Ha frissítések nem is, a jog legalább védi a vásárlót?

A Stagefright balhé óta nem győzzük hangsúlyozni az okostelefonok biztonságának jelentőségét - és az azt figyelmen kívül hagyó gyártók felelőtlenségét. A biztonsági frissítések elsősorban az okostelefon-piacot uraló Android esetében jelentenek problémát, a nyílt forrású rendszert ugyanis számos gyártó használja, amelyek sokszor már közvetlenül az eszköz piaci rajtja után hajlamosak elengedni a szoftver kezét - szemben az Apple-lel, amely készülékeire hosszú távon is támogatást biztosít.

A helyzetet súlyosbítja, hogy a  Google már több mint egy éve havi rendszerességgel foltozza az Android biztonsági réseit, a vállalatoknak tehát még csak nem is maguknak kellene azokat levadászni, azokat a Google készen biztosítja.

A cégek sokszor mégis úgy ítélik meg, hogy nem éri meg erőforrásokat "pazarolni" erre, így modellek tucatjai maradnak érdemi foltozás nélkül. Különösen igaz ez a belépő-, középszintű okostelefonok esetében, amelyek szinte soha nem kapják meg az aktuális javításokat, jelenleg tehát nagyon úgy néz ki, ha a frissítések meg is érkeznek, azok a felső kategóriás modellek privilégiumai, azok a felhasználók akik nem tudnak vagy nem akarnak komolyabb összegeket kicsengetni a csúcsmodellekért, a biztonságról is lemondhatnak.

Felmerül tehát a kérdés, jogilag milyen felelősség és kötelezettség terheli az egyes gyártókat és mit tehetnek a vásárlók, ha netán kár érné őket valamely nyitva hagyott sebezhetőség miatt. Az ügyben több szakértőt is megkérdeztünk, a válasz pedig sajnos az, hogy egyelőre nem sokat. Miután viszonylag friss területről van szó, az egyelőre rendkívül ingoványos is, pedig bőven lenne helye rajta a szabályozásnak. Az általunk megkérdezett szakértők egytől egyig azt mondták, hogy hazánkban még egyáltalán nem volt rá példa, hogy valaki hasonló panasszal élt volna - de még a nemzetközi gyakorlatban se nagyon.

Ez több okra is visszavezethető, ezek közül talán a legjelentősebb és egyben legfájdalmasabb, a felhasználók alulinformáltsága. Az okostelefonok tulajdonosainak jelentős része távolról sincs tisztában a biztonsági frissítések jelentőségével, vagy hogy egyáltalán kapnia kellene-e azokat készülékére. A gyártók nem sietnek hangsúlyozni a nyitva hagyott sebezhetőségek veszélyeit, mint a személyes, vagy épp pénzügyi adatok illetéktelen kézbe jutása, azoknak a felhasználóknak pedig, akik nem néznek utána tudatosan a témának nem sok esélyük van a tájékozódásra. Ezen a téren persze a vállalatok nem vonhatók felelősségre, hiszen a potenciális veszélyekről való tájékoztatás nem is tartozik a kötelezettségeik közé. De pontosan milyen kötelezettségeik vannak a gyártóknak?

Csak ha kőbe van vésve

Azt érdemes az elején tisztázni, hogy nem minden esetben kell rögtön a gyártónál kopogtatni, ha valami probléma van az eszközzel. A gyári hibás vagy nem megfelelően működő készülékekkel először a kereskedőhöz, vagy mobilszolgáltatóhoz (az eladóhoz) kell fordulni, amelytől azt vásároltuk, a gyártóhoz pedig akkor, ha közvetlenül attól vettük az eszközt. A termékre a kereskedő két év szavatosságot és egy év jótállást köteles adni Magyarországon (egy évig szavatosság és jótállás is, egy évig pedig a szavatosság vehető igénybe).

Az azonban, hogy ezek egészen pontosan mire is jogosítják fel a vásárlót, korántsem mindig egyértelmű. Ahogy Siklósi Máté, a Consumer Protection Contact vezető tanácsadója is rámutatott, nagyon ingoványos területről van szó, nincs hajszál pontosan kodifikálva, hogy egy-egy terméktől pontosan mi várható el - ez egyébként nem csak a hasonló elektronikai eszközökre igaz, de lényegében bármire. Alapvetően az "üzembiztos működés" amit elvárhatunk az eszközöktől, ugyanakkor nincs arra egyértelmű gyakorlat, hogy egy készülék viselkedése mikor esik bele ebbe a kategóriába.

A probléma ott kezdődik, hogy mit jelent mobiltelefonok esetében a megkövetelhető, rendeltetésszerű működés, hiszen a készülékek használata ma már messze nem csak a telefonálásra korlátozódik. El kell különíteni a készüléket, az operációs rendszert és az alkalmazásokat a felelősségi körök tekintetében - Siklósi Máté szerint azt gondolhatja a vásárló, hogy ha a telefont szoftverrel adják el neki, akkor az is benne van az árban, így lehetnek ezzel szemben követelései a cég felé. Valójában minden esetben abból kell kiindulni, hogy mi szerepel a dokumentumokban, például a használati utasításban és a felhasználói szerződésben.

Jogilag egyáltalán nincs szabályozva, hogy a gyártónak mi a kötelezettsége, csak azokat a feltételeket lehet rajta számon kérni, amelyeket önkéntesen vállal - hívta fel a figyelmet Dr. Kóródy Dávid, a Békéltető Testület hivatalvezetője. Ezek a feltételek általában a használati útmutatóban vagy a legtöbbször egyetlen kattintással vagy bökéssel örökre eltemetett felhasználási feltételekben szerepelnek, így a fogyasztónak alaposan el kellene olvasni a dokumentumokat már vásárláskor, és főleg ha felmerül a problémája.

A panaszos a gyártó önként tett vállalásait kérheti számon, ebbe a kategóriába tartozik a fenti dokumentumok mellett a cég szinte bármilyen hivatalos kommunikációja, például sajtóközleménye, weboldalán vagy hivatalos blogján közzétett nyilatkozata és még a reklámok is, ha például azt a megfogalmazást használják, hogy “az év legbiztonságosabb készüléke”. Ilyen esetekben lehet rá hivatkozni, hogy valaki csak ezért vásárolta meg a telefont - a gyártók viszont ilyet ritkán közölnek, nem véletlenül.

Biztonsági frissítésre vonatkozó kötelezettsége sincs a gyártónak alapjáraton, csak ha azt a saját önkéntes vállalásai közt rögzítette korábban valahol. Ha a fogyasztó ezt követően panaszt tesz, akkor is esetről estre változhat az ítélet sok körülménytől függően, a bíró döntése alapján. Egy hétköznapi példára vonatkoztatva, ha elkopik a cipőnek a talpa, akkor is mérlegelni kell, hogy annak egyformán el kell-e bírnia a különböző testsúlyú és a csoszogó embereket - magyarázta Siklósi.

Bizonyíték nélkül meg sem történt

Ha felmerül, hogy a készülékben valamilyen kár keletkezett a biztonsági frissítések hiánya miatt, akkor a fogyasztónak mindenképp bizonyítania kell a hibát, de trükkös kérdés, hogy ezt ki és hogyan tudná megtenni - akár a hardveres, akár a szoftveres problémáról van szó. A kereskedő felé azt kell bebizonyítani, hogy a telefon átadáskor még hibátlanul működött, és ebben az esetben a cég cseréli vagy javítja a készüléket

Másik eset, mikor a szoftverfejlesztő gondatlanságából következett a kár, ekkor válik ingoványosabbá a talaj. A felhasználónak bizonyítania kellene az okot, az okozatot illetve a közöttük lévő összefüggést vagyis hogy a szoftveres probléma amiatt keletkezett, hogy a szoftverfejlesztő gondatlanul járt el. Mikor zárat veszünk, akkor elvárjuk tőle, hogy tényleg zárként funkcionáljon - de ha egy okoszárat feltörnek, felvetésünkre azt válaszolta dr. Kóródy Dávid, hogy ügyvédként inkább a gyártó oldalán szeretne lenni, mert a fogyasztó nehezen tudná bizonyítani, hogy az IT akkori állása szerint a zár már kijátszható volt. “Biztonsági oldalról semmi nem várató el a gyártótól?” “Lényegében semmi!” - hangzott a Békéltető testület hivatalvezetőjének elkeserítő következtetése.

Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

Külön kategóriának számít, mikor a felhasználónak valamilyen további vesztesége keletkezett a készülék hibás működése mellett. Ilyenkor pénzügyi vonzatú, vagy vagyoni kárral nem járó sérelem érheti a vásárlót, például adatvesztés. Az elsődleges felelős ekkor a bűnöző, aki a lopást elkövette, ellene irányul a nyomozás. “Ha feltörik a telefont, akkor harmadik személy általi károkozásról van szó, és ez bűncselekménynek számít. Mindig az ügytől függ, hogy ki a felelős.” - hangsúlyozta dr. Hajnal Zsolt, a Fogyasztóvédők Magyarországi Egyesületének elnöke.

A legjobb, ha a felhasználó semmilyen szintű biztonságot nem vár el készüléktől, és saját maga tesz megelőző lépéseket. A bíróság is minden tárgyaláson azt vizsgálja, hogy a sértett megtett-e minden óvintézkedést, például antivírus szoftvert letöltött-e, a rendelkezésre álló frissítést telepítette-e, vagy elkerülte-e a gyanús weboldalakat mielőtt a támadás érte. Párhuzamba állítva, ha bankkártyás visszaélés történik, akkor a bank akkor mentesül a visszafizetés alól, ha bebizonyítja, hogy a felhasználó súlyosan csalárd módon vagy gondatlanul járt el - akár kiadta a bankkártyájához tartozó PIN kódot vagy odaadta másnak a kártyáját. Felhozható mentségként, hogy volt egy olyan biztonsági frissítés, amit nem adtak ki, de ez csak egy elem a sok közül.

Biztonsági hibákból adódó problémák esetén jó esély van rá, hogy a gyártó, szolgáltató vagy kereskedő vis maiorra hivatkozik, azaz "elháríthatatlan", vagy előre nem látható problémáról beszél. Arról, hogy az eset valóban ebbe a kategóriába tartozik-e megint a bíróságé a végső szó, a törvényes keretek alapján nincs egyértelmű helyzet. Az általunk megkérdezett szakértők szerint a amennyiben a készülékbe valamilyen biztonsági hibát kihasználva illetéktelenek behatolnak és ezáltal kár éri a felhasználót, a gyártót csak akkor terhelheti felelősség, ha a technológia akkori állása szerint elhárítható lett volna a támadás.

Ez a megfogalmazás persze megint nem sokat segít a felhasználón, hiszen a gyártóknál a műszaki feltételek nyilvánvalóan adottak az általuk használt szoftverek biztonsági réseinek bezárásához, azok jellemzően az erőforrások, illetve a fejlesztésre fordított megfelelő idő hiányában csúsznak át a nagyvállalatok szűrőin. Ennek fényében a fentiek inkább úgy értelmezhetők, hogy a gyártó számára rendelkezésre állt-e a javítás a támadás bekövetkeztekor, az annak során kihasznált biztonsági hibára. Ne gondoljuk ugyanakkor, hogy egyből kattan a bilincs a gyártó csuklóján, ha az a hibával tisztában volt és a javítás is rendelkezésére állt, de azt nem adta ki készülékeire - ilyen lehet például a Google által havonta kiadott, ám az Android platformra építő gyártók által jellemzően figyelmen kívül hagyott biztonsági frissítések esete. A cég még ilyenkor is hivatkozhat rá, hogy nem tett hivatalos ígéretet a frissítések alkalmazására - ahogy arra már korábban kitértünk - így az azok hiányából adódó károkért sem feltétlenül terheli felelősség.

Igaz a precedensjog inkább az Egyesült Államokból lehet ismerős, egy, a fentihez hasonló esetben Európában is sokat nyomhat a latban, hogy volt-e már valamilyen bírósági ítélet hasonló esetekben. A megkérdezett szakértők egyöntetűen ezt jelölték meg, mint a vásárlók egyik legjobb lehetséges fogódzóját hasonló esetben - csak épp egyelőre nem ismerünk ilyen ügyet régiónkban. De szintén segíthet a mérleg nyelvének elmozdításában a szolgáltatók és gyártók általános gyakorlata: Siklósi Máté szerint hivatkozási alap lehet például, ha a cégek nagy többsége biztosítja a frissítéseket és foltozza a kérdéses hibákat, és sajnos az is, ha azt oroszlánrészük nem teszi meg. Ez védelmi vonalaik megerősítése helyett épp azok elhanyagolására motiválja a gyártókat.

A konklúzió tehát, hogy nincs konklúzió. A kérdésben még a szakértők is jórészt sötétben tapogatóznak, arra egy vállalkozó kedvű vásárló által indított próbaper vethetne leghamarabb némi fényt, amely akár valamelyik gyártó vagy szolgáltató bevonásával, azzal előzetesen megegyezve járná végig egy hasonló ügy lépéseit, a végén egy precedensértékű ítélettel, amelyhez aztán a teljes iparág igazodhatna. Amíg azonban ilyen nem születik, szakértőink - és szerkesztőségünk - egyöntetű véleménye szerint a tudatos, körültekintő készülékválasztás és a megelőzés a legjobb: azaz igyekezzünk olyan gyártóktól vásárolni, amelyekről tudható, hogy nem hanyagolják el a frissítéseket, és akárcsak PC-n, az okostelefonos online tevékenység során se higgyük el, hogy mi voltunk az egymilliomodik látogató.