Még jó, hogy az USA-ban fért hozzá több száz magyar bankkártya adatához nemrégiben egy hacker. Ha itt történik, kizárólag a bankok közlékenységén múlt volna, hogy egyáltalán megtudják-e az érintettek, miért kell kártyát cserélniük. Az adatvédelmi ombudsman szerint a problémát ha valahol, akkor a szektor törvényeiben kellene szabályozni.
Egyetlen jogszabály sem kötelezi Magyarországon a bankkártyaadatokat kezelő szervezeteket konkrétan arra, hogy nyilvánosságra hozzák, ha sérül az adatbázisuk biztonsága – járt utána a Magyar Hírlap. Ez azt jelenti: ha Magyarországon hasonló eset történik, mint az USA-ban, ahol a hét végi hírek szerint negyvenmillió bankkártya adataihoz fért hozzá egy tranzakció-feldolgozó cég szerverén egy hacker (és ebből kétszázezret bizonyíthatóan el is vitt), akkor ez nálunk valószínűleg ki sem derülne. (Szakértők szerint az Egyesült Államokban is azóta szaporodtak meg a bejelentések az adatrablásokról, amióta ezt két államban is törvény írja elő.)
A kártyabirtokosok anyagi érdekeit védik a jogszabályok (45 ezer forint felett a bank állja a károkat), tájékoztatásukat kevésbé követeli meg. A hatályos jogszabályok szerint a már elkövetett bankkártyacsalásokról be kell számolniuk a bankoknak, ám arra a jelek szerint nem kötelezi őket semmi, hogy a visszaélés veszélyéről is tájékoztatást adjanak. Ilyen szabályról a Bankszövetség sem tudott, bár elképzelhető, hogy egy általános passzusa a polgári törvénykönyvnek alkalmazható lenne erre. Ez a szerződés feltételeitől való lényegi eltérés esetén együttműködési kötelezettséget ró a felekre.
Ám így is simán előfordulhat, hogy egy hasonló támadást egyszerűen elhallgatnak az érintett szervezetek, és – a jogszabályoknak megfelelően – csendben, ingyenes kártyacserét ajánlanak ügyfeleiknek “biztonsági okokra” hivatkozva. Több banknál is elismerték egyébként, hogy ez nem elképzelhetetlen. “Hisz még csak nem is hazudik a bank” – mutatott rá az egyik bank biztonsági szakértője.
Megerősítetlen, de illetékes helyről származó információ szerint erre már volt is példa a múltban. Ám ha így van, nem lehetett valami széles körű jelenség. A Magyar Hírlap a legnagyobb lakossági bankoknál, az OTP Banknál, illetve az Erste Banknál és még a Magyar Külkereskedelmi Banknál is rákérdezett, hogy volt-e már korábban is példa arra, hogy ügyfeleik kártyáinak a biztonsága adatlopás miatt sérült az elmúlt egy évben, és mindegyik banknál határozottan tagadták, hogy lett volna ilyen.
Péterfalvi Attila adatvédelmi biztos szerint a kérdés nem rá tartozik. “Ezt a szektoriális törvényekben kell kezelni, ha valahol szükséges” – mondta a Magyar Hírlapnak. Azt azonban elismerte, hogy a bankkártyaadatok személyes adatnak minősülnek, és vonatkozik rájuk az adatvédelmi törvény adatbiztonsági előírása. E szerint az adatbázisok kezelőinek biztosítaniuk kell az adatok biztonságát. Mi történik, ha ez mégis megsérül? “A cég jogsértést követ el.”
Az ilyen típusú adatvédelemre egyébként valószínűleg azért sincs berendezkedve a pénzügyi szektor és a jog, mert nálunk nem okozott akkora károkat az adatlopás, mint az Egyesült Államokban. A Magyar Nemzeti Bank 2004 első felére vonatkozó adatai azt mutatják: az elmúlt években a felére csökkent a hamisított kártyákkal okozott kár, így mára lényegében egyenlően oszlik meg a csalások okozta kár összege három tényező között. Az elveszett kártyákkal 34 millió forint kárt okoztak fél év alatt, a hamisított kártyákkal 33 milliót, az “egyéb” visszaélésekkel pedig 32 milliót. A bankok nem vezetik külön az adatok ellopásához köthető csalások kárát: ezek egyaránt megjelenhetnek a hamis kártyák között (ha klónozzák az adatok alapján a kártyát) vagy az “egyéb” kategóriában.