Vajon mi történhetett tegnap délután, amikor az Apple egyes magyarországi felhasználóinak számláit indokolatlan terhelésekkel sorozta meg az Apple Pay, így többeknek pár ezer, vagy akár több százezer forintos kárt okozva – ennek jártunk utána Qayum Dániel, a Peak tanácsadójának segítségével.
Mi az az Apple Pay? Mire jó? Mit csinál?
Az Apple Pay lényegében a készpénzt és a fizikai bankkártyákat kiváltó szolgáltatás, amely lehetővé teszi, hogy fizessünk. Nem egy önálló fizetési rendszer, a bankok, a kártyatársaságok és a többi fizetési szereplő által fenntartott rendszerben él, velük együttműködésben tud csak működni. Így az Apple felelőssége mellett fontos minden szereplőnek a felelősségét is megvizsgálni.
Mi történt?
Az Apple magyar felhasználóinak számláiról olyan összegeket vontak le kártyás tranzakciókon keresztül, amelyek mögött nem volt valódi tranzakció – valószínűleg főleg már lemondott, vagy éppen nem aktuálisan kifizetendő előfizetések után vonhattak le különböző összegeket.
Másik fontos része a történetnek, hogy a felhasználók nem kaptak számlát – ha egy szolgáltatást kifizetünk, ott számlát kell kapnunk a tranzakcióról.
Ki a felelős?
Ennél a kérdésnél érdemes első körben átvenni, hogy „kik” is vesznek részt egy ilyen Apple Payen keresztüli tranzakcióban:
- a vásárló,
- a vásárlónak a bankja,
- a kereskedő,
- a kereskedőnek a bankja,
- a kártyatársaság, a fizetési hálózat (a Mastercard, a Visa, vagy adott esetben az American Express), amely mindezt „összefogja”,
- és ott volt az Apple az Apple Payen keresztül,
- valamint a „payment processor”, azaz a fizetéseket feldolgozó szolgáltató,
- (továbbá az egyes szereplők és a köztük zajló folyamatok között még lehetnek más cégek is.)
A hazai bankok felelősségét valószínűleg kizárhatjuk, ugyanis úgy fest, nem náluk van a probléma – közülük több már meg is szólalt az ügyben, lásd a keretes írásunkat –, ráadásul volt olyan eset is, hogy egy külföldi bank által kibocsátott kártyánál fordult elő hasonló eset egy magyar felhasználónál. A bankok felelőssége ebben a történetben erősen limitált, úgy tűnik, hogy megtesznek mindent, amit tudnak – például azzal, hogy különböző tippeket adnak a felhasználóknak, hogyan járjanak el ilyen esetekben, ezt mát most is többen megtették.
Fontos megemlíteni még az Apple Pay „tokenizációs” folyamatát is, mert itt is bejöhetett a képbe egy probléma. Amikor egy felhasználó beregisztrálja bankkártyáját az Apple Pay-be, akkor a bankkártya érzékeny adatai egy egyedi karaktersorrá, egy tokenné alakulnak – az Apple Pay esetén DAN ennek a tokennek a neve. Ezt a tokent minden egyes tranzakciónál használják egy tranzakciónként mindig egyéni biztonsági kóddal együtt. Potenciálisan a tokenek által tárolt információ közvetítésében, kezelésében, tárolásában is bekövetkezhetett egy probléma, ami előidézte a szóban forgó helyzetet.
Az első feltételezések alapján akár a payment processornál is lehetett a hiba, ugyanis ezek a cégek dolgozzák fel az egyes tranzakciókat. Ez a cég segíti az információáramlást egy tranzakció kapcsán, és lehetséges, hogy az eltárolt tokeneknél merült fel valamilyen probléma, de egyelőre ezek is csak találgatások.
Előfordulhat ilyen eset más fintechnél is?
Alacsony a valószínűsége, de ha egy payment processornál van probléma, akkor a fintechek is kiszolgáltatottak. Sőt, fintech-cégek is lehetnek „károsultak” a történetben: például volt olyan felhasználó, akinek a Wise-kártyáját terhelte meg indokolatlanul az Apple Pay, de hallottunk már Revolut-kártyát ért terhelésről is. „Hiába nem csináltak semmit sem rosszul”, mégis megkárosultak ennek a két fintechnek az ügyfelei is.
Mi a valószínűsége?
Egy ilyen esetnek nagyon alacsony a valószínűsége, de látjuk, hogy mégis megtörténhet. Egy ekkora cégnél viszont nem beszélhetünk óriási problémáról, sajnos: az Apple-nek az év elején több mint 2,2 milliárd aktív készüléke volt világszerte, Magyarországon összesen él 10 millió ember, a kaliforniai cégnek pedig 16 százalékos részesedése van itthon, tehát arányaiban nézve ez nem egy „óriási” probléma, legalábbis az Apple-nek nem. Tegyük is hozzá gyorsan, hogy egyébként ez a probléma nem minden magyar Apple-felhasználót érintett, hanem egyelőre egy ismeretlen hányadát. „Az egyén szintjén, akiktől nagyobb összegeket vontak le a számláról, ott ez nyilván egy komoly problémát okozhat, de egy ekkora vállalatnál ez nem tűnik óriási problémának.”
Megszólaltak a bankok
Az OTP az Indexszel azt közölte, hogy információik szerint „több bankkártya-kibocsátó kártyáival több banknál tömeges, indokolatlan terhelések történtek”. Szakembereik megtették a szükséges intézkedéseket, és felvették a kapcsolatot az Apple-lel is.Az MBH Bank oldalán azt közölte, hogy „külső technikai hiba” miatt az Apple alkalmazásboltja egyes ügyfeleik bankkártyáit tévesen megterhelte. Az MBH is jelezte a problémát az Apple felé, és megtették a szükséges lépéseket. Közölték azt is, hogy „a téves tranzakciók jóváírásáról” később tájékoztatják az ügyfeleket.
Az Erste automatikus visszatérítést ígért ügyfeleinek, miután „egy külső partnernél bekövetkezett technikai probléma miatt az Apple alkalmazásboltja tévesen hajtott végre tranzakciókat és terhelte meg” több ügyfelük kártyáját. Mint írják, az érintett ügyfeleknek „további teendője nincs”, a téves tranzakciókat automatikusan törölni fogják.
Több más bank is technikai problémáról ír.
A bankok állításait erősíti a Portfoliónak az az értesülése, miszerint a pénzintézetek és a kártyatársaságok tegnap este óta folyamatosan dolgoznak az ügyön, de „egyelőre keveset tudni”. A portálnál úgy tudják, hogy nem kibertámadásról, és nem csaló tranzakciókról van szó, hanem belső technikai hiba történt (azaz adatok nem kerültek illetéktelen kezekbe) – egyszerűen régebbi tranzakciókat terhelt újra az Apple.
Bankszövetség: az Apple már dolgozik a tévesen levont összegek visszatérítésén
Az érintett magyar kártyabirtokosok gyors jelzéseinek köszönhetően a téves tranzakciókról a bankszektor értesült, és közvetítő szereplőként azonnali intézkedéseket tett a helyzet kezelésére – írja közleményében a Magyar Bankszövetség (MBSZ). A bankok felvették a kapcsolatot az érintett szolgáltatóval, az Apple-lel. Mint írják, az eddigi információk alapján
- az érintett tranzakciók kizárólag korábbi vagy jelenleg meglévő előfizetésekhez vagy vásárlásokhoz kapcsolódnak, téves technikai ismétlődéssel;
- továbbá „semmilyen visszaélésre utaló jel nincs, az ügyféladatokkal kapcsolatosan nem történt visszaélés, adatok nem kerültek veszélybe”.
Az Apple visszajelzése alapján pedig „a technikai probléma miatt tévesen terhelésre került összegek visszatérítése az Apple által folyamatban van” az MBSZ tájékoztatása szerint.
Az MNB figyel, és ha indokolt, be is avatkozik
„Az MNB szorosan figyelemmel kíséri az Apple szolgáltatásokhoz kötődő jogosulatlan fizetések ügyét az ügyfelek védelme és az elektronikus pénzforgalomba vetett bizalom fenntartása érdekében” – írja csütörtök délután küldött közleményében a Magyar Nemzeti Bank, amely kiemelte azt is, hogy „a jogosulatlan és jóvá nem hagyott kártyatranzakciók teljes összege a károsultaknak visszajár”. Amennyiben indokolt, az MNB megteszi a szükséges intézkedéseket ezeknél az intézményeknél – teszik hozzá.
A jegybank felhívta az ügyfelek figyelmét arra is, hogy
érdemes aktívan használni a tranzakciós limiteket a bankkártyák és az átutalási szolgáltatások esetén egyaránt, és csak a napi költéseikhez szükséges lehető legalacsonyabb értékeket állítsák be, amit csak indokolt esetben, ideiglenesen állítanak magasabbra egyes nagyértékű tranzakciók előtt.
A bankkártyás limitállítás a legtöbb bank mobilalkalmazásában és netbankjában már elérhető, és egyszerűen használható. Emellett fontos, hogy a kártyaadatokat az ügyfelek csak a legszükségesebb esetben mentsék el a kereskedők alkalmazásaiban vagy online felületein, és akkor is csak olyan kereskedőknél, amelyekről meggyőződtek, hogy megbízhatóak. Az elektronikus fizetési megoldásokkal kapcsolatosan általánosságban azt javasolja az MNB, hogy az ügyfelek kiemelten figyeljenek arra, hogy fizetési adataikat titokban tartsák, és azokat csak valós vásárlási helyzetben adják meg a kereskedői fizetési felületeken. Fontos, hogy banki jelszavakat, PIN-kódokat, felhasználóneveket nem szükséges semmilyen esetben sem megadni online tranzakciókhoz a kifejezetten online fizetéshez beállított azonosítókon kívül – olvasható a közleményben.
Amennyiben az ügyfél bármely okból ismeretlen fizetéshez kapcsolódó összeg zárolását, terhelését észleli a fizetési számláján, ezt mindenképpen haladéktalanul jelezze a számlavezető pénzforgalmi szolgáltatója részére
– közölte az MNB. Mint írják, az ügyfél által jóvá nem hagyott fizetési művelet teljesítése esetén a számlavezető pénzforgalmi szolgáltató a felelős, és köteles egy munkanapon belül visszaadni az ügyfélnek a fizetési művelet összegét. A pénzforgalmi szolgáltató kizárólag abban az esetben mentesülhet a felelősség alól, ha bizonyítja, hogy az ügyfél csalárd módon járt el, vagy szándékosan vagy súlyosan gondatlanul megszegte a Pénzforgalmi törvényben foglalt kötelezettségeit, vagyis azt, hogy a visszaélés észlelését követően nem jelentette be haladéktalanul a számlavezető pénzforgalmi szolgáltatónak a visszaélést vagy a készpénz-helyettesítő fizetési eszközhöz (például bankkártya, internetbank, mobilbank) tartozó személyes hitelesítési adatok (például PIN-kód, jelszó) biztonságban tartásáért nem tette meg az általában elvárhatót – áll a jegybanki közleményben.
Kövesse az Economx.hu-t!
Értesüljön időben a legfontosabb gazdasági és pénzügyi hírekről! Kövessen minket Facebookon, Instagramon vagy iratkozzon fel Google News és YouTube-csatornánkra!