valamennyi alkalmazás jelszavának megváltoztatását, egyben tájékoztatta ügyfelét, hogy a történtekről „a büntetőeljárás sikeres lefolytatása érdekében” tájékoztatja a nyomozó hatóságot.

A bank szakemberei azt is kiderítették, hogy ismeretlen módon október 11-én vagy 12-én (tehát közvetlenül a biztonsági másolat elkészítése előtt) valaki ismét behatolt a kft. rendszerébe, és az Üzleti Terminál adatbázisában átírta, azaz visszaírta az eredetire a kft. kifizetetlenül maradt beszállítójának a bankszámlaszámát.

Nem tudni, a bank lépett-e végül a rendőrség felé vagy sem, tény, hogy nyomozás csak októberben indult az ügyben a B-G Kft. feljelentése alapján. Csalás gyanúsítottjaként hallgatták ki H. Ivánt, a TopPingpong Utánpótlás Alapítvány vezetőjét és K. Ilonát, a szervezet könyvelőjét, valamint Sz. Lászlót, a B.I.R. Kft. vezetőjét, aki szerződéssel a B-G Kft.-nél rendszergazdai feladatokat is ellátott. Azóta vádat emeltek ellenük, büntetőperük napjainkban is tart a Budapest Környéki Törvényszéken.

Bár jogerős ítélet még nincs, minden jel szerint saját rendszergazdája lopta meg a kft.-t. Átírta a beszállító bankszámlaszámát az alapítványéra a szoftver törzsadatállományában, így minden egyes utalás, amit a beszállító nevére kattintva indítottak, az alapítványnál landolt, ahol rögtön készpénzben fel is vették.

A büntetőeljárásban a „tévesen” átutalt összegekből eredő kár egy része megtérülni látszik. Azonban a nyomozati szakban meghallgatott szakértők arra is rámutattak, hogy a csalást, a kft. pénzének „elektronikus ellopását” nagyban megkönnyítették a Budapest Bank informatikai rendszerében fellelhető súlyos hiányosságok. És ezek sorában csak egy, hogy bár már 2003 óta ismert volt, miképpen lehet védekezni a felhasználó tudta nélkül a gépére telepített billentyűfigyelő vírusok ellen, a Budapest Bank Üzleti Termináljai efféle védelmet a kérdéses időben nem kaptak.

És nem ez volt az egyetlen hiányosság. A banknál 2006 nyarán „az Üzleti Terminálokon történő visszaélés tárgyában” vizsgálódó Pénzügyi Szervezetek Állami Felügyelete határozatban kötelezte a hitelintézetet, hogy „maradéktalanul tegyen eleget a tevékenységének ellátásához szükséges informatikai rendszer kialakítására vonatkozó jogszabályi előírásoknak”…, „mindenkor teremtse meg az informatikai rendszer kockázattal arányos védelmét”.

A visszaélést az tette lehetővé, hogy a bank egy hatályos MNB-rendelethez igazodva csak a számlaszámuk alapján azonosította a kérdéses időben a számlatulajdonosokat. Ha A céghez B számlaszámát írta valaki, a bank a kért összeget B-nek utalta, mert nem is látta – és nem is kellett vizsgálnia –, hogy azt valójában A-nak szánták, így még csak figyelmeztetést sem küldött, hogy „az adott számla más céghez tartozik, kérjük, tegye egyértelművé a tisztelt ügyfél, kinek is akar utalni”.

A cég beperelte a bankot. A polgári perben, amelyben nemrég született nem jogerős közbenső ítélet, a felperes a bank kártérítési felelősségének megállapítását kérte az alapítványnak történt téves átutalások tekintetében, valamint azt, hogy a büntetőeljárásban meg nem térült kárát a bank térítse meg azokkal a kiadásokkal együtt, amelyek nem keletkeztek volna, ha a banki rendszer hiányosságait időben kiküszöbölik.

A bank nem fizetett. A zárt ajtók mögött tartott perben a felperes keresetének elutasítását kérte, mivel álláspontja szerint annak semmiféle jogalapja nincs. A Budapest Bank általános szerződési feltételeinek 12. pontja szerint ugyanis a bank és szállítói nem vállalnak felelősséget az elektronikus pénzforgalmi rendszer használatából és nem használatából eredő károkért. Függetlenül a szakértők és a PSZÁF által feltárt és kifogásolt hiányosságoktól, a bank úgy vélte: mivel a „lopást” a cég szerződéses partnere (a rendszergazda) követte el, a B-G Kft. felelőssége is megfogalmazható a történtek miatt.

A bíróság azonban nem jogerős közbenső ítéletében úgy vélte, a manipuláció és illetéktelen behatolás ellen kellően nem védett Üzleti Terminál és az azt kiszolgáló rendszer egységes egészet alkot. A szoftver hiányosságaiért, működési problémáiért pedig igenis a bank felel, s így terhelheti kártérítési felelősség a rendszer hibáira, hiányosságaira visszavezethető károkért. Hegedűs László ügyvéd, a B-G Kft. jogi képviselője szerint az ítélet reményre ad okot, mivel kimondta: a bank nem háríthatja el a felelősséget a rendszerének hiányosságaira visszavezethető károkért.

A bank az MNB-re hivatkozik

A Budapest Bank sajtóosztálya lapunknak azt nyilatkozta, hogy a bíróság zárt tárgyalást rendelt el az ügyben, így nem nyújthatnak a perrel, illetve a bank álláspontjával kapcsolatban bővebb tájékoztatást. Hangsúlyozzák ugyanakkor, hogy mindenkor az elvárható gondossággal járt el a pénzintézet, amit a bank üzleti termináljának 2006-os verziója esetén a bíróság által felkért igazságügyi szakértő is megerősített.

Álláspontja ugyanis az, hogy a Budapest Bank Üzleti Terminál 2006-os verziójának a „...programok kimunkáltsága, szakmai szintje, informatikai szempontból vizsgált kockázata nemhogy megfelelő volt, hanem kifejezetten magas szinten kezeltnek nevezhető volt”. Felhívják ugyanakkor a figyelmet az MNB 2006-os állásfoglalására, amely megerősíti: szabályszerűen jár el a számlavezető bank, ha a pénzforgalmi megbízást kizárólag a számlaszám alapján teljesíti még akkor is, ha az eltér a számlaszámhoz tartozó számlatulajdonostól, és nincs mód a megbízás visszautasítására az eltérésre való hivatkozással. A bank idézi a PSZÁF 2007-es levelét is, amelyben az áll: a felügyelet szerint nem tekinthető a terminál működése kapcsán feltárt hiányosságnak az a körülmény, hogy a bank központi rendszere – a szabályozási környezet okán – nem ellenőrzi a számlatulajdonos nevének és számlaszámának azonosságát.

A bank nem vállal felelősséget az elektronikus pénzforgalmi rendszer használatából eredő károkért
A bank nem vállal felelősséget az elektronikus pénzforgalmi rendszer használatából eredő károkért
Top cikkek
Érdemes elolvasni
1
Vélemény
NOL Piactér

Tisztelt Olvasó!

A nol.hu a továbbiakban archívumként működik, a tartalma nem frissül, és az egyes írások nem kommentelhetőek.

Mediaworks Hungary Zrt.