Tapahtumatiedot

Asiakas on joutunut huijauksen uhriksi helmikuussa 2024. Hän on sijoittaak-seen varojaan maksanut 250 euron suuruisen maksun, asentanut laitteelleen AnyDesk-etäkäyttösovelluksen ja sallinut laitteensa etäkäytön. Hänen pankkitunnuksensa on suljettu 21.2.2024 niiden päädyttyä ulkopuolisen tie­toon. Pankkitunnukset on uusittu pankin toimipisteellä 23.2.2024 klo 9.22. Lähes välittömästi tämän jälkeen klo 09.45 asiakkaan nimissä on otettu käyt­töön uusi pankin tunnistussovellus rikollisen toimesta. Pankin tunnistussovelluksen käyttöönotto on edellyttänyt, että käyttöönoton tehneellä taholla on ollut hallussaan asiakkaan pankkitunnusten osat eli käyttäjätunnus, salasana ja vaihtuva avainlukulistan numero. Lisäksi sovelluksen käyttöönotto on täytynyt vahvistaa aktivointikoodilla, joka on lähetetty asiakkaalle tekstiviestitse.

Käyttöönoton jälleen asiakkaan tilillä on tehty omien tilien välisiä siirtoja, 12 900 euron suuruinen tilisiirto ulkomaille sekä nostettu luottoa 15 000 euroa. Luottoa ei ole kuitenkaan käytetty, sillä pankkitunnukset on suljettu en­nen kuin rikollinen on ehtinyt siirtämään luoton pois asiakkaan tililtä.

Kirjautuminen pankin verkkopalveluun ja reklamoidut tapahtumat on vah­vistettu 23.2 käyttöönotetulla tunnistussovelluksella. Lisäksi maksun vahvis­tamiseksi ja luoton nostamiseksi on tarvittu erilliset vahvistuskoodit, jotka on lähetetty asiakkaalle tekstiviestitse. Asiakkaan pankkitunnukset on sul­jettu 23.2.2024 klo 12.25. Asiakkaan reklamoima tapahtuma on tehty ennen pankkitunnusten sulkemista.

Asiakkaan tunnukset on avattu uudelleen pankin konttorilla 26.2.2024. Asi­akkaan tunnukset on suljettu jälleen 1.3.2024. Uudet tunnukset on avattu 4.3.2024, ja samana päivänä muutamaa tuntia myöhemmin tunnukset on jälleen suljettu.

Asiakkaan valitus

Asiakas vaatii 12 900 euron suuruisen ulkomaan maksun palauttamista.

Asiakas on joutunut bitcoin-sijoitushuijauksen uhriksi tehtyään 250 euron suuruisen maksun. Häneltä pyydettiin pankkitunnuksia usean kerran, joita hän ei kuitenkaan luovuttanut. Tämän jälkeen ruudulle avautui pankin kirjautumissivu, jonne hän kirjoitti pankkitunnuksensa, koska hänelle kerrot­tiin, ettei kukaan muu näe tunnuksia, vaikka hän ne kirjoittaa. Avainlukulistan numeroa ei häneltä pyydetty.

Koneelle asennettiin AnyDesk-ohjelma, koska sijoitukseen tarvittiin kaksi erillistä sovellusta. Toinen oli Kraken, toista asiakas ei muista. Niissä näkyi erilaisia bitcoinrahastoja ja niiden arvoja. Asiakas ei voinut arvata, että nii­den avulla pääsisi myös pankkiohjelmaan. Hän ei ole tiennyt myöskään sitä, että AnyDesk-ohjelman lataaminen puhelimeen on mahdollistanut tilien tyhjentämisen.

Pankki vaihtoi asiointikielen englanniksi ja pyysi salasanoja, jotka hyväksy­tään samoilla viestissä näkyvillä numeroilla. Tämä on mahdollistanut rikolli­sen pääsyn asiakkaan tilille. Pankin olisi tullut suojata asiakkaan tilivarat pyy­tämällä avainlukulistan numeroita. Asiakas ei ole antanut avainlukulistan nu­meroita, eikä niitä ole kysytty. Edes pankin mobiilisovelluksen käyttöönotto ei edellytä avainlukulistan numeroita. Tältä osin asiakas viittaa pankin verkkosivuilla oleviin ohjeisiin ja varoituksiin. Lisäksi hänellä on ollut nostorajoitukset.

Hän ei ole myöskään saanut 23.2 tulleita viestejä, koska ne olivat salattuja, eikä asiakas olisi niistä mitään ymmärtänytkään, mutta epäilys olisi saattanut herätä. Vasta Elisan omaguru sai nämä salatut viestit auki jälkikäteen 26.2.

Asiakas ihmettelee, miksi pankki on ryhtynyt rajoitustoimenpiteisiin vasta tapahtumien jälkeen eikä ennen, jolloin lainan nosto ja ulkomaanmaksu olisi voitu perua. Hän soitti pankkiin 23.2.2024 klo 12.39, 13.24 ja 13.25. Hänelle kerrottiin kaiken olevan tallella eikä kerrottu mitään nostetusta lainasta. Kun hän meni pankkiin, totuus paljastui. Hän pyysi palauttamaan ulkomaanmaksun, koska ulkomaanmaksut eivät mene heti tililtä.

Asiakas vetoaa hyvään pankkitapaan, jossa pankki tuntee asiakkaansa ja hä­nen taloudellisen tilanteensa. Asiakas on 75-vuotias eläkeläinen, joka on ol­lut pankin asiakas yli 25 vuotta. Pankki tietää eläkkeen ja säästöjen määrän ja asumismuodon. Pankin pitäisi tietää, ettei hän tarvitse remonttirahaa eikä muuta lainaa. Lainan saaminen asiakkaan nimellä on ollut helppoa ja käy­täntö on muuttunut vuoden 2018 käytännöstä, jolloin asiakas on itse hake­nut lainaa. Silloin vaadittiin vakuus ja soitettiin asiakkaalle. Pankki olisi nytkin voinut toimia samoin. Asiakkaan mielestä pankki toimi nyt leväperäisesti.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset ja katsoo kokonaisarvion perusteella asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huoli­mattomasti pankkitunnuksiensa käytössä.

Pankin selvitys tapahtumista

Asiakas kertoo maksaneensa 20.2.2024 250 euroa kryptohuijauksessa, ja tapahtumaketjun alkaneen tästä. Asiakkaan kertoman mukaan häneltä pyy­dettiin pankkitunnuksia, joita hän ei luovuttanut. Asiakkaalle on tämän jäl­keen avautunut "pankin kirjautumissivu", jossa on kerrottu, ettei kukaan muu näe asiakkaan tunnuksia, vaikka hän ne kirjoittaa. Asiakas on kertonut kirjoittaneensa tunnuksensa ko. sivustolle ja antaneensa avainlukulistalta pyydetyn numeron.

Pankin selvityksen mukaan asiakkaan pankkitunnukset on edellisen kerran suljettu 21.2.2024. Pankin tietojen mukaan asiakas on saanut tällöin tie­toonsa, että kyseessä on ollut huijaus ja asiakkaan pankkitunnukset on jou­duttu vaihtamaan niiden päädyttyä ulkopuolisten tietoon. Asiakas on käynyt uusimassa pankkitunnuksensa pankin toimipisteellä 23.2.2024 klo 09.22.

Lähes välittömästi asiakkaan uusittua tunnuksensa, on asiakkaalle aktivoitu 23.2.2024 klo 09.45 uusi pankin tunnistussovellus. Kirjautuminen verkkopalveluun ja reklamoidut tapahtumat on vahvistettu tällä tunnistussovelluksella. Asiakkaan puhelinnumeroon on lähetetty pankin toimesta turvallisuussyistä seuraava tekstiviesti 23.2.2024 klo 09.43.04 :

LUE HUOLELLA! Tunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus] ja [pankin tunnistussovellus] puhelimessa, jonka nimeksi olet antanut Eijan puhelin. VARO HUIJAUKSIA! Älä anna koodia kenellekään tai millekään verkkosivulle. Jos toimit ohjeen vastaisesti, rikollinen voi saada käyttöönsä pankkitunnuksesi ja tehdä maksuja pankkitileiltäsi sekä asioida nimissäsi kai­kissa tunnistautumista vaativissa digipalveluissa. Jos epäilet huijausta, il­moita asiasta heti [pankki] Sulku-palveluun. Väärinkäytösten estämiseksi jatka vain, jos olet itse ladannut sovelluskaupastasi [pankin mobiilisovellus] ja olet ottamassa uutta [pankin tunnistussovellus] käyttöön. Vahvista käyt­töönotto puhelimessasi koodilla 03075 vain [pankin mobiilisovellus]. [pankki]

Pankin tunnistussovelluksen aktivoiminen on edellyttänyt, että aktivoinnin tehneellä taholla on ollut hallussaan kaikki asiakkaan pankkitunnusten osat eli käyttäjätunnus, salasana ja vaihtuva avainlukulistan numero. Avainlukulistan numero löytyy ainoastaan asiakkaan hallussa olevasta paperisesta avainlukulistasta eli muuta mahdollisuutta kuin se, että asiakas on sen luo­vuttanut, ei ole. Lisäksi sovelluksen aktivointi on täytynyt vahvistaa em. tekstiviestissä mainitulla aktivointikoodilla. Asiakas on kertonut avainlukulistan olleen hänen hallussaan.

Tämän jälleen asiakkaan tilillä on 23.2.2024 tehty omien tilien välisiä siirtoja. Tililtä on myös tehty yksi 12 900 euron suuruinen tilisiirto 23.2.2024 klo 11.45. Lisäksi asiakkaan tilille on nostettu luottoa 15 000 euroa. Asiakas on yhteydenotossaan FINElle kertonut, että hänen tilillään olisi ollut nostorajoitus, kun em. 12 900 euron tilisiirto on tehty, mutta pankin selvityksen mu­kaan kyseisellä asiakkaan tilillä ei ole ollut 23.2.2024 mitään nostorajoitusta.

Asiakkaan pankkitunnukset on suljettu 23.2.2024 klo 12.25. Pankin selvityk­sen mukaan kirjautuminen pankin verkkopalveluun, tilillä tehdyt siirrot ja ti­lille nostettu luotto on vahvistettu käyttäen vahvaa sähköistä tunnistamista. Kyseiset tapahtumat on vahvistettu käyttäen tunnistussovellusta. Lisäksi maksun vahvistamiseksi ja luoton nostamiseksi on tarvittu erilliset vahvistuskoodit, jotka on pyydetty asiakkaalta tekstiviestitse. Asiakkaalle on tunnistussovelluksen aktivoinnin jälkeen pankin toimesta lähetetty seuraavat tekstiviestit:

23.2.2024 klo 11.40.17
You're changing the account spending limit with your credentials. Confirm change by typing code 6622 in your app. [pankki]

23.2.2024 klo 11.46.00
You're paying 12900.00 EUR in our service into account GBXXXXXXXXXX.
Check the data and confirm in your app by typing code 9250. [pankki]

23.2.2024 klo 11.54.36
You are making a Special Consumer Credit agreement for 15 000 € Confirm the agreement by entering the code 0174 in your mobile app. [pankki]

23.2.2024 klo 12.10.36
You're changing the account spending limit with your credentials. Confirm change by typing code 4855 in your app. [pankki]

23.2.2024 klo 12.24.11
You're changing the account spending limit with your credentials. Confirm change by typing code 8255 in your app. [pankki]

Sen jälkeen, kun asiakkaan pankkitunnukset on suljettu 23.2.2024, asiakkaan tunnukset on avattu uudelleen pankin konttorilla 26.2.2024. Asiakkaan tun­nukset on suljettu jälleen 1.3.2024. Uudet tunnukset on avattu 4.3.2024, ja samana päivänä muutamaa tuntia myöhemmin tunnukset on täytynyt jäl­leen sulkea.

7.3.2024 asiakas on taas asioinut pankin konttorilla ja kertonut puhelimeensa asennetusta etäkäyttöohjelmasta. Tällöin asiakas on kertonut, että puhelin on puhdistettu ja siihen on hankittu tietoturvaohjelma, ja asiakkaalle on avattu uudet tunnukset.

Vaikuttaa siltä, että asiakkaan tunnukset ovat toistuvasti päätyneet jollakin tavalla ulkopuolisen tahon tietoon, ja tähän viittaa myös asiakkaalle 1.3.2024 pankilta toimitettu tekstiviesti koskien 12 900 euron suuruisen tilisiirron vahvistamista. Kun asiakkaan tunnukset on vaihdettu, on käytöstä poistunut myös 23.2.2024 asennettu tunnistussovellus. Taho, joka kyseisen tilisiirron on pyrkinyt 1.3.2024 tekemään, on täytynyt valita tapahtuman vahvistamistavaksi avainlukulistan käyttäminen, koska tunnistussovellus ei ole ollut enää käytössä. Maksu ei ole toteutunut, koska asiakas ei ole avainlukulistan numeroa luovuttanut.

Pankin arviointi asiasta

Asiassa on kyseessä tunnuksen haltijan törkeä huolimattomuus, jolloin asia­kas vastaa oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräi­sesti. Asiakas vastaa pankkitunnustensa huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt.

Pankki on varoittanut asiakkaitaan tietojenkalastelusta. Väärinkäytösten eh­käisemiseksi pankki on aktiivisesti varoittanut verkkopalvelutunnusten kalastelukampanjoista monilla verkkosivuillaan olevilla tiedotteilla. Asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tun­nuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta. Asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä varoitusten ja yleisen tietämyksen perusteella.

Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa tunnus- ja digisopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annettavalla ”Tärkeää tietoa [pankki] tunnuksistasi” -asiakirjalla sekä muutoinkin viestinnässään. Asiakas ei ole kertonut tarkemmin, miten hänen pankkitunnuksensa ovat päätyneet ulkopuolisen tahon tietoon. Jos asiakas ei ole itse aktivoinut tunnistussovellusta, jota on käytetty reklamaation kohteena olevien tapahtumien vahvistamiseen, sen aktivointi on edel­lyttänyt, että asiakkaan on täytynyt luovuttaa ulkopuolisen tahon tietoon hänen pankkitunnuksensa käyttäjätunnus ja salasana, sekä pyydetty avainlukulistan numero, joka löytyy ainoastaan asiakkaan itsensä hallussa olleesta paperisesta avainlukulistasta.

Tunnistussovelluksen aktivoinnin jälkeen kirjautuminen asiakkaan verkkopalveluun, 12 900 euron tilisiirto ja luoton nostaminen on vahvistettu tunnistussovelluksella. Tämän takia asiakkaalle lähetetyissä tekstiviesteissä 23.2.2024 klo 11.40.17 alkaen ei ole pyydetty avainlukulistan numeroa, vaan tekstiviesteissä on kerrottu numerokoodi, jonka syöttämällä tunnistussovellukseen pyydetty toimi voidaan vahvistaa. Nämä tekstiviestit on pankin toi­mesta lähetetty englanniksi, koska tunnistussovellus on vahvistettu laitteelle, jonka kielivalinta on ollut englanti. Se, että kyseisissä tekstiviesteissä ei ole pyydetty vahvistamista avainlukulistan numerolla ei siis johdu siitä, että tekstiviestit ovat englannin kielellä, vaan siitä, että kyseiset toimet on valittu vahvistettavan tunnistussovelluksella.

Asiakkaan toimittaman Elisa Omagurun lausunnon mukaan asiakkaan puhe­limeen on asennettu AnyDesk-sovellus. Lausunnon mukaan AnyDesk-sovellus mahdollistaa puhelimen etäkäytön ja käyttöä voidaan piilottaa. Lausun­non mukaan sovelluksen avulla huijarit ovat estäneet asiakkaan puhelimella pankin puhelinnumerot, jolloin pankin yhteydenotot eivät ole tulleet asiak­kaan nähtäväksi. On siis mahdollista, että asiakas ei ole itse nähnyt pankin hänelle lähettämiä tekstiviestejä tunnistussovelluksella tehtävistä vahvistuksista ja viesteissä mainitut vahvistuskoodit ovat sovelluksen kautta men­neet ulkopuolisen tahon tietoon. Pankin selvityksen mukaan AnyDesk-sovellus vaatii erikseen etäyhteyden hyväksynnän. Kyseessä ei ole sellainen haittaohjelma, joka voi toimia asiakkaan laitteella ilman erillistä hyväksyntää. Asiakkaan on siis täytynyt hyväksyä hänen puhelimensa etäkäyttö.

Pankkitunnusehdoissa sekä sopimuksen tekemisen sekä ehtomuutosten yh­teydessä annettavana ”Tärkeää tietoa [pankki] tunnuksistasi” -asiakirjalla pankki on ohjeistanut asiakkaita suojaamaan tunnuksensa niin, että ulko­puolinen ei näe asiakkaan näppäilemiä tai näytöllä olevia tietoja, ja varmis­tamaan, etteivät tiedot jää ulkopuolisen saataville. Samoin pankki on ehdois-saan kieltänyt, että asiakas ei saa luovuttaa tietokoneensa tai muun laitteensa etäkäyttöä ulkopuoliselle, kun asiakas käyttää laitteella tunnustaan tai sen osia. Pankkitunnusehdoissa kielletään pankin digitaalisten palvelui­den käyttäminen laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Asiakas on ehtojen vastaisesti hyväksynyt laitteelleen etäkäyttösovel-luksen asentamisen, jonka jälkeen ulkopuolinen taho on voinut käyttää so-vellusta hyväkseen ja saada näkyvyyden asiakkaan puhelinnumeroon lähe-tettyihin pankin tekstiviesteihin.

Se, että asiakas ei ole välttämättä itse saanut tietoonsa pankin tekstiviestitse toimittamia lisävahvistusviestejä, joissa mainitut koodit on vaadittu tunnistussovelluksella tehtäviin vahvistuksiin, ei muuta sitä tosiasiaa, että asiak­kaan on täytynyt ainoastaan omassa hallussaan olevasta avainlukulistasta vahvistaa tunnistussovelluksen asennus, ja luovuttaa ulkopuoliselle taholle asiakkaan pankkitunnuksen käyttäjätunnuksen ja salasanan. Ilman näitä tie­toja ulkopuolinen taho ei olisi pystynyt asentamaan tunnistussovellusta, kirjautumaan asiakkaan verkkopalveluun, tekemään 12 900 euron tilisiirtoa tai nostamaan asiakkaan tilille luottoa. Tämän lisäksi, kuten yllä on kerrottu, on asiakkaan tullut aktiivisesti antaa laitteensa etäkäyttö ulkopuoliselle. Pankki haluaa myös korostaa, että asiakkaan tunnukset on suljettu jo aikaisemmin hänen jouduttuaan huijauksen uhriksi. Pankki katsoo, että asiakkaan olisi tul­lut olla erityisen tietoinen huijatuksi tulemisen mahdollisuudesta, koska tämä ei ole hänelle ensimmäinen kerta. Asiakas on siis toistuvasti toiminut vastoin sitä, mitä huolelliselta maksuvälineen säilyttämiseltä ja käytöltä voi­daan edellyttää, mikä lisää hänen toimintansa moitittavuutta.

Pankki kertoo asiakkaan toimittaman verkkosivuilta otetun kuvakaappaukseen viitaten, että se kuvaa ohjeistuksen tunnistussovelluksen käyttämiseen sen jälkeen, kun tunnistussovellus on laitteelle aktivoitu. Tunnistussovelluksen aktivoinnin jälkeen tapahtumien vahvistaminen ei edellytä avainlukulistan käyttämistä, vaan tapahtumat voidaan valita vahvistettavan sovellusta käyttäen avainlukulistan sijaan. Tällöin asiakkaalta ei pyydetä avainlukulistan numeroa tapahtuman, esimerkiksi tilisiirron, vahvistami­seen, vaan hän saa sovellukseen vahvistuspyynnön, jonka hän voi hyväksyä itse valitsemallaan PIN-koodilla omalla mobiililaitteellaan. Tämän vahvistuk­sen lisäksi pankki voi turvallisuussyistä pyytää tapahtuman lisävahvistamista asiakkaan lisävahvistusnumeroon tekstiviestillä lähetettävällä numerokoodilla, kuten tässä tapauksessa on tehty.

Pankki kuitenkin korostaa, että tunnistussovelluksen aktivointi laitteelle käyttövalmiuteen edellyttää, että aktivoija syöttää sovellukseen pankin käyttäjätunnuksensa, salasanansa ja pyydetyn avainlukulistan numeron, sekä vahvistaa vielä sovelluksen käyttöönoton asiakkaalle tekstiviestitse lä­hetetyllä numerokoodilla. Sovellusta ei ole mahdollista aktivoida tietämättä asiakkaan pankkitunnuksen kaikkia osia, ja syöttämättä sovellukseen vain asiakkaan omassa hallussa olevasta fyysisestä avainlukulistasta pyydettyä vaihtuvaa avainlukua.

Avainlukulistan numeroa ei aina pyydetä erillisenä tekstiviestipyynnöllä, vaan se voidaan pyytää esimerkiksi suoraan tunnistussovelluksen aktivoinnin yhteydessä asiakkaan laitteen näytöllä. Pankin järjestelmistä saatujen tietojen mukaan kirjautuminen mobiilipankkiin tunnistussovelluksen aktivointia varten on pyydetty vahvistamaan 23.2.2024 klo 9.39.19 avainlukulis-tan avainluvulla ja kirjautuminen avainluvulla on vahvistettu klo 9.38.46.

Yhteydenotossaan asiakas vielä ihmettelee, miten 15 000 euron luotto on voitu nostaa hänen tililleen. Asiakkaan tiedoilla haettu luotto on voitu myön­tää, koska hakemuksessa ilmoitetut tiedot ovat pääosin vastanneet pankin tiedoissa olevia asiakkaan tietoja, eikä hakemuksen hylkäämiselle ole ollut perusteita. Pankki huomauttaa, että asiakkaan tilille nostettua luottoa ei käytetty, koska asiakkaan tunnukset on ehditty sulkea ennen kuin ulkopuo­linen taho on ehtinyt tehdä uuden tilisiirron. Asiakas on maksanut luoton pois.

Asiakkaan toimittama toisen kuvakaappauksen osalta pankki toteaa sen si­sältävän pankin digikanavissa näytettävän ilmoituksen, jolla pyritään varoittamaan asiakkaita varoituksessa kuvatuista huijauspuheluista. Varoituksessa kuvataan, millaisia tietoja huijari saattaa asiakkaalta kysyä, jotta asiak­kaat osaisivat tällaiseen puheluun varautua, mutta siinä ei luetteloida tyhjentävästi, mitä kaikkia tietoja huijari saattaa tiedustella. Varoitusteksti ei tarkoita, etteikö huijari voisi tarvita myös asiakkaan avainlukulistan numeroa varoituksessa mainittujen tietojen lisäksi.

Pankki katsoo, että asiakas on toiminut asiassa maksupalvelulain tarkoitta­matta tavalla törkeän huolimattomasti. Jos asiakas ei ole itse asentanut 23.2.2024 klo 9.38 tunnistussovellusta ja vahvistanut asiakkaan yhteydenoton perusteena olevia tapahtumia, asiakkaan on täytynyt pankin sopimusehtojen vastaisesti luovuttaa ulkopuolisen tahon tietoon pankkitunnuksensa käyttäjätunnuksen ja salasanan, sekä tunnistussovelluksen aktivoimiseksi vaadittavan avainlukulistan avainluvun vain omassa hallussaan olevasta fyy­sisestä avainlukulistasta. Asiakas on tunnuksen haltijana toiminut törkeän huolimattomasti myös hyväksyessään sopimusehtojen vastaisesti etäkäyttösovelluksen asentamisen laitteelleen, jolla hän käyttää pankkitunnuksiaan.

Pankki vetoaa vastauksessaan lisäksi maksupalvelulain soveltuviin säännök­set ja pankkitunnusehtonsa määräyksiin.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu mm. seuraavat asiakirjat:
- pankin tunnus- ja digisopimuksen ehdot
- Elisa Omaguru-lausunnot, 6.5.2024 ja 16.5.2024.
- kuvakaappaus pankin asiakkaalle lähettämistä vahvistusviesteistä.

Ratkaisusuositus

Kysymyksenasettelu

Asiassa on ratkaistava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toi­menpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökoh­taisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koske­vat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopi­muksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvolli­suutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoami­sesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käy­töstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti. Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käy­töstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen ka­toamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu il­moitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäi­vänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin tunnus- ja digisopimuksen ehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset - kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai pal­velu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräys­valtaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuk­sia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vas­taisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tun­nukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja var­mistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisis­taan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuu­luvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mah­dollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa. Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tie­toonsa.
[Pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla lait­teella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myös­kään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Asian arviointi

Tapahtumakulku

Asiakas on kertonut harhaanjohdettuna asentaneensa koneelleen ja puheli-meensa AnyDesk-etäkäyttösovelluksen ja myös kirjautuneensa pankin si­vulle, joka on avautunut ruudulle. Asiakas on kuitenkin kiistänyt käyttä­neensä avainlukulistan numeroita tai edes nähneensä pankin asiakkaalle lä­hettämiä vahvistuskoodin sisältäneitä tekstiviestejä. Asiakas on kantansa tu­eksi toimittanut lautakunnalla asiantuntijalausunnon, jonka mukaan etäkäyttö voidaan piilottaa muun muassa pimentämällä puhelimen näyttö.

Asiakkaan kertomasta ilmenee, että hän on yhden kerran kirjautunut pan­kille sivustolle ja tehnyt 250 euron suuruisen maksun sijoitustarkoituksessa, jolloin pankkitunnukset ovat päätyneet etäyhteyden välityksin rikollisille ja pankkitunnukset on suljettu. Asiakkaan kertomasta ei kuitenkaan ilmene, miten tai millä verukkeella rikollinen on uudestaan 23.2. aamupäivällä saa­nut haltuunsa asiakkaan pankkitunnustiedot, ja onko asiakas myös tuolloin kirjautunut pankin palveluun etäyhteyden aikana. Pankkilautakunta kuiten­kin tulkitsee asiakkaan kertoman ja asiakkaan toimittaman asiantuntijalausunnon perusteella, että pankkitunnukset on myös tuolloin saatu etäyhteyden avulla.

Pankki on esittänyt tapahtumista järjestelmätietoihinsa perustuvan selvityk­sen. Selvityksen mukaan asiakkaan pankkitunnukset on uusittu pankin toimipisteellä 23.2.2024 klo 9.22 niiden jouduttua ulkopuolisen tietoon. Lähes välittömästi tämän jälkeen asiakkaan nimissä on aktivoitu 23.2.2024 klo 9.45 uusi pankin tunnistussovellus. Pankin tunnistussovelluksen aktivoiminen on edellyttänyt, että aktivoinnin tehneellä taholla on ollut hallussaan kaikki asi­akkaan pankkitunnusten osat eli käyttäjätunnus, salasana ja vaihtuva avainlukulistan numero. Lisäksi sovelluksen aktivointi on täytynyt vahvistaa asiak­kaalle lähetetyssä tekstiviestissä mainitulla aktivointikoodilla. Pankin järjestelmätietojen mukaan kirjautuminen mobiilipankkiin tunnistussovelluksen aktivointia varten on pyydetty vahvistamaan 23.2.2024 avainlukulistan avainluvulla ja kirjautuminen avainluvulla on myös vahvistettu. Riidanalainen maksu on vahvistettu käyttöönotetulla tunnistussovelluksella. Lisäksi maksun vahvistamiseksi ja luoton nostamiseksi on tarvittu erilliset vahvistuskoodit, jotka on lähetetty asiakkaalle tekstiviestitse.

Pankin selvityksestä ilmenee myös se, että asiakkaan 23.2.2024 klo 12.25 suljetut pankkitunnukset on avattu uudelleen pankin konttorilla 26.2.2024, ja suljettu jälleen 1.3.2024. Uudet tunnukset on avattu 4.3.2024, ja samana päivänä muutamaa tuntia myöhemmin tunnukset on täytynyt jälleen sulkea.

Asiassa on lautakunnan käsityksen mukaan riidatonta, että asiakas on pankkitunnuksia käyttäessään sallinut laitteensa etäkäytön. Lisäksi asiassa on riidatonta, että asiakkaan pankkitunnukset ovat päätyneet toistuvasti ja 23.2. lähes välittömästi niiden uusimisen jälkeen ulkopuolisen tietoon. Riidanalaisen avainlukulistan numeron osalta lautakunta toteaa, ettei sillä ole syytä epäillä pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä, ja katsoo muun selvityksen puuttuessa, että myös asiakkaan hallussa olleen avainlukulistan numeron on täytynyt päätyä ulkopuolisen haltuun etäyhteyden välityksellä. Näin ollen lautakunta pitää selvitettynä, että asiakas on use­aan otteeseen ja myös saatuaan tiedon häneen kohdistuvasta sijoitushui-jauksesta sallinut laitteensa etäkäytön pankkitunnuksia käyttäessään. Näin saamillaan tiedoilla rikollinen on saanut otettua käyttöönsä asiakkaan ni­missä olevan pankin tunnistussovelluksen, jolla on voinut vahvistaa riidanalaisen ulkomaanmaksun. Asiakkaan toimittaman asiantuntijalausunnon perusteella lautakunta katsoo selvitetyksi, että maksun tekemiseen tarvitta­van asiakkaalle tekstiviestitse lähetetyn lisävahvistuskoodin rikollinen on saanut etäyhteyden välityksellä. Lautakunta pitää mahdollisena, ettei asiakas ole itse tapahtuma-ajankohtana nähnyt lisävahvistusta koskevaa viestiä johtuen rikollisen etäkäytöstä.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan asiakas ei saa luovuttaa tietokoneen tai muun laitteen etäkäyttöä ulkopuolisille, kun hän käyttää laitteella pankkitunnusta tai sen osia. Asiassa esitetyn selvityksen perusteella Pankkilautakunta kat­soo, että asiakas on useamman kerran ja vielä senkin jälkeen, kun on saanut tiedon sijoitushuijauksesta, laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan hyväksyessään laitteensa etähallinnan pankkitunnuksia käyt­täessään. Mikäli asiakas ei ole ollut tietoinen sovelluksen käyttötarkoituksesta, olisi asiakkaan tullut viimeistään 21.2. saatuaan tiedon sijoitushuijauksesta ja pankkitunnustensa päätymisestä ulkopuolisen haltuun selvittää so-velluksen käyttötarkoitus, ja jättää jatkossa etäyhteys hyväksymättä pankkitunnustensa käytön yhteydessä.

Asiassa saadun kokonaisselvityksen perusteella – ja erityisesti ottaen huomi­oon asiakkaan laiminlyönnin toistuminen lähes välittömästi pankkitunnus-tensa uusimisen jälkeen – Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan oikeudettomasta käytöstä aiheutuneesta vahin­gosta täysimääräisesti asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Tykkä

Jäsenet

Atrila
Ketola
Punakivi
Tervonen