Haku

FINE-013434

Tulosta

Asianumero: FINE-013434 (2018)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 13.12.2018

Verkkopankkitunnusten oikeudeton käyttö. Miten vastuu asiakkaan kiistämistä verkkopankkitunnuksilla tehdyistä tilisiirroista jakautuu asiakkaan ja pankin välillä?

Tapahtumatiedot

Asiakkaan verkkopankkitunnuksia käytettiin 20.3.2018 seuraavasti:

  1. Kirjauduttu klo 10.51.
  2. Kirjauduttu klo 11.05.
  3. Kirjauduttu klo 15.17.
  4. Kirjauduttu klo 15.24. Tämän kirjautumisen aikana asiakkaan luotolta tehtiin 3.000 euron siirto asiakkaan pankkitilille. Pankki veloitti siirrosta 92,50 euroa. Edelleen saman kirjautumisen aikana täytettiin ja klo 15.32 hyväksyttiin 3.000 euron tilisiirto espanjalaiselle tilille. Tilisiirtoon merkittiin viestiksi ”Maksu remontista nro153”.
  5. Kirjauduttu klo 15.33 ja klo 15.35 hyväksytty 99,88 euron tilisiirto Pikaosto.fi-yritykselle.


Kaikki kirjautumiset ja tapahtumien hyväksynnät on tehty onnistuneesti käyttäjätunnusta, asiakkaan valitsemaa salasanaa sekä tunnuslukutaulukon tunnusta.

Asiakas reklamoi pankille verkkopankkitunnusten oikeudettomasta käytöstä 6.4.2018.

Asiakkaan valitus

Asiakas on valituksessaan kiistänyt tehneensä luotolta siirtoa sekä tilisiirtoja. Hän on kertonut käyttäneensä pankin palveluita vuosien ajan monipuolisesti ja seurannut muutoinkin aktiivisesti pankkimaailman tapahtumia noudattaen aina tilinkäyttöön liittyviä ehtoja ja turvallisuusohjeita. Asiakas ei ole vastaanottanut pankin nimissä olevaa huijaussähköpostia tai -puhelua eikä ole luovuttanut pankkitunnuksiaan ulkopuoliselle.

Asiakas on säilyttänyt tunnusten kaikkia osia huolellisesti. Tunnuslukutaulukkoa asiakas säilyttää kotona erillään käyttäjätunnuksesta ja salasanasta tai omassa lompakossaan. Asiakas on ilmoittanut pankille tunnusten oikeudettomasta käytöstä heti huomattuaan oikeudettomat tapahtumat 6.4.2018.

Asiakas suorittaa kaikki verkkopankista tehtävät maksut vain kotikoneella. Oikeudettomat tapahtumat ja kirjautumiset on tehty sellaisiin kellonaikoihin, jolloin asiakas on ollut työpaikallaan. Asiakkaalla ei ole ollut mitään remonttia menossa. Hän ei myöskään ole koskaan kuullut maksun vastaanottajan nimisestä henkilöstä. Asiakas epäilee pankin tietoturvassa olevan aukkoja, joiden kautta olisi päästy luvattomin keinoin asiakkaiden verkkopankkiin.

Pankin mukaan asiakkaan verkkopalveluun on kirjauduttu 20.3.2018 kaksi kertaa ennen oikeudettomaan käyttöön liittyviä verkkopalveluistuntoja IP-osoitteesta, josta on käytetty asiakkaan verkkopalvelussa asiointiin aiemmin vuoden 2018 aikana. Asiakas ei ole kertaakaan kirjautunut verkkopalveluun tuolloin aamun aikana työpaikallaan. Joku ulkopuolinen on jo ennen oikeudettomia siirtoja kirjautunut asiakkaan verkkopalveluun. Näin ollen ulkopuolisen tekemiä kirjautumisia on ollut jo aiemmin vuoden 2018 aikana.

Useat muut pankit huolehtivat asiakkaistaan ilmoittamalla epätavallisen suurista tilitapahtumista. Asiakas ei ole ennen käyttänyt koko 3.000 euron luottokortin käyttövaraa. Pankki ei puuttunut tähän epätavalliseen menettelyyn.

Asiakas vaatii pankkia korvaamaan hänelle 3.194,38 euroa.

Pankin vastine

Pankki on vastineessaan todennut, että asiakas on hyväksymissään ehdoissa sitoutunut täyttämään kulloinkin pankin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudattamaan niitä. Asiakkaalle on asetettu myös velvollisuus tutustua sopimusta solmittaessa pankin antamiin ohjeisiin pankkitunnusten käytöstä. Pankki on tiedottanut ja varoittanut lisäksi laajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa.

Pankin selvittämien lokitietojen perusteella aamupäivän verkkopankkikirjautumiset ovat tulleet IP-osoitteesta, josta asiakas on aikaisemmin vuonna 2018 kirjautunut verkkopankkiin. Luotolta siirto, tilisiirto sekä verkkomaksu Pikaosto.fi-yritykselle on puolestaan tehty IP-osoitteista, joista asiakas ei ole aikaisemmin vuonna 2018 kirjautunut verkkopankkiin. Siitä, miten oikeudettomaksi ilmoitetut maksutapahtumat tehnyt käyttäjä on saanut asiakkaan henkilökohtaiset pankkitunnuksien osat käyttöönsä, ei ole saatu selvitystä.

Asiakkaan oikeudettomaksi ilmoittamat tapahtumat ja niihin liittyvät kirjautumiset pankin verkkopalveluun on toteutettu asiakkaan henkilökohtaisilla pankkitunnuksilla. Kirjautumisiin ja eri maksutapahtumiin on vaadittu pankkitunnusten käyttäjätunnusta ja salasanaa. Lisäksi kirjautumiseen ja eri maksutapahtumien toteuttamiseen on tarvittu useita, ainoastaan asiakkaan tiedossa olevia tunnuslukuja. Pankin järjestelmästä ei ole mahdollista saada pankkitunnuksien eri osia tietoon. Kertaalleen verkkopankkiin syötettyjä tunnuslukuja ei ole mahdollista käyttää uudelleen tai kopioida. Tunnistauduttaessa pankkitunnuksilla pankin verkkopalvelu valitsee satunnaisesti tunnistautumiseen vaadittavan tunnuslukutaulukon tunnusluvun.

Pankin tiedossa on vastaavalla tavalla toteutettuja tapauksia, joissa pankkitunnusten haltija on itse kertonut antaneensa pankkitunnuksensa osat ulkopuoliselle. Tyypillisesti tapauksissa asiakas on erehdytetty antamaan tunnukset puhelimessa kysyjälle tai huijaussivustolle, jolle asiakasta on pyydetty siirtymään sähköpostitse lähetetyn linkin kautta. Pankin selvityksen mukaan vastaavissa tapauksissa ainoa mahdollinen toimintatapa maksutapahtumien toteuttamiseksi on ollut se, että verkkopalveluistunnon aikana pankkitunnusten haltijalta on saatu tarvittavat tunnuslukutaulukon tunnusluvut verkkopalvelussa tehtäviin toimiin.

Jotta pankin ja asiakkaan välistä vastuunjakoa olisi mahdollista arvioida, olisi saatava selvitystä siitä, missä olosuhteissa pankkitunnuksien eri osat ovat päätyneet ulkopuolisen haltuun oikeudettomaksi ilmoitettujen maksutapahtumien toteuttamiseksi. Pankilla ei ole mahdollisuutta saada tietoonsa tällaisen tapahtumainkulun yksityiskohtia. Katsomme, että pankkitunnuksien haltijalla on velvollisuus antaa tällaisessa tapauksessa selvitystä omasta menettelystään käyttäessään pankkitunnuksia.

Mikäli maksutapahtumien toteuttajalla ei ole hallussaan pankkitunnuksien eri osia, ei maksutapahtumia ole mahdollista toteuttaa. Pankki ei siten pidä muuta vaihtoehtoa mahdollisena kuin sitä, että asiakas on luovuttanut pankkitunnukset ehtojen ja turvallisuusohjeiden vastaisesti ulkopuoliselle ja katsoo, että asiakas on toiminut pankin ehdoissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan pankkitunnukset ulkopuolisen haltuun. Näin ollen pankki ei ole korvausvastuussa asiakkaalle pankkitunnuksilla oikeudettomasti tehdyistä maksuista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Tiliotteet.
  • Poliisille 6.4.2018 tehty tutkintailmoitus.
  • Pankille tehty päiväämätön reklamaatio.
  • Pankin digitaalisia palveluja koskevat yleiset ehdot.

 

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, onko pankin verkkopankkia pidettävä luotettavana vai voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin kyseistä palvelua koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Palveluntarjoajan on osaltaan varmistettava, että muilla kuin maksuvälineen haltijalla ei ole pääsyä maksuvälineeseen liittyviin henkilökohtaisiin turvatunnuksiin.

Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä

Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1)luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2)huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3)laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Pankin digitaalisia palveluita koskevien yleisten ehtojen kohta, joka koskee asiakkaan vastuuta verkkopankkitunnusten käyttämisestä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Ehtojen mukaan asiakkaan on täytettävä pankin kulloinkin ilmoittamat, digitaalisten palvelujen tarjoamista ja käyttämistä koskevat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Pankki toimittaa asiakkaalle tarkemmat ohjeet tunnistusvälineiden käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä. Pankki ilmoittaa asiakkaalle petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista pankin verkkosivuilla tai sähköisiä palvelukanavia hyödyntäen.

Edelleen ehtojen mukaan asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen. Asiakas sitoutuu säilyttämään pankin myöntämät tunnistautumistiedot huolellisesti ja varmistaa säännöllisesti, että ne ovat tallessa. Asiakas sitoutuu säilyttämään henkilökohtaiset tunnistautumistiedot erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla. Asiakas on velvollinen välittömästi ilmoittamaan pankille palveluiden asiattoman käytön estämiseksi, jos pankkitunnukset tai niiden osa, mobiilisovellus tai muu pankin myöntämä tunnistetieto tai sen osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.

Asian arviointi

Pankkilautakunta toteaa vastuun verkkopankkitunnusten huolellisesta säilyttämisestä olevan maksupalvelulain ja verkkopankkitunnusehtojen mukaan asiakkaalla. Tämä on luonnollista ottaen huomioon sen, että viime kädessä - riippumatta esimerkiksi pankin ohjeistuksesta tai tunnuksia koskevan sopimuksen ehdoista - ainoastaan asiakas voi vaikuttaa siihen, miten ja missä olosuhteissa hän verkkopankkitunnuksiaan säilyttää ja käyttää.

Tilanteissa, joissa verkkopankkitunnukset ovat päätyneet ulkopuolisen haltuun/tietoon ja niitä on käytetty oikeudetta, on asiakkaan ja pankin välisen vastuunjaon kannalta pääsääntöisesti ratkaisevaa se, kuinka huolellisesti asiakkaan voidaan katsoa menetelleen verkkopankkitunnustensa suhteen. Jotta asiakkaan huolellisuutta voitaisiin arvioida, on saatava selvitystä siitä, missä olosuhteissa ja millä tavoin hän on tunnuksiaan säilyttänyt ja käyttänyt ja miten ne ovat päätyneet ulkopuolisen haltuun/tietoon. Parhaat mahdollisuudet selvityksen antamiseen on asiakkaalla ja asiakkaan vaatiessa pankkia ottamaan vastuun tunnusten oikeudettomasta käytöstä, voidaan asiakkaan edellyttää antavan oman selvityksensä tapahtumista ja omasta menettelystään. Tietoa tapahtumienkulun yksityiskohdista, esimerkiksi siitä, miten ja minä hetkenä tunnukset on tarkalleen viety, ei aina ole mahdollista saada eikä voida myöskään asiakkaalta edellyttää, mutta asiakkaan voidaan aina edellyttää antavan selvityksen omasta menettelystään.

Pankkilautakunta toteaa pankin verkkopankkitunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta. Pankin selvityksen mukaan tapahtuma-aikaan 20.3.2018 kello 10.51–15.35 asiakkaan tunnuksilla on kirjauduttu verkkopankkiin viidesti ja kunkin kirjautumisen yhteydessä on käytetty onnistuneesti käyttäjätunnusta, salasanaa sekä tunnuslukutaulukon tunnusta/tunnuksia. Ensimmäiset kaksi kirjautumista ovat tapahtuneet IP-osoitteesta, josta asiakkaan pankkitunnuksia on aiemmin käytetty.

Jälkimmäiset kirjautumiset, joiden aikana riidanalaiset tapahtumat on tehty, on tehty IP-osoitteesta, josta asiakkaan verkkopalvelua ei ole aiemmin käytetty. Asiakkaan mukaan hän ei ole missään vaiheessa luovuttanut mitään tietojaan eikä kukaan ole päässyt käsiksi hänen tunnuslukutaulukkoonsa, joka on edelleen tallessa. Asiakkaan mukaan hänellä ei ole tietoa siitä, miten tilille on päästy, mutta hän epäilee pankin järjestelmässä olevan aukkoja, joiden kautta olisi päästy luvattomin keinoin asiakkaiden verkkopankkiin.

Pankkilautakunnan tiedossa ei ole tapausta, jossa rikolliset olisivat onnistuneet murtautumaan Pankin järjestelmään tekemään oikeudettomia siirtoja Pankin asiakkaiden tileiltä. Pankkilautakunta katsookin tässä tapauksessa selvitetyksi, että ko. riidanalaiset tapahtumat tehnyt taho on nyt riidanalaiseksi katsottavalla tavalla saanut tietoonsa asiakkaan käyttäjätunnuksen ja salasanan sekä useamman - pankin järjestelmän ko. asiointien eri vaiheissa vaatiman satunnaisen - tunnusluvun asiakkaan henkilökohtaisesta tunnuslukutaulukosta.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo jäävän epäselväksi, miten asiakkaan verkkopankkitunnukset ovat päätyneet niitä oikeudetta käyttäneen tietoon/haltuun eikä lautakunnan ole saadun selvityksen perusteella mahdollista luotettavasti arvioida tapahtumien yksityiskohtaisempaa kulkua. Pankkilautakunnan ei näin ollen ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten asiakkaan verkkopankkitunnukset ovat päätyneet sivullinen haltuun/tietoon, eikä lautakunta näin ollen voi myöskään arvioida asiakkaan menettelyn mahdollista myötävaikutusta tapahtumien kulkuun eikä asiakkaan menettelyn mahdollista huolimattomuutta verkkopankkitunnusten haltijana.

Lopputulos

Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Lautakunta katsoo, että tässä tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko verkkopankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää. Keskeisen tapahtumainkulun jäädessä tällä tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino

Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen

Tulosta