Haku

FINE-003050

Tulosta

Asianumero: FINE-003050 (2017)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.12.2017

Miten vastuu asiakkaan kortilla verkossa tehdystä ja verkkopankkitunnuksilla vahvistetusta ostotapahtumasta jakautuu asiakkaan ja pankin välillä? Verkkomaksu. Verkkourkinta. Kortin oikeudeton käyttö. Kortinhaltijan huolimattomuus.

Tapahtumatiedot

Asiakas sai 9.12.2016 Apple ID:n salasanan nollausta koskevan Applen nimissä lähetetyn sähköpostin, jossa olleen linkin kautta avautuneilla verkkosivuilla asiakas käytti verkkopankkitunnuksiaan kirjautuakseen Applen verkkopalveluun. Asiakkaan tililtä on tehty 9.12.2016 klo 10.08 hänen Visa-korttinsa korttitietoja käyttäen ja verkkopankkitunnuksilla vahvistaen 2.000,00 euron maksu verkkokaupassa, jossa asiakas kiistää itse asioineensa. Asiakkaan kortti on suljettu 9.12.2016 klo 16.24.

Asiakkaan valitus

Asiakas ei hyväksy sitä, että olisi luovuttanut tunnuksensa tai syyllistynyt törkeään huolimattomuuteen, ja vaatii pankkia korvaamaan asiassa aiheutuneen 2.000,00 euron vahingon.

Asiakkaalle on tullut Applen sivuston kautta varmentamispyyntö, jonka lankaan asiakas meni. Sivut olivat täysin identtiset Applen sivujen kanssa. Asiakas ei todellakaan pysty katsomaan eikä varmentamaan domainista, kenen omistuksessa sivu on. Nyt jälkeenpäin asiaa tutkittuaan asiakas on huomannut, että eri yritykset saattavat käyttää palveluntarjoajaa kyselyiden tms. tuottamiseen eikä silloinkaan näy alkuperäisen yrityksen nimeä. Asiakas ei voi mitenkään sanoa olevansa mikään IT-asiantuntija, jolloin voisi huomata tällaiset rikokset.

Asiakas ihmettelee, miten voi jatkossa käyttää erilaisia yritysten (esim. vakuutusyhtiöiden) tarjoamia palveluita, koska niihinkin tulee täyttää erilaisia salasanoja sekä verkkopankkitunnuksia. Ihan samalla tavalla esim. vakuutusyhtiöltä tulee myös viestejä, että sinulle saapunut kirje omavakuutus-sivuille, kirjaudu omavakuutus-sivuille pankkitunnuksillasi.

Pankin vastine

Asiakkaan reklamoima ostotapahtuma on Verified by Visa -varmennettu verkko-osto, toisin sanoen ostotapahtuma on hyväksytty kortinhaltijan verkkopankkitunnuksilla. Tapahtuma on tehty kortin tiedoilla ja kauppias on tunnistanut kortinhaltijan pankin myöntämillä vahvoilla sähköisillä tunnistusvälineillä verkko-oston yhteydessä.

Asiakas on itse suorittanut reklamoidun tapahtuman kortillaan ja verkkopankkitunnuksillaan. Koska osto on hyväksytty verkkopankkitunnuksilla, ei kortinmyöntäjällä ole mahdollisuutta periä ostosta rahaa takaisin veloittajalta.

Asiakas on antanut verkkopankkitunnuksensa ilmeisesti sähköpostilla tulleen pyynnön perusteella sovellukselle tai palvelulle, joka on esiintynyt Apple ID päivitys -sivustona. Pankki katsoo, että hän on siten luovuttanut verkkopankkitunnuksensa oikeudettomalle käytettäväksi. Asiakkaan huolimattomuutta ei tässä tapauksessa voi pitää lievänä. Pankki katsoo, että verkkopankkitunnusten haltijana asiakas vastaa tunnuksillaan tehdystä tapahtumasta.

Pankit, vakuutusyhtiöt tai viranomaiset eivät pyydä kirjautumaan palveluihinsa sähköpostilla tai muulla tavoin lähetetyn linkin kautta. Näihin palveluihin on turvallista kirjautua verkkopankkitunnuksilla kirjoittamalla verkkoselaimen osoiteriville kyseisen palveluntarjoajan osoite.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Tietojenkalastelusähköposti Apple-tuen nimissä (9.12.2016) asiakkaalle
  • Verkkopankin ja verkkopankkitunnuksilla käytettävien palveluiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Pankkilautakunnan on asian ratkaisemiseksi arvioitava, voidaanko asiakkaan katsoa antaneen suostumuksensa riidanalaisen maksutapahtuman toteuttamiselle. Mikäli asiakkaan ei katsota antaneen suostumustaan veloitukselle, on tapauksessa kyse maksuvälineen oikeudettomasta käytöstä ja Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineen sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko kortin oikeudettoman käytön katsoa johtuvan siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.

Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa em. ilmoitus; tai
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä.
Sen estämättä, mitä pykälän 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen kortin säilyttämistä koskevan kohdan mukaan kortinhaltija sitoutuu säilyttämään ja käsittelemään korttia ja siihen liittyvää henkilökohtaista tunnuslukua huolellisesti ja siten, ettei sivullisella ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä.

Korttiehtojen kortin käyttämistä koskevan kohdan mukaan kortinhaltija antaa suostumuksensa korttitapahtumaan näppäilemällä henkilökohtaisen tunnuslukunsa, […] tai antamalla kortin tiedot muulla näissä ehdoissa kuvatulla tavalla. Kortinhaltija ei voi enää perua korttitapahtumaa sen jälkeen, kun hän edellä mainitulla tavalla on antanut suostumuksensa korttitapahtumaan.

Korttiehtojen kortin käyttöä etämaksamisessa (puhelin-, posti, internet-myynti) koskevan kohdan mukaan kortinhaltija voi kortillaan maksaa etämyynnissä ostamiaan tuotteita ja palveluita. Käyttäessään korttiaan etämaksamisessa kortinhaltija on velvollinen noudattamaan Pankin antamia ohjeita. Kortinhaltija voi kortin numeron, voimassaoloaikatiedon, kääntöpuolella olevan turvaluvun ja tarvittavien tunnusten, esimerkiksi pankkitunnusten, avulla maksaa ostamiaan tuotteita tai palveluita internetissä. Kortinhaltijaa suositellaan maksamaan kortillaan ostoksia ainoastaan sellaiselle internet-kauppiaalle, joka on mukana Verified by Visa -palvelussa tai jonka kortinhaltija tietää muuten olevan turvallinen. Kauppiaan kuuluminen Verified by Visa -palveluun on todennettavissa kauppiaan verkkosivulla olevan Verified by Visa -kuvakkeen perusteella. Käyttäessään Korttiaan internetissä tällaisen kauppiaan verkkokaupassa kortinhaltija on velvollinen noudattamaan Pankin sekä Verified by Visa -palvelun antamia ohjeita.

Pankin verkkopankin ja verkkopankkitunnuksilla käytettävien palveluiden yleisten ehtojen kohta, joka koskee asiakkaan vastuuta verkkopankkitunnusten käyttämisestä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Verkkopankkitunnusehtojen tunnusten käyttämistä koskevan kohdan mukaan Pankki antaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu palvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Tunnuksia saa käyttää vain pankin hyväksymiin sovelluksiin tai palveluihin.

Verkkopankkitunnusehtojen tunnusten säilyttämistä koskevan kohdan mukaan henkilöasiakkaalle luovutetut verkkopankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle. Asiakas sitoutuu säilyttämään verkkopankkitunnukset (käyttäjätunnus, salasana ja avaintunnuskortti) huolellisesti ja erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa. Tunnuksia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.

Asian arviointi

Pankkilautakunta toteaa tapauksessa olevan riidatonta, että asiakas on joutunut ns. phishingin/tietojenkalastelun uhriksi ja että kyseessä oleva 2.000,00 euron maksu verkkokaupassa on tehty käyttäen oikeudetta asiakkaan Visa-kortin korttitietoja sekä hänen verkkopankkitunnuksiaan maksun hyväksymiseen. Riidatonta tapauksessa on myös se, että asiakas on käyttänyt verkkopankkitunnuksiaan Applen nimissä lähetetyssä viestissä olleesta linkistä avautuneilla sivuilla, eikä asiakas ole kiistänyt antaneensa tuossa yhteydessä myös korttitietonsa.

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut korttitietojaan ja verkkopankkitunnuksiaan käyttäessään ja niitä verkkosivuilla antaessaan siinä käsityksessä, että hän on asioinut Pankin/Applen kanssa tunnistautuakseen Applen palveluun. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut korttitietojaan ja verkkopankkitunnuksiaan verkkopankkitunnuksia koskevan sopimuksen tai korttisopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa, verkkopankkitunnusehdoissa tai korttiehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas kortin oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko kortin ja verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja yleisten korttiehtojen ja verkkopankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakas on toimittanut lautakunnalle 9.12.2016 saamansa Applen nimissä lähetetyn sähköpostiviestin. Pankkilautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn sähköpostin muotoilun ja sisällön taikka lähettäjän domainin perusteella, ettei sähköpostiviesti ollut Applen lähettämä, ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen syytä epäillä yhteydenoton asianmukaisuutta tai menetelleen huolimattomasti hänen avattua sähköpostiviestissä olleen linkin.  

Pankkilautakunnan käytössä ei ole kuvaa linkistä avautuneista sivuista, joilla asiakas on käyttänyt verkkopankkitunnuksiaan tunnistautuakseen Applen palveluun ja on antanut korttitietonsa. Ottaen kuitenkin huomioon asiassa saatu kokonaisselvitys sekä tietojenkalastelun ja kortin oikeudettoman käytön ilmeisen ammattimainen ja taidokas toteuttaminen, Pankkilautakunta pitää todennäköisenä, että myös kyseiset sivut oli laadittu sillä tavoin aidon näköisiksi, ettei rikoksen uhriksi valikoituneella asiakkaalla ole ollut perusteltua syytä epäillä niiden aitoutta. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan voida asiassa katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin, korttiehtojen tai verkkopankkitunnusehtojen mukaisia velvollisuuksiaan antaessaan verkkopankkitunnuksiaan ja korttitietojaan kyseisillä sivuilla.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut korttitietojaan tai verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla ja ettei kortin oikeudeton käyttö ole johtunut siitä, että asiakas olisi huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon täysimääräisesti.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Kallio
Lehtonen
Pulkkinen

Tulosta