EU: phishing támadások kártérítés
Az Európai Unió Bíróságának egyik főtanácsnoka, Athanasios Rantos jogi véleményében azt javasolta, hogy az EU-ban működő bankoknak azonnal vissza kell téríteniük az ügyfeleknek a phishing támadások során ellopott pénzt, még akkor is, ha a csalás részben az ügyfél hibájából történt. A vélemény egy konkrét lengyel jogvita kapcsán született, amelyben egy ügyfél egy hamis banki bejelentkezési oldalra adta meg adatait, majd a csalók jogosulatlan átutalást hajtottak végre a számlájáról. A bank a visszatérítést megtagadta, arra hivatkozva, hogy az ügyfél gondatlansága okozta a kárt.
A főtanácsnok értelmezése szerint az EU Payment Services Directive szabályozása egyértelműen kimondja, hogy jogosulatlan tranzakció esetén a banknak először vissza kell fizetnie az összeget, kivéve ha megalapozott gyanú merül fel arra, hogy maga az ügyfél követett el csalást. Amennyiben ilyen gyanú van, azt a pénzintézetnek írásban jelentenie kell a megfelelő nemzeti hatóságnak. Ez a megközelítés lényegében a refund first, investigate later elvet követi.
A javaslat azonban nem jelenti azt, hogy az ügyfél minden esetben véglegesen mentesül a felelősség alól. Ha a bank később bizonyítani tudja, hogy az ügyfél szándékosan vagy súlyos gondatlansággal megszegte a biztonsági kötelezettségeit, például megosztotta hitelesítési adatait vagy PIN-kódját, akkor a bank visszakövetelheti a kifizetett összeget, szükség esetén bírósági úton.
Fontos jogi részlet, hogy a főtanácsnoki vélemény nem kötelező erejű ítélet, hanem iránymutatás a luxembourgi bíróság számára. A Court of Justice of the European Union (CJEU) végső döntése később születik meg, de a gyakorlatban az ilyen vélemények gyakran jelzik a várható ítélkezési irányt.
