Vajon mi történhetett tegnap délután, amikor az Apple egyes magyarországi felhasználóinak számláit indokolatlan terhelésekkel sorozta meg az Apple Pay, így többeknek pár ezer, vagy akár több százezer forintos kárt okozva – ennek jártunk utána Qayum Dániel, a Peak tanácsadójának segítségével.

Mi az az Apple Pay? Mire jó? Mit csinál?

Az Apple Pay lényegében a készpénzt és a fizikai bankkártyákat kiváltó szolgáltatás, amely lehetővé teszi, hogy fizessünk. Nem egy önálló fizetési rendszer, a bankok, a kártyatársaságok és a többi fizetési szereplő által fenntartott rendszerben él, velük együttműködésben tud csak működni. Így az Apple felelőssége mellett fontos minden szereplőnek a felelősségét is megvizsgálni.

Mi történt?

Az Apple magyar felhasználóinak számláiról olyan összegeket vontak le kártyás tranzakciókon keresztül, amelyek mögött nem volt valódi tranzakció – valószínűleg főleg már lemondott, vagy éppen nem aktuálisan kifizetendő előfizetések után vonhattak le különböző összegeket.

Másik fontos része a történetnek, hogy a felhasználók nem kaptak számlát – ha egy szolgáltatást kifizetünk, ott számlát kell kapnunk a tranzakcióról.

Ki a felelős?

Ennél a kérdésnél érdemes első körben átvenni, hogy „kik” is vesznek részt egy ilyen Apple Payen keresztüli tranzakcióban:

a vásárló,

a vásárlónak a bankja,

a kereskedő,

a kereskedőnek a bankja,

a kártyatársaság, a fizetési hálózat (a Mastercard, a Visa, vagy adott esetben az American Express), amely mindezt „összefogja”,

és ott volt az Apple az Apple Payen keresztül,

valamint a „payment processor”, azaz a fizetéseket feldolgozó szolgáltató,

(továbbá az egyes szereplők és a köztük zajló folyamatok között még lehetnek más cégek is.)

A hazai bankok felelősségét valószínűleg kizárhatjuk, ugyanis úgy fest, nem náluk van a probléma – közülük több már meg is szólalt az ügyben, lásd a keretes írásunkat –, ráadásul volt olyan eset is, hogy egy külföldi bank által kibocsátott kártyánál fordult elő hasonló eset egy magyar felhasználónál. A bankok felelőssége ebben a történetben erősen limitált, úgy tűnik, hogy megtesznek mindent, amit tudnak – például azzal, hogy különböző tippeket adnak a felhasználóknak, hogyan járjanak el ilyen esetekben, ezt mát most is többen megtették.

Fontos megemlíteni még az Apple Pay „tokenizációs” folyamatát is, mert itt is bejöhetett a képbe egy probléma. Amikor egy felhasználó beregisztrálja bankkártyáját az Apple Pay-be, akkor a bankkártya érzékeny adatai egy egyedi karaktersorrá, egy tokenné alakulnak – az Apple Pay esetén DAN ennek a tokennek a neve. Ezt a tokent minden egyes tranzakciónál használják egy tranzakciónként mindig egyéni biztonsági kóddal együtt. Potenciálisan a tokenek által tárolt információ közvetítésében, kezelésében, tárolásában is bekövetkezhetett egy probléma, ami előidézte a szóban forgó helyzetet.

Az első feltételezések alapján akár a payment processornál is lehetett a hiba, ugyanis ezek a cégek dolgozzák fel az egyes tranzakciókat. Ez a cég segíti az információáramlást egy tranzakció kapcsán, és lehetséges, hogy az eltárolt tokeneknél merült fel valamilyen probléma, de egyelőre ezek is csak találgatások.

Előfordulhat ilyen eset más fintechnél is?

Alacsony a valószínűsége, de ha egy payment processornál van probléma, akkor a fintechek is kiszolgáltatottak. Sőt, fintech-cégek is lehetnek „károsultak” a történetben: például volt olyan felhasználó, akinek a Wise-kártyáját terhelte meg indokolatlanul az Apple Pay, de hallottunk már Revolut-kártyát ért terhelésről is. „Hiába nem csináltak semmit sem rosszul”, mégis megkárosultak ennek a két fintechnek az ügyfelei is.

Mi a valószínűsége?

Egy ilyen esetnek nagyon alacsony a valószínűsége, de látjuk, hogy mégis megtörténhet. Egy ekkora cégnél viszont nem beszélhetünk óriási problémáról, sajnos: az Apple-nek az év elején több mint 2,2 milliárd aktív készüléke volt világszerte, Magyarországon összesen él 10 millió ember, a kaliforniai cégnek pedig 16 százalékos részesedése van itthon, tehát arányaiban nézve ez nem egy „óriási” probléma, legalábbis az Apple-nek nem. Tegyük is hozzá gyorsan, hogy egyébként ez a probléma nem minden magyar Apple-felhasználót érintett, hanem egyelőre egy ismeretlen hányadát. „Az egyén szintjén, akiktől nagyobb összegeket vontak le a számláról, ott ez nyilván egy komoly problémát okozhat, de egy ekkora vállalatnál ez nem tűnik óriási problémának.”

Megszólaltak a bankok



Az



Az



Több más bank is technikai problémáról ír.

Az OTP az Indexszel azt közölte, hogy információik szerint „több bankkártya-kibocsátó kártyáival több banknál tömeges, indokolatlan terhelések történtek". Szakembereik megtették a szükséges intézkedéseket, és felvették a kapcsolatot az Apple-lel is.

Az MBH Bank oldalán azt közölte, hogy „külső technikai hiba" miatt az Apple alkalmazásboltja egyes ügyfeleik bankkártyáit tévesen megterhelte. Az MBH is jelezte a problémát az Apple felé, és megtették a szükséges lépéseket. Közölték azt is, hogy „a téves tranzakciók jóváírásáról" később tájékoztatják az ügyfeleket.

Az Erste automatikus visszatérítést ígért ügyfeleinek, miután „egy külső partnernél bekövetkezett technikai probléma miatt az Apple alkalmazásboltja tévesen hajtott végre tranzakciókat és terhelte meg" több ügyfelük kártyáját. Mint írják, az érintett ügyfeleknek „további teendője nincs", a téves tranzakciókat automatikusan törölni fogják.

Több más bank is technikai problémáról ír.

A bankok állításait erősíti a Portfoliónak az az értesülése, miszerint a pénzintézetek és a kártyatársaságok tegnap este óta folyamatosan dolgoznak az ügyön, de „egyelőre keveset tudni”. A portálnál úgy tudják, hogy nem kibertámadásról, és nem csaló tranzakciókról van szó, hanem belső technikai hiba történt (azaz adatok nem kerültek illetéktelen kezekbe) – egyszerűen régebbi tranzakciókat terhelt újra az Apple.

Az ügyben kerestünk a jegybankot is, későbbre ígértek választ, amint az megjön, cikkünket frissítjük.