Az ügyvezetői felelősség és a digitális biztonság

Az ügyfélkapu és a cégkapu kapcsolata

Cégkapu szabályos kezelése elválaszthatatlan az ügyvezetői felelősség kérdésétől. Ez a kapcsolat a gazdasági társaságok jogszerű működésének egyik alapköve. A hozzáférés biztosítása nem puszta adminisztráció, hanem a vezetői gondosság kritikus mérőfoka. Aki ügyvezetőként nem látja át a cégkapu és a magánszemély digitális profiljának jogi elhatárolását, az saját ügyvezetői felelősségét veszélyezteti. 2025-től ez a fogalmi zavar súlyos következményekkel járhat. Az egységes digitális azonosítás szigorodása miatt ez már nem technikai hiba, hanem közvetlen, személyes vagyoni kockázat.

A digitális közigazgatás átalakulásával és az egységes azonosítási rendszerek (KAÜ) bevezetésével kritikus fontosságúvá vált a fogalmi tisztánlátás. Aki nem érti a magánszemély és a cég digitális kapcsolódásának jogi természetét, az nemcsak a vállalkozását, hanem saját magánszféráját is kiszolgáltatja.

Az egységes állami azonosítás jogi természete

Fontos tisztázni, hogy az elektronikus ügyintézési rendszerben sosem létezett önálló, személytől független „céges” belépés. A bejelentkezés mindig egy egységes állami azonosítási felületen keresztül, egy konkrét természetes személy azonosításával történik. Ez ma már szigorúbb, emelt szintű hitelesítési módokat – például Ügyfélkapu+ kétfaktoros azonosítást vagy DÁP mobilalkalmazást – követel meg. Bár ezek technikailag eltérő megoldások, jogilag ugyanazt jelentik: a rendszer alapja a személyhez kötöttség, ami kizárja a belépési adatok informális megosztását.

A KAÜ-azonosítás szintjei: Melyiket használja az ügyvezető?

A Központi Azonosítási Ügynök (KAÜ) felülete ma már kizárólag emelt biztonsági szintű belépési lehetőségeket kínál. A hagyományos, csak jelszót igénylő belépés megszűnt. Ez a technológiai váltás kényszerhelyzet elé állítja a cégeket: a „jelszóátadás” a gyakorlatban nehézkessé, sőt kockázatossá vált.

1. Ügyfélkapu+ (Hitelesítő alkalmazással) Ez a legelterjedtebb kétfaktoros megoldás. A felhasználónév és jelszó mellett egy mobilalkalmazás (pl. Google Authenticator, NISZ hitelesítő) által generált, percenként változó számkódot is meg kell adni.

  • A „közös használat” vége: Mivel a kód folyamatosan változik, a könyvelő nem tud belépni az ügyvezető segítsége nélkül, hacsak nem telepítik az ő telefonjára is a kódot – ezzel viszont az ügyvezető adja ki a kezéből a teljes kontrollt.

2. Ügyfélkapu+ (E-mailes kóddal) Sokan ezt választják a kényelem miatt. Itt a második biztonsági kód nem applikációba, hanem e-mailben érkezik a felhasználó privát fiókjába.

  • Rejtett kockázat: Bár technikailag könnyebben megosztható (pl. a könyvelő is hozzáfér a vezető e-mailjéhez), ez biztonsági rémálom. Ha a könyvelő látja a vezető e-mailjeit is, akkor nemcsak a Cégkapuhoz, hanem a vezető legszemélyesebb digitális levelezéséhez is kulcsot kapott.

3. Digitális Állampolgárság (DÁP mobilalkalmazás) Ez a legmodernebb és legbiztonságosabb azonosítási forma. A belépés jelszómentes, kizárólag a felhasználó mobiltelefonjával és biometrikus azonosításával (arcfelismerés vagy ujjlenyomat) történik, egy QR-kód beolvasásával.

  • Ügyvezetői szempont: Mivel a belépéshez fizikailag szükséges az ügyvezető telefonja és arca, ezt a jogosultságot lehetetlen átruházni. Aki DÁP-ot használ, annak kötelező a könyvelőt szabályosan meghatalmazni a Rendelkezési Nyilvántartásban.

A cégkapu és az ügyfélkapu elhatárolása

A gyakorlatban tapasztalható legnagyobb kockázat abból fakad, hogy a felhasználók összemossák a hivatalos tárhelyet a belépési jogosultsággal. A cégkapu a gazdasági társaság hivatalos elektronikus kapcsolattartási felülete, jogi értelemben a cég kézbesítési címe. Ide érkeznek a joghatást kiváltó hivatalos iratok, így különösen a NAV határozatai, a fizetési meghagyások vagy az önkormányzati adóügyekkel kapcsolatos döntések. Fontos rögzíteni, hogy a cégkapu önmagában nem nyitható, nem rendelkezik önálló jelszóval. Ezzel szemben az ügyfélkapu (illetve a DÁP profil) a természetes személy digitális személyazonossága. A cégkapuhoz kizárólag egy azonosított természetes személy férhet hozzá a saját profilján keresztül. A rendszer minden esetben azt vizsgálja, hogy ki az a konkrét személy, aki a belépést kezdeményezte.

A személyazonosság átruházásának kockázatai

Amikor az ügyvezető az emelt szintű azonosításhoz szükséges eszközeit – például a jelszavát és a hitelesítő kódját – átadja a könyvelőnek vagy egy munkatársnak, valójában nem feladatot delegál, hanem a saját digitális személyazonosságát ruházza át. Ebben az esetben a cégkapuba történő belépés és az elektronikus nyilatkozatok megtétele jogilag az ügyvezető saját, személyes cselekedetének minősül.

Gyakorlati példa a vagyonbiztonsági kockázatra

A kockázat súlyát egy praxisomból származó eset szemlélteti a legjobban. Egy ügyvezető a gyorsabb ügymenet érdekében átadta belépési kódjait a könyvelőnek. A könyvelő később – az ügyvezető tudta nélkül – önellenőrzést nyújtott be, amelyben jelentős összegű fizetendő általános forgalmi adót vallott be. Mivel a bevallást az ügyvezető kódjával küldték be, a rendszer naplója szerint az ügyvezető járt el. A NAV azonnali beszedési megbízást (inkasszót) nyújtott be a cég számlájára, az ügyvezető pedig nem tudta bizonyítani, hogy nem ő hagyta jóvá a tranzakciót.

Adatvédelmi és büntetőjogi aggályok

A belépési adatok átadásával a meghatalmazott korlátlan hozzáférést nyer az ügyvezető magánszférájához is. Mivel a rendszer nem különíti el a céges és magánügyeket a belépésnél, az „ügykezelő” szabadon megtekintheti az ügyvezető egészségügyi adatait (EESZT), személyes adóbevallásait (eSZJA) vagy vagyoni nyilvántartásait. Ezen felül a más nevében történő eljárás – szabályos meghatalmazás hiányában – büntetőjogi felelősséget is felvethet. A digitális azonosítóval való visszaélés, illetve a más nevében tett hamis nyilatkozat akár közokirat-hamisításnak vagy személyes adattal való visszaélésnek is minősülhet.

A kézbesítési vélelem csapdája

A cégkapu kezelésének egyik legkritikusabb pontja a kézbesítési vélelem. A hivatalos iratok megnyitásával a kézbesítés joghatályosan megtörténik, és elindulnak a jogvesztő határidők. Ha a könyvelő az ügyvezető kódjával nyit meg egy fizetési meghagyást vagy határozatot, de elmulasztja a tájékoztatást, a fellebbezési határidő észrevétlenül telhet el. A jogerő beállta után a követelés végrehajthatóvá válik, az ügyvezető pedig nem hivatkozhat arra, hogy nem szerzett tudomást a küldeményről, hiszen a rendszer szerint ő maga vette át azt.

A megoldás: szabályos delegálás a Rendelkezési Nyilvántartásban

A Polgári Törvénykönyv szerinti gondos ügyvezetői magatartás megköveteli a jogosultságok szabályos rendezését. A helyes eljárás szerint az ügyvezető nem a saját kódjait adja át, hanem a Cégkapu adminisztrációs felületén (tárhely-hozzáférés biztosítása), illetve a magyarorszag.hu-n elérhető Rendelkezési Nyilvántartásban (meghatalmazás az ügyintézésre) keresztül rendezi a jogosultságokat. Ebben az esetben a könyvelő vagy a levelek kezelésével megbízott munkatárs a saját ügyfélkapus azonosítójával lép be a rendszerbe. Így a tevékenységük személyre szabottan, pontosan naplózott, a felelősségi körök elválnak, és az ügyvezető magánszférája is biztonságban marad. A biztonság maximalizálása érdekében javasolt továbbá a Cégkapu beállításaiban az automatikus e-mail értesítések bekapcsolása a vezető saját e-mail címére is, így a hivatalos iratok érkezése feletti kontroll minden esetben az ügyvezető kezében marad.

Szakértői támogatás a digitális biztonságért

A cégkapu jogosultságainak szakszerű rendezése nem csupán adminisztráció, hanem az ügyvezetői vagyonvédelem első vonala. A szabálytalan gyakorlatok felszámolása és a felelősségi körök tisztázása komplex adójogi és cégjogi felkészültséget igényel. Amennyiben auditálni szeretné cége jelenlegi gyakorlatát, vagy jogi védelmet keres az ügyvezetői felelősség kockázataival szemben, állunk rendelkezésére. Forduljon hozzánk bizalommal a honlapunkon szereplő elérhetőségeinken!

dr. Szőke Ágnes Éva LL.M.
ügyvéd/adójogi szakjogász