Haku

FINE-020741

Tulosta

Asianumero: FINE-020741 (2019)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 24.10.2019

Miten vastuu asiakkaan verkkopankkitunnuksien oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaan ja pankin välillä? Verkkopankkitunnusten oikeudeton käyttö. Phishing. Törkeä huolimattomuus.

Tapahtumatiedot

Asiakkaan verkkopankkitunnuksilla on 11.4.2019 kirjauduttu asiakkaan verkkopankkiin ensimmäisen kerran kellonajalla 16.28. Kirjautuessa on käytetty onnistuneesti käyttäjätunnusta, salasanaa sekä tunnuslukutaulukon tunnusta. Tämän kirjautumisen yhteydessä on hyväksytty onnistuneesti kello 16.30 2.800 euron tilisiirto asiakkaan pojan tililtä asiakkaan tyttären tilille.

Toinen kirjautuminen 11.4.2019 on tehty klo 16.31, jolloin on myös käytetty onnistuneesti käyttäjätunnusta, salasanaa sekä tunnuslukutaulukon tunnusta. Tämän kirjautumisen yhteydessä on hyväksytty uudella tunnuslukutaulukon tunnusluvulla 5.000 euron tilisiirto asiakkaan tyttären tililtä Espanjaan. Tilisiirto on hyväksytty kello 16.32.

Asiakkaan valitus

Asiakas on valituksessaan kertonut, että hänelle tuli 9.4.2019 pankin nimissä sähköpostiviesti, jossa pyydettiin häntä päivittämään yhteystietonsa. Asiakas täytti tiedot ja lähetti lomakkeen 10.4.2019 takaisin. Asiakkaalle soitti 11.4.2019 pankin toimihenkilöksi esittäytynyt mieshenkilö ja ilmoitti tietojen päivittämisen jääneen kesken.  Soittaja pyysi asiakasta kirjautumaan verkkopankkiinsa ja antamaan tunnuslukutaulukosta luvun F03. Asiakas antoi tunnusluvun, mutta ei missään vaiheessa käyttäjätunnusta eikä salasanaa. 

Tämän jälkeen mies pyysi kirjautumaan ulos verkkopankista ja sanoi soittavansa kohta uudelleen. Hetken päästä hän soittikin ja pyysi asiakasta kirjautumaan uudelleen verkkopankkiinsa. Asiakas kysyi vielä, että onko tämä varmasti turvallista tehdä näin.  Mies vastasi, että kyllä on, koska asiakas ei ollut antanut käyttäjätunnusta eikä salasanaa. Asiakas kirjautui uudelleen verkkopankkiinsa ja mies kertoi päivityksen olevan nyt valmis. Tämän jälkeen puhelu loppui. 

Asiakas kävi tämän jälkeen lenkillä n. 45 min ja takaisin tullessaan meni takaisin verkkopankkiinsa. Hän huomasi, että hänen poikansa tililtä oli tehty 2.800 euron tilisiirto asiakkaan tyttären tilille ja tältä tililtä oli siirretty 5.000e (maksimi vuorokausiraja) espanjalaiselle tilille. Asiakas lähti saman tien tekemään ilmoitusta paikalliseen pankin konttoriin ja seuraavana päivänä hän teki rikosilmoituksen tapahtuneesta poliisille.

Asiakas ei ole missään vaiheessa antanut käyttäjätunnustaan ja salasanaansa ulkopuoliselle, vaan ainoastaan kaksi eri tunnuslukua tunnuslukutaulukosta. Asiakas kirjautuu verkkopankkiin aina pankin verkkopankkiosoitteessa. Pankin verkkopankissa on selvä tietoturva-aukko, koska sinne pääsee ulkopuolinen ilman käyttäjätunnusta ja salasanaa. Lisäksi pankin verkkopankin etusivulla on "päivitä tietosi" -painike, joka on omiaan viemään kuluttajaa harhaan tämmöisissä huijaustapauksissa. 

Asiakas oli puolisonsa kanssa tehnyt 5.4.2019 lapsilleen pankin kanssa samaan konserniin kuuluvassa vakuutusyhtiössä sijoitusvakuutussopimukset ja siirtäneet lasten tileiltä sijoitusvakuutuksiin 5.000 euroa. Asiakas ajatteli, että tämä ”päivitä tietosi” -sähköposti liittyi näihin toimeksiantoihin. Viestin ajankohta oli otollinen tälle huijaukselle, minkä vuoksi asiakkaan virhe on ymmärrettävä. 

Asiakas vaatii pankkia korvaamaan lapsien menettämät 5.000 euron säästöt, pojalle 2.800 euroa ja tyttärelle 2.200 euroa. 

Pankin vastine

Pankki on vastineessaan todennut, että pankin digitaalisia palveluita koskevissa yleisissä ehdoissa asiakas velvoitetaan täyttämään kulloinkin pankin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudattamaan niitä. Asiakkaalle on asetettu myös velvollisuus tutustua sopimusta solmittaessa pankin antamiin ohjeisiin pankkitunnusten käytöstä. Lisäksi asiakkaan ja pankin välisessä pankkitunnussopimuksessa on nimenomaisesti todettu, että "pankki ei koskaan ota yhteyttä sähköpostilla tai puhelimella kysyäkseen pankkitunnuksiasi".

Asiakkaan verkkopankkiin toimitetuissa verkkopankin turvallisuusohjeissa todetaan tietojenkalastelusta mm., että "varo huijareita, jotka yrittävät saada pankkitunnuksiasi tai luottokorttitietojasi hyödyntämällä sähköpostiviestejä ja väärennettyjä verkkosivuja. Tällaiset huijaukset (phishing) ovat yleistyneet. Kyseistä huijausta yritetään tehdä myös puhelimitse soittamalla asiakkaalle ja pyytämällä häntä kertomaan verkkopankin asiointitunnuksensa tai luottokorttitietonsa. Yleensä näissä huijausyrityksissä huijari yrittää vedota asiakkaan luottamukseen esiintymällä pankin tai luottokorttiyhtiön edustajana.”

Pankki on tiedottanut ja varoittanut lisäksi laajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa. Pankin verkkosivuilla lukee asiakkaan verkkopankissa olevien ohjeiden lisäksi muun muassa seuraavaa: "Verkkopankkitunnukset ovat henkilökohtaiset. Niitä ei tule antaa kenenkään muun, edes puolison tai perheenjäsenen käyttöön. Turvallisuussyistä tunnuksia tulee säilyttää huolellisesti ja aina erillään toisistaan. Älä tallenna tunnuksia käyttämällesi laitteelle vaan opettele ne ulkoa. Näin ehkäiset tunnusten joutumisen väärin käsiin. Pankki ei milloinkaan kysy pankkitunnuksiasi, luottokorttitietojasi tai muita arkaluonteisia tietoja sähköpostiviestillä tai soittamalla sinulle. Jos sinulta kysytään pankkitunnuksiasi esimerkiksi sähköpostissa, kyseessä on huijausviesti, johon ei pidä missään nimessä vastata. Mikäli saat tällaisen viestin, ilmoita siitä asiakaspalveluumme”

Asiakas on luovuttanut ehtojen vastaisesti pankkitunnuksiensa eri osat ja mahdollistanut siten tapahtuneen väärinkäytön. Väärinkäyttäjällä on ollut väärinkäyttöhetkellään hallussaan asiakkaan henkilökohtaisten pankkitunnuksien käyttäjätunnus ja salasana. Lisäksi väärinkäyttäjällä on täytynyt eri maksutapahtumien toteuttamiseksi olla tiedossaan pankin verkkopalvelun juuri sillä hetkellä sattumanvaraisesti pyytämät tunnusluvut tunnuslukutaulukosta, jotka asiakas kertoo luovuttaneensa puheluiden aikana.

Pankille toimitetuista selvityksistä ei tarkasti ilmene, minkälaiset internet-sivut sivut asiakkaan saamasta huijaussähköpostin linkistä ovat auenneet. Asiakas kuitenkin kertoo, että puheluiden aikana verkkopankki, johon hän kirjautui, poikkesi ulkoasultaan pankin tavanomaisesta verkkopankista. Asiakkaan on todellisuudessa täytynyt syöttää käyttäjätunnuksensa ja salasanansa huijaussivustolle, sillä käyttäjätunnus ja salasana ovat olleet 11.4.2019 verkkopankkiin kirjautuneen väärinkäyttäjän tiedossa. Tämän lisäksi asiakas on luovuttanut tunnuslukutaulukon tunnuslukuja niitä puhelimitse kysyneelle, mikä on mahdollistanut tehdyt tilisiirrot. Mikäli maksutapahtumien toteuttajalla ei ole hallussaan pankkitunnuksien eri osia, ei maksutapahtumia ole mahdollista toteuttaa.

Asiakkaan saaman huijaussähköpostin sekä pankin nimissä soitetun huijauspuhelun ajallinen yhteys viittaisi siihen, että käyttäjätunnus ja salasana on onnistuttu kalastelemaan asiakkaalta tämän tapahtumaketjun yhteydessä. On kuitenkin mahdollista, että käyttäjätunnus ja salasana ovat voineet joutua ulkopuolisen tietoon jonkun varhaisemman internetkäytön yhteydessä, jota asiakas ei osaa lainkaan yhdistää tähän tapahtumaan. 

Arvioitaessa asiakkaan huolellisuutta pankkitunnusten käsittelemisessä tulee pankin näkemyksen mukaan ottaa huomioon pankkitunnussopimuksen ehtojen sekä turvallisuusohjeiden noudattamisen lisäksi pankkitunnuksien turvallisuusriskeihin liittyvä yleinen kuluttajilta edellytettävä tietämys. Pankki katsoo, että yleiseen tietämykseen kuuluu edellä esitetyn kaltaisen tiedottamisen ja huolelliselta asiakkaalta edellytettävien vaatimusten perusteella ymmärrys siitä, ettei pankki ota asiakkaaseen missään olosuhteissa yhteyttä kysyäkseen pankkitunnuksia ja varsinkaan pankkitunnuksien kaikkia osia, useita tunnuslukuja mukaan lukien. Pankkitunnuksien tai niiden osien luovuttaminen toiselle suullisesti tai kirjallisesti kielletään pankin digitaalisia palveluita koskevissa ehdoissa sekä pankin käyttämissä ja asiakkaalle toimittamissa turvallisuusvaatimuksissa ja -ohjeissa.

Pankki katsoo, että asiakkaan olisi tullut ymmärtää, ettei hänelle tullut sähköposti tai puhelu tosiasiassa tullut pankista, ja asiakkaan olisi huolellisesti toimiessaan tullut jättää vastaamatta pankin nimissä lähetettyyn huijaussähköpostiin sekä kieltäytyä antamasta puhelimitse pyydetyt tunnuslukutaulukon tunnusluvut. Mikäli asiakas olisi perehtynyt pankin asiakkaalle toimittamiin turvallisuusvaatimuksiin ja -ohjeisiin sekä pankkitunnussopimukseen liittyviin ehtoihin ja ymmärtänyt kyseenalaistaa yhteydenottojen asianmukaisuuden, asiassa olisi vältytty oikeudettomasti toteutetuilta maksutapahtumilta.

Pankki katsoo, että asiakas on toiminut pankin digitaalisia palveluita koskevissa ehdoissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan pankkitunnukset ulkopuolisen haltuun. Näin ollen pankki ei ole korvausvastuussa asiakkaalle pankkitunnuksilla oikeudettomasti tehdyistä maksuista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Asiakkaan pankille 11.4.2019 tekemä reklamaatio.
- Asiakkaan poliisille 12.4.2019 tekemä tutkintailmoitus.
- Pankin digitaalisia palveluita koskevat yleiset ehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentissa (898/2017) todetaan seuraavaa:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.”

Saman lain 62 §:n 1–2 momentissa todetaan seuraavaa:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:

1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.”

Pankin digitaalisia palveluja koskevien yleisten ehtojen kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä koskeva kohta vastaa maksupalvelulain kuluttajan hyväksi pakottavia säännöksiä.

Ehtojen mukaan asiakkaan on täytettävä pankin kulloinkin ilmoittamat, digitaalisten palvelujen tarjoamista ja käyttämistä koskevat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Pankki toimittaa asiakkaalle tarkemmat ohjeet tunnistusvälineiden käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä. Pankki ilmoittaa asiakkaalle petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista pankin verkkosivuilla tai sähköisiä palvelukanavia hyödyntäen.

Ehtojen mukaan asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen. Asiakas sitoutuu säilyttämään pankin myöntämät tunnistautumistiedot huolellisesti ja varmistaa säännöllisesti, että ne ovat tallessa. Asiakas sitoutuu säilyttämään henkilökohtaiset tunnistautumistiedot erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon.

Asian arviointi

Pankkilautakunta toteaa pankin verkkopalvelutunnusten koostuvan kolmesta osasta: käyttäjätunnuksesta, salasanasta sekä kertakäyttöisten avainlukujen listasta. Asiakkaan mukaan hän on antanut puhelimessa kaksi kertakäyttöistä tunnuslukua. Asiakkaan mukaan hän ei ole antanut käyttäjätunnustaan eikä salasanaan kenellekään. 

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut pankin kanssa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan verkkopalvelutunnuksia koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai digitaalisia palveluita koskevissa ehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas verkkopankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan hyväksymien ehtojen mukaan asiakkaan on täytettävä pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Pankki toimittaa asiakkaalle tarkemmat ohjeet tunnistusvälineiden käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä. Pankki ilmoittaa asiakkaalle petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista pankin verkkosivuilla tai sähköisiä palvelukanavia hyödyntäen. Ehtojen mukaan asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. 

Pankki on ilmoittanut verkkopankin turvallisuusohjeissa tietojenkalastelusta mm., että "varo huijareita, jotka yrittävät saada pankkitunnuksiasi tai luottokorttitietojasi hyödyntämällä sähköpostiviestejä ja väärennettyjä verkkosivuja. Tällaiset huijaukset (phishing) ovat yleistyneet. Kyseistä huijausta yritetään tehdä myös puhelimitse soittamalla asiakkaalle ja pyytämällä häntä kertomaan verkkopankin asiointitunnuksensa tai luottokorttitietonsa. Yleensä näissä huijausyrityksissä huijari yrittää vedota asiakkaan luottamukseen esiintymällä pankin tai luottokorttiyhtiön edustajana.” Pankki on tiedottanut ja varoittanut lisäksi laajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa.

Pankkilautakunta katsoo, että asiakkaan olisi tullut yleisen tietämyksen ja pankin erikseen antamien varoitusten perusteella ymmärtää, ettei puhelu tullut tosiasiassa pankista ja ettei hän olisi saanut antaa tunnuslukuja niitä pyytäneelle henkilölle.

Mikäli asiakas olisi puhelun saatuaan ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden ja olisi ennen verkkopankkitunnustensa antamista ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiassa on epäselväksi jäänyt, miten asiakkaan käyttäjätunnus ja salasana ovat päätyneet asiakkaan pankkitunnuksia oikeudetta käyttäneen tietoon. Asiassa ei ole ilmennyt mitään sellaisia seikkoja, joiden perusteella voisi päätellä niiden päätyneen ulkopuolisen tietoon pankin järjestelmästä. Lautakunta pitää todennäköisenä, että asiakkaan käyttäjätunnus ja salasana ovat päätyneet niitä oikeudetta käyttäneen tietoon asiakkaan toimesta joko tapahtumien yhteydessä tai aiemmin. 

Yhteenvetona Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena poikkeavan selvästi ja olennaisesti siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja asiakkaan menettelyn kokonaisuutena arvioiden osoittavan näin ollen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo kuitenkin verkkopalvelutunnusten joutumisen sivullisen tietoon ja niiden oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan kokonaisuutena arvioiden laissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino 

Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen

Tulosta