Haku

FINE-006255

Tulosta

Asianumero: FINE-006255 (2018)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 13.06.2018

Miten vastuu asiakkaan kiistämistä verkkopankkitunnuksilla tehdyistä tilisiirroista jakautuu asiakkaan ja pankin välillä? Järjestelmän toiminta. Tietoturva. Verkkourkinta.

Tapahtumatiedot

Asiakkaan tililtä on tehty hänelle tuntemattomien henkilöiden tileille 7.11-8.11.2016 välisenä aikana neljä tilisiirtoa yhteismäärältään 13.400 euroa. Mainittujen verkkopankin kautta tehtyjen siirtojen lisäksi myös asiakkaan mobiilipankkiin on kirjauduttu useampaan otteeseen 3.-14.11.2016 välisenä aikana, mutta sitä käyttäen ei ole tehty siirtoja.

Asiakkaan valitus

Asiakkaan mukaan hän ei ole mainittuja tilisiirtoja tai kirjautumisia tehnyt. Asiakas kertoo hoitavansa kauppa-asioinnit käteisellä, ostavansa polttoainetta autoon kortilla ja maksavansa laskut verkkopankissa. Käyttäjätunnukset ja salasanat asiakas säilyttää erityisen huolellisesti eri paikoissa, ei ole reagoinut sähköpostiin tulleisiin huijausviesteihin, ei ole tehnyt nettiostoksia koskaan ja kortin käytön yhteydessä suojaa aina käsillään tunnuslukunsa näppäilyn. Asiakkaan tietokone on myös asianmukaisesti suojattu, eikä hän ole käynyt epämääräisillä sivuilla. Asiakas ei myöskään omista älypuhelinta eikä hän ole koskaan luovuttanut puhelimessa tai muutoin mitään pankkiasiointiin tarvittavia tunnistetietoja kenellekään.  

Havaittuaan tilisiirrot asiakas otti välittömästi yhteyttä pankkiin sekä teki rikosilmoituksen. Asiakkaan mukaan poliisi ei ole tutkimuksissaan löytänyt mitään sellaista, joka viittaisi siihen, että hän olisi toiminut huolimattomasti. Myöskään kukaan kuulustelluista ei ole kertonut saaneensa häneltä mitään siirtoihin tarvittuja tunnuksia. Asiakkaan käsityksen mukaan pankin järjestelmässä ja nimenomaan pankin puolella on jokin tietoturva-aukko, mitä luvattomien siirtojen yhteydessä on hyödynnetty.

Asiakas vaatii pankkia palauttamaan varat takaisin tilille sekä korvaamaan hänelle 500 euroa henkisestä kärsimyksestä.

Pankin vastine

Pankin mukaan ei ole tiedossa yhtään tapausta, jossa sen tietojärjestelmään olisi päästy murtautumaan ja tekemään tilisiirtoja, eikä kyseisenä ajankohtana pankissa ole ollut teknisiä häiriöitä. Pankin mukaan ainoa mahdollisuus tapauksessa on, että asiakkaalta itseltään on saatu tavalla tai toisella verkkopankkiin kirjautumiseksi ja siellä asioimiseksi tarvittavat tiedot.

Pankin mukaan sen verkkopankkiin kirjautuminen edellyttää käyttäjätunnuksen, salasanan ja kertakäyttöisen tunnusluvun syöttämistä, minkä lisäksi jokainen maksu on vielä vahvistettava salasanalla. Mobiilipankkiin voi kirjautua käyttäjätunnuksella ja salasanalla, mutta siirrot pitää vahvistaa tunnusluvulla. Näistä osista salasana ja tunnusluvut ovat vain asiakkaan tiedossa, koska turvallisuussyistä ne ovat pankin tietokannassa salatussa muodossa. Pankin henkilökunnalla on mahdollisuus nähdä vain asiakkaan käyttäjätunnus.

Pankin mukaan se on tiedottanut asiakkaitaan aktiivisesti keväästä 2016 lähtien ilmenneistä pankkitunnusten kalasteluyrityksistä, joiden yhteydessä on ensin lähetetty pankin nimissä sähköposti, jossa on ollut linkki aidoilta näyttäville sivuille, joilla on sitten kysytty asiakkaan tietoja. Mikäli asiakas on tiedot antanut, niin parin päivän kuluttua asiakkaalle on soitettu ja kysytty kirjautumiseen tarvittava kertakäyttöinen tunnusluku, minkä jälkeen huijareilla on ollut käytössä kaikki tarvittavat tiedot siirtojen tekemiseen.

Pankin järjestelmään tallentuneiden lokitietojen perusteella kirjautumiset asiakkaan tilille riidanalaisten siirtojen yhteydessä ovat tapahtuneet espanjalaisista IP-osoitteista. Pankki tuo myös esille, että asiasta käytyjen keskustelujen yhteydessä asiakas olisi konttorissa asioidessaan kertonut saaneensa useita sähköpostiviestejä pankista sekä mahdollisesti avanneensa niissä olleet linkit. Pankki kiinnittää huomiota myös siihen, että poliisi on kuulut asiakasta asianomistajana, eikä hänen toimiaan ole siten tarkemmin selvitetty. 

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • asiakkaan sopimus pankkitunnuksista 12.4.2011 yleisine ehtoineen
  • pankin ohje verkkopankkitunnusten käyttämisestä
  • tutkintailmoitus (ilmoitusaika 16.11.2016)
  • ote tilitapahtumista 15.10-15.11.2016 väliseltä ajalta
  • asiakkaan reklamaatio pankille ja vastaus siihen

 

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, onko pankin verkkopankkia pidettävä luotettavana vai voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin kyseistä palvelua koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista. Pykälän 3 momentin mukaan palveluntarjoajan on osaltaan varmistettava, että muilla kuin maksuvälineen haltijalla ei ole pääsyä maksuvälineeseen liittyviin henkilökohtaisiin turvatunnuksiin.

Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Tapahtuma-aikaan voimassa olleen 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:

1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Pykälän 3 momentin mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Tapahtuma-aikaan voimassa olleiden pankin sähköistä asiointia koskevien yleisten ehtojen mukaan tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa toisten henkilöiden, sovellusten tai palveluiden käyttöön. Asiakas sitoutuu säilyttämään tunnisteita niiden ohjeiden mukaan huolellisesti ja siten, ettei sivullisen ole mahdollista saada niitä tietoonsa. Salaista salasanaa on aina säilytettävä erillään käyttäjätunnuksesta ja turvakortista, mieluiten vain muistissa. Kun asiakas saa uudet tunnukset, pankin antama salasana on heti vaihdettava.

Edelleen ehtojen mukaan asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, ett ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen yhteyttä. Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes pankille.

Asiakkaan on heti ilmoitettava pankille, jos hän tietää tai epäilee, että tunnusten salainen salasana, turvakortti tai sen tietoja, pikatunnistuksella varustettu puhelin tai muu vastaava tunnistetieto, jota voi käyttää väärin, on joutunut sivullisen tietoon tai haltuun.

Asian arviointi

Asiakas kiistää jyrkästi antaneensa ulkopuolisille missään vaiheessa tai millään tavoin verkkopankkiasiointiin tarvittavia tunnisteita, joten hänen valituksensa perustuu käytännössä siihen, että pankin järjestelmässä olisi jokin tietoturva-aukko, mitä ulkopuoliset ovat hyödyntäneet ja tehneet sitä hyödyntämällä siirtoja hänen tililtään. Pankin mukaan ainoa mahdollisuus tapauksessa on, että asiakkaalta itseltään on saatu tavalla tai toisella verkkopankkiin kirjautumiseksi ja siellä asioimiseksi tarvittavat tiedot.

Pankkilautakunta toteaa, että osapuolten näkemysten tapahtumien kulusta poikkeavan huomattavasti toisistaan. Väitetystä pankin järjestelmän tietoturva-aukosta ei ole tapauksessa esitetty muuta selvitystä kuin asiakkaan epäilys. Pankin selvityksen mukaan kyseisenä ajankohtana pankissa ei ole ollut teknisiä häiriöitä. Lautakunnan käsityksen mukaan Suomessa toimivien pankin omat ja myös niiden verkkopankkijärjestelmät ovat monin eri tavoin suojatut eikä lautakunnan tiedossa ole tapauksia, joissa niihin olisi päästy murtautumaan. Saadun selvityksen perusteella Pankkilautakunta ei siten pidä uskottavana ja katsoo tässä tapauksessa joka tapauksessa jäävän näyttämättä, että pankin järjestelmissä olisi jokin haavoittuvuus, mitä tässä tapauksessa olisi hyödynnetty.

Pankkilautakunta toteaa asiassa saadun selvityksen perusteella jäävän osin epäselväksi, miten asiakkaan kaikki verkkopankkiin liittyvät tunnisteet ovat päätyneet ulkopuolisten tietoon, ja ettei lautakunnan ole asiassa saadun selvityksen perusteella mahdollista luotettavasti arvioida tapahtumien yksityiskohtaisempaa kulkua. Riidatonta asiassa kuitenkin on, että kirjautumiset ovat tapahtuneet ulkomaisista IP-osoitteista ja kirjautujien tiedossa ovat kirjautumishetkellä olleet kaikki kirjautumisiin tarvittavat tunnistetiedot.

Lautakunta kiinnittää huomiota siihen, että ensimmäisiä 7.11.2016 tehtyjä siirtoja on edeltänyt noin puolta tuntia aikaisemmin sekä kirjautuminen mobiilipankkiin että tunnusluvun puuttumisen vuoksi keskenjäänyt kirjautuminen verkkopankkiin. Ennen 8.11.2016 siirtoja on myös ollut mobiilikirjautuminen ja verkkopankkiin on päästy sisään alle minuutin kuluessa kirjautumisen alusta, mutta ensimmäinen siirto on hyväksytty vasta reilun puolen tunnin ja toinen vasta puolentoista tunnin kuluttua. Mobiilipankkiin on näitä tapahtumia ennen kirjauduttu tekijöiden toimesta ensimmäistä kertaa jo 3.11.2016.

Edellä todettujen seikkojen perusteella on ilmeistä, että siirtojen tekijöillä ei ole ollut käytössään koko tunnuslukulistaa tai sen tietoja, vaan kirjautumiseen vaadittu tunnusluku on saatu hankittua kummallakin kirjautumiskerralla erikseen muulla tavoin. Lautakunta pitää todennäköisimpänä vaihtoehtona, että asiakkaan asian kirjelmöinnin yhteydessä esittämästä nimenomaisesta kiistämisestä huolimatta 7.11. kirjautumisen yhteydessä vaihtuva tunnusluku on saatu asiakkaalta keskeytyneen ja loppuun suoritetun kirjautumisen välisenä aikana ja vastaavasti myös juuri ennen 8.11 kirjautumista, koska muussa tapauksessa tekijät olisivat voineet suorittaa siirrot jo aikaisemmin ja myös mobiilipankin kautta sekä ennen kaikkea yhden kirjautumisen aikana.

Asiasta saadun selvityksen perusteella Pankkilautakunta katsoo verkkopankkitunnusten oikeudettoman käytön johtuneen siten siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n ja 54 §:n ja pankkitunnusehtojen mukaisia velvollisuuksiaan verkkopankkitunnusten säilyttämisen, tallella olon seuraamisen ja sulkuilmoituksen tekemisen suhteen. Olosuhteet huomioiden Pankkilautakunta katsoo, että menettely kokonaisuutena osoittaa maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Lautakunta ei suosita hyvitystä asiassa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Sainio

Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen

Tulosta