Haku

FINE-020764

Tulosta

Asianumero: FINE-020764 (2020)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 22.01.2020

Miten vastuu asiakkaan verkkopankkitunnuksilla tehdyistä tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Verkkopankkitunnusten luovuttaminen. Törkeä huolimattomuus.

Tapahtumatiedot

Asiakas sai 22.10.2018 pankin nimissä lähetetyn sähköpostiviestin, jossa pyydettiin hyväksymään järjestelmäpäivitys ja päivittämään yhteystiedot viestissä olleen linkin kautta. Viestissä ilmoitettiin myös, että pankin asiakaspalvelija ottaa yhteyttä 72 tunnin sisällä päivittämisen jälkeen. Seuraavana päivänä asiakas sai kaksi puhelua, joiden soittaja esittäytyi pankin työntekijäksi. Soittaja kertoi, että kyseessä on tilitietojen päivitys ja pyysi avainlukua, jonka asiakas kertoi. Asiakkaalle soitettiin uudelleen 24.10.2018. Soittaja kertoi, ettei päivitys onnistunut ensimmäisellä kerralla, ja hän pyysi avainlukua, jonka asiakas kertoi. Asiakas huomasi 5.11.2018 tililtään tehdyn 23.10.-24.10.2018 neljä oikeudetonta tilisiirtoa yhteisarvoltaan 41.800,00 euroa.

Asiakkaan valitus

Asiakas vaatii, että pankki velvoitetaan palauttamaan asiakkaalle 41.750,00 euroa, suorittamaan asiakkaalle korkolain 4 §:n 1 momentin mukaista viivästyskorko 23.10.2018 lukien 30.000,00 euron osalta ja 24.10.2018 lukien 11.750,00 euron osalta.

Tapahtumien kulku

Asiakas on 77-vuotias mies ja syntyisin Japanista. Hänen suomenkielentaitonsa ei ole täydellinen ja hän seuraa pääasiassa Japanin tiedotusvälineitä. Pankki kutsui asiakkaan tapaamiseen toimitiloihinsa. Tarkoituksena oli päivittää asiakkaan tilien tietoja ja oikeuksia. Toisin kuin asiakkaalle oli kerrottu, tapaamisessa 9.10.2018 keskityttiin lähes yksinomaan sijoituspalveluiden markkinointiin. Olihan pankilla tiedossa, että asiakkaan tilillä oli suuri summa rahaa. Pankin väite, että asiakkaan kanssa olisi keskusteltu pankkitunnusten luovuttamisen ankarasta kiellosta, ei pidä paikkaansa. Tapaamisen jälkeen asiakas jäi siihen käsitykseen, että tiliasioiden päivittäminen on edelleen kesken.

Asiakas sai pankista 22.10.2018 sähköpostiviestin, jossa pyydettiin hyväksymään järjestelmäpäivitys ja päivittämään yhteystiedot. Samalla ilmoitettiin, että pankin asiakaspalvelija ottaa yhteyttä 72 tunnin sisällä. Seuraavana päivänä pankin virkailija soitti asiakkaalle kaksi kertaa. Virkailija kertoi, että kyseessä on tilitietojen päivitys ja pyysi asiakkaalta avainkoodin. Asiakas kertoi koodin.

Pankin virkailija soitti uudelleen 24.10.2018 ja kertoi, ettei päivitys onnistunut ensimmäisellä kerralla. Virkailija pyysi avainkoodia ja asiakas kertoi avainkoodin.
 
Huomattuaan oikeudettomat tilisiirrot 5.11.2018 asiakas oli välittömästi yhteydessä pankkiin ja teki oikeudettomista tilisiirroista rikosilmoituksen. Samalla kävi ilmi, etteivät sähköposti ja puhelinsoitot tulleet pankista.

Kyse ei ole tunnusten luovuttamisesta

Kun asiakas kertoi avainkoodin, hän on ollut käsityksessä, että asioi pankin kanssa. Asiointi alkoi 9.10.2018 pankin toimitilassa, mutta tilitietojen päivittäminen jäi kesken. Saman asian käsittely jatkui myöhemmin sähköpostin ja puhelimen välityksellä.

Ei ole todennäköistä, että pankkia lukuun ottamatta kukaan muu ottaisi yhteyttä asiakkaan tileihin liittyvässä keskeneräisestä asiassa joitakin päiviä konttorissa aloitetun asioinnin jälkeen. Asiakkaan pankkisuhteesta tai pankin kanssa keskeneräisestä asiasta ei pitäisi olla tietoa kenelläkään muulla kuin pankilla ja asiakkaalla itsellään. Asiakkaan kannalta on kuitenkin tärkeää, että tileihin liittyvä keskeneräinen asia hoidetaan pankin kanssa loppuun, ja luonnollista, että pankkiasiointia hoidetaan sähköpostin välityksellä, koska pankki on kirjannut verkkopankkisopimukseen asiakkaan sähköpostiosoitteen. Olisi hyvin erikoista, että pankki kirjaisi verkkopankkisopimukseen asiakkaan yhteystietoja, joita ei aikoisi käyttää. Täysin mahdotonta olisi, että pankki kirjaa sopimuksen yhteystietoihin sähköpostiosoitteen ja asiakkaan pitäisi mediassa esitettyjen tietojen perusteella ymmärtää, ettei sähköpostia käytetä verkkopankkisopimukseen liittyvissä asioissa. Näin ollen asiakas on perustellusti voinut odottaa pankin yhteydenottoa sopimukseen kirjattuun sähköpostiin ja vastata siihen.

Puhelinyhteydenotot pankista ovat tavallisia ja puhelinnumero on niin ikään kirjattu verkkopankkisopimukseen. Puhelinyhteydenoton aikana on tavallista, että asiakkaan tunnistaminen tehdään pankkitunnuksilla. Asiakas on siis perustellusti voinut odottaa pankin yhteydenottoa puhelimitse ja käyttää pankkitunnuksia puhelimessa. Asiakkaan menettely ei poikkea maksupalvelulain esitöiden tarkoittamalla tavalla selvästi ja olennaisesti siitä, mitä huolelliselta menettelyltä vaaditaan. Yhteydenpito on ollut verkkopankkisopimuksen mukaista.

Pelkällä avainkoodilla ei pitäisi olla pääsyä asiakkaan tilille tai mahdollisuutta tehdä tilisiirtoa. Asiakkaan käsityksen mukaan pelkkä avainkoodi ilman muita verkkopankin tunnuksia on hyödytön haltijalleen. Toisaalta on luonnollista, että pankki pyytää puhelimessa avainkoodin, jolla varmistetaan asiakkaan hyväksyntä pankin tekemille päivityksille.

Pankki on viitannut avaintunnuskortin saatekirjeeseen, jossa todetaan: "Älä koskaan luovuta avaintunnuskorttia, käyttäjätunnusta ja salasanaa kenellekään muulle." Pankin ohjeistus on sanamuodon mukaan tulkittava siten, että kiellettyä on avaintunnuskortin, käyttäjätunnuksen ja salasanan luovuttaminen yhdessä. Mikäli pankin tarkoitus olisi kieltää avaintunnuskortin, käyttäjätunnuksen tai salasanan luovuttaminen yksittäin, pankin olisi pitänyt näin ohjeistaa. Asiakas on toiminut täsmälleen kirjeessä mainitun ohjeen mukaisesti. Asiakas ei ole luovuttanut avaintunnuskorttia kenellekään.

Pankin kirjeellä antama ohjeistus asiakkaalle on epätäsmällistä tai kokonaisuus huomioiden erittäin puutteellista. Antaessaan ohjeistuksen pankki on tietoinen, että asiakas on lähes 80-vuotias eikä hänen suomen kielen taitonsa ole täydellinen.

Koska asiakas on ollut siinä käsityksessä, että asioi pankin kanssa eikä asiakas  näin ollen ole tietoisesti luovuttanut maksuvälineen hallintaa toiselle, tapausta ei voida tulkita maksupalvelulain 62 §:n 1 momentin 1) kohdan mukaisena luovuttamisena. Hallituksen esityksen (HE 169/2009 vp) mukaan luovutuksesta on kyse vain silloin, kun maksuvälineen haltija tietoisesti luovuttaa juuri maksuvälineen hallinnan toiselle. Asiakas ei ole luovuttanut tietoisesti avainkoodia toiselle. Myös Pankkilautakunta on ratkaisukäytännössään sanotulla kannalla (FINE-003501).

Maksupalvelulain mukaisesta vastuunjaosta

Maksupalvelulain ja -direktiivin mukaisessa vastuunjaossa riskit maksuvälineen oikeudettomasta käytöstä kuuluvat lähtökohtaisesti palveluntarjoajalle eli pankille. Vastuun täysimääräinen siirtyminen palvelun käyttäjälle on poikkeuksellista ja edellyttää tahallista tai törkeästä huolimattomuudesta johtuvaa laiminlyöntiä. Näin vastuunjakoa arvioi korkein oikeus ratkaisussaan KKO:2018:71. Pankki puhuu vastauksensa useassa kohdassa aktiivisesta ja passiivisesta tekemisestä. Tällaiset kategoriat ovat kuitenkin vieraita maksupal-velulain 62 §:n esitöille ja eikä kategorioita mainita myöskään lakitekstissä.

Tässä tapauksessa ei ole kyse tahallisesta laiminlyönnistä eikä törkeästä huolimattomuudesta johtuvasta laiminlyönnistä. Asiakkaan näkemyksen mukaan hän on korkeintaan huolimattomuudesta laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaiset velvollisuutensa kertoessaan avainkoodin puhelimessa. Näin ollen maksupalvelulain 62 §:n mukaan asiakkaan vastuu on enintään 50 euroa. 

Pankki ei ole pyrkinyt estämään vahinkoa

Jostain syystä pankki ei ole kehittänyt toimintojaan sellaisiksi, että asiakkaalle aiheutunut vahinko olisi estetty. Asiaa koskevat säädökset ovat olleet voimassa jo vuosia ja maksupalvelulain mukaan pankille tulevat vastuut ankaria. Pankkialalla on muutenkin varauduttu estämään maksuvälineiden oikeudettoman käytön aiheuttamia vahinkoja monin toimin ja pankin toimimattomuus puheena olevassa asiassa on tullut yllätyksenä.

Pankki ei ole tehnyt minkäänlaisia nykypäivän turvatoimia poikkeuksellisten tai oikeudettomien tilisiirtojen estämiseksi. Poikkeuksellista asiakkaan tililtä tehdyissä suorituksissa on niiden suuruusluokka, yhteensä yli 40.000 euroa, ja usean tilisiirron suuntautuminen ulkomaille. Pankilla on omien ehtojensa mukaan oikeus rajoittaa pankkitunnusten käyttöä ja oikeus jopa sulkea pankkitunnukset. Syyksi riittää epäilys pankkitunnusten oikeudettomasta käytöstä. Pankki ei ole käyttänyt oikeuttaan tai reagoinut mitenkään oikeudettomiin ja poikkeuksellisiin tilisiirtoihin.

Pankin mukaan mediassa ja uutisissa varoitetaan jatkuvasti erilaisista pankkihuijauksista. Asiakkaan käsityksen mukaan median tiedot pitäisi kannustaa erityisesti pankkia kehittämään palvelunsa ajanmukaisiksi, ettei maksuvälineiden oikeudeton käyttö olisi mahdollista. Pankki on varmasti tietoinen myös siitä, että iäkkäämmät ihmiset ovat todennäköisimmin pankkihuijausten uhreja. Silti pankki ei ole tehnyt tai ehdottanut minkäänlaisia turvatoimia asiakkaalle.

Erikseen on todettava, että pankin on tunnettava asiakkaansa. Pankki on siis hyvin tietoinen, että asiakas on lähes 80-vuotias, seuraa lähinnä Japanin mediaa eikä hänen suomen kielen taitonsa ole täydellinen.

Pankki on laiminlyönyt ajanmukaisten turvatoimien luomisen tai ainakin niiden ulottamisen asiakkaan varojen suojaksi. Pankin laiminlyöntejä ovat sähköpostin käyttäminen verkkopankkisuhteessa, tilisiirtoihin liittyvä turvarajojen ynnä muiden turvatoimien puuttuminen ja pankin puuttumattomuus poikkeuksellisiin maksutapahtumiin. Maksupalvelulain mukaan pankin laiminlyönti johtaa pankin korvausvastuuseen.

Pankin velvollisuus palauttaa rahat ja korko

Maksupalvelulain 63 §:n 1 momentin mukaan palveluntarjoajan eli pankin on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen.

Maksupalvelulain 63 §:n 3 momentin mukaan hyvityksen arvopäivän on oltava viimeistään se päivä, jona oikeudettoman maksutapahtuman rahamäärä veloitettiin. Arvopäivä on se päivä, jolloin koronlaskenta alkaa.

Pankin vastine

Asiakas on vaatinut, että pankki korvaa hänelle 41.750 euroa, eli sen vahingon, joka pankin käsityksen mukaan on aiheutunut asiakkaalle hänen omasta toiminnastaan, eli verkkopankin käytön mahdollistavien tunnusten eli maksuvälineen luovuttamisesta toiselle. Pankin käsityksen mukaan asiassa on kyse puhtaasti maksupalvelulain 62 §:n 1 momentin 1 kohdan mukaisesta menettelystä, jolloin asiakas vastaa yksin itse oikeudettomasta käytöstä ja sen aiheuttamista menetyksistä.

Pankin käsityksen mukaan asiakas on 22.10.2018 saamaansa sähköpostiin vastatessaan luovuttanut käyttäjätunnuksensa ja salasanansa. Asiakkaan mukaan hänelle on sähköpostia seuranneena päivänä soitettu kahteen kertaan, ja hän on puhelimitse luovuttanut verkkopankin "avainkoodin". Hänelle on vielä 24.10.2018 soitettu ja hän on tässäkin puhelussa kertomansa mukaan luovuttanut "avainkoodin".

Näiden asiakkaan itsensä, vastoin tekemäänsä verkkopankkisopimusta ja antamaansa sitoumusta olla luovuttamatta tunnuksia toiselle, tekemien tunnusten luovuttamisten osalta pankki katsoo hänen menetelleen vähintään törkeän huolimattomasti, ellei tällaisen piittaamattomuuden katsota rinnastuvan jopa tahallisuuteen.

Asiakkaalla on jo aiemmin ollut verkkopankkitunnukset käytössään, mutta joidenkin asiakkaan pankkiasiointia koskevien muutosten johdosta verkkopankkisopimus on uusittu 9.10.2018 ja asiakas on allekirjoittanut sopimusmuutoksen sähköisesti. Tässä yhteydessä asiakkaan huomiota on vielä kiinnitetty siihen, että tunnuksia ei saa kenellekään muulle luovuttaa.

Asiakasta on siis alle kaksi viikkoa ennen verkkopankin käyttämisen mahdollistavien välineiden luovuttamista toiselle informoitu ja hän on saanut kirjallisesti menettelytapaohjeet, miten saa toimia ja miten no. ei saa toimia, ennen kuin hän tekemänsä sopimuksen ja siinä antamansa sitoumuksen vastaisesti luovutti tunnukset toiselle. 

Tiedottamisen voi siis todeta tapahtuneen tavallaan kertauksena, koska asiakkaalla on entuudestaan ollut käytössään verkkopankki, ja käyttösäännöt on hänelle luonnollisesti aiemminkin selvitetty. Asiakas on ollut täysin tietoinen siitä, että hän ei saa tunnuksia toiselle luovuttaa, ja siitä huolimatta hän on näin menetellyt. Tällainen piittaamattomuus olisi pankin käsityksen mukaan katsottava ennemmin tahalliseksi teoksi, mutta törkeän huolimattomasti asiakkaan on joka tapauksessa katsottava asiassa menetelleen. 

Tällaisessa harkinnassa tulee pankin käsityksen mukaan huomioida ensinnäkin se, että asiakas on mahdollistanut vahinkonsa aktiivisella teollaan. Hän ei ole mahdollistanut toisen tekemää väärinkäytöstä laiminlyömällä huolellisuusvelvoitettaan esim. käsittelemällä tunnistautumisvälineitä siten, että ne olisivat olleet toisen saatavilla hänen tahtomattaan. Passiivisen tekemisen sijasta asiakas on no. aktiivisesti luovuttanut käyttäjätunnuksensa, salasanansa sekä avainluvut toiselle.

Toisekseen, tunnusten luovuttamista koskevan kiellon ja muiden menettelytapoja koskevien sopimusehtojen läpikäynti ajallisesti hyvin vähän aikaa eli alle kaksi viikkoa siitä, kun asiakas ne kuitenkin vapaasta tahdostaan toiselle luovutti, on huomioitava huolimattomuuden astetta arvioitaessa. Vaikka mediassa, niin sähköisessä kuin painetussakin, varoitetaan jatkuvasti ihmisiä siitä, että pankki ei koskaan tiedustele sähköpostitse tai puhelimitse verkkopankkitunnuksia ja vaikka asiakas on varmasti tullut yleisen uutisoinninkin kautta tietoiseksi asiasta, häntä on no. sopimusta uusittaessa informoitu henkilökohtaisesti.

Tunnusten luovuttaminen

Asiakas vetoaa valituksessaan siihen, että hän ei olisi tunnuksia puhelimessa luovuttaessaan kuitenkaan luovuttanut tietoisesti maksuvälineen hallintaa. Tämän asiakkaan esittämän näkemyksen tueksi vedottu sekä lain esitöihin (HE 169/2009 vp) että Pankkilautakunnan ratkaisusuositukseen (FINE-003501).

Hallituksen esityksessä HE 169/2009 vp. (s. 74) on todettu luovutuksella tarkoitettavan vapaaehtoista luovutusta, ja kun maksuvälineen haltija tietoisesti luovuttaa juuri maksuvälineen hallinnan toiselle. Asiakas ei ole tässä asiassa väittänytkään, etteikö hän olisi vapaaehtoisesti luovuttanut hallintaa toiselle. Hallituksen esityksessä tietoisen luovuttamisen merkitystä on selitetty esimerkkitilanteella, jossa haltija luovuttaa toisen säilytettäväksi laukun, jossa maksuväline on. Tällaisessa tapauksessa hallituksen esityksen mukaan kyse ei olisi tietoisesta luovuttamisesta, mutta haltijalle voi kuitenkin syntyä vastuu oikeudettomasta käytöstä huolimattomuuden perusteella.

Lain esitöissä ei anneta mitään painoarvoa tietoisen luovuttamisen määrittelyn osalta sille, kenelle maksupalvelun käyttäjä maksuvälineen hallinnan luovuttaa. Määrittely on pankin käsityksen mukaan sidottu siihen, ja vain siihen, luovuttaako maksupalvelun käyttäjä no. maksuvälineen esineenä toiselle, vapaaehtoisesti. Tämä on tietenkin itsestään selvää, koska maksuväline, eli tässä verkkopankin käyttämiseen tarvittavat käyttäjätunnus, salasana sekä avainkoodit ovat henkilökohtaiset ja vain tarkoitettu henkilön itsensä käyttöön, ja hän on verkkopankkisopimuksessa itseään velvoittavasti sitoutunut siihen, että hän ei luovuta niitä kenellekään muulle.
 
Koska asiakkaan itsensä kertoman perusteella hän on luovuttanut aktiivisesti ja esineenä maksuvälineen toiselle, on kyse puhtaasti tietoisesta luovuttamisesta. Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä on tapahtumahetkellä määräytynyt maksupalvelulain (14.12.2017/898) 62§:n 1 momentin 1 kohdan mukaisesti.

Aiemmin voimassa olleen lain esitöistä on yllä kuvatusti saatavissa tukea myös voimassa olevan lain tulkinnassa, mutta voimassa olevan lain esitöissä HE 132/2017 vp. (s. 45) on kuitenkin asiaa pankin käsityksen mukaan selkeytetty entisestään rajaamalla maksupalvelun käyttäjän vastuu yksioikoisemmin siihen, onko hän menetellyt momentissa säädetyllä tavalla, ja toki syy-yhteyden merkitystä on korostettu. Esitöiden nojalla pankin käsityksen mukaan voimassa olevan lain osalta korostuu vielä jyrkemmin kahtiajako, onko asiakas luovuttanut aktiivisesti tunnukset toiselle, vai onko hän passiivisesti käytöksellään mahdollistanut toiselle maksuvälineen tosiasiallisen käyttämisen (tilanne, jossa henkilö esim. säilyttämällä tunnuksia siten, että ne ovat päätyneet toisen käytettäväksi esim. anastuksen kautta), jolloin on vastuun jakautumista harkittaessa punnittava, onko asiakas näin menetellessään toiminut törkeän huolimattomasti.

Sille, kenelle maksupalvelun käyttäjä luovuttaa tai luulee luovuttavansa maksuvälineen, ei edelleenkään anneta esitöiden ja lain kirjaimen mukaan merkitystä. Tässä kohden pankin näkemys on, että valituksessa viitatun suositusratkaisun osalta (FINE-003501) Pankkilautakunta on soveltanut aiemmin voimassa ollutta säännöstä ko. yksittäistapauksessa virheellisesti rakentaessaan ratkaisunsa sen varaan, kenelle maksupalvelun käyttäjä on luullut maksuvälineen luovuttavansa. Joka tapauksessa tälle suositusratkaisulle ei pankin käsityksen mukaan voida antaa mitään merkitystä lainmuutoksen jälkeen nyt käsiteltävänä olevassa tapauksessa.

Asiakkaan valituksessa on myös viitattu korkeimman oikeuden ennakko-päätökseen, KKO 2018:71. Kyseinen ennakkopäätös tulee kuitenkin pankin käsityksen mukaan huomioida kokonaisuutena, eikä pelkästään asiayhteydestä irrotettua yksittäistä kohtaa, jossa pohditaan yleisellä tasolla vastuun jakautumista. Kyseisessä tapauksessa on ollut kyse passiivisen käyttäytymisen johdosta toisen haltuun joutuneen maksuvälineen käyttämisestä. KKO ei ole katsonut huolellisuusvelvoitteen rikkomisen poikkeuksellisissa olosuhteissa olleen törkeällä tasolla. Asiakkaan tapauksessa hän on kuitenkin aktiivisesti luovuttanut maksuvälineen toiselle, eikä ennakkopäätöksestä ole johdettavissa nyt ratkaistavan asian osalta mitään muuta oikeusohjetta, kuin se, että aktiivisen luovuttamisen tapauksessa asiakas vastaa aina itse vahingostaan.

Edelleen pankki katsoo, että asiassa ei ole merkitystä sillä, kenelle maksuvälineen hallinta luovutetaan, tai kenelle asiakas sen luulee luovuttavansa. Maksuvälineen hallintaa ei saa luovuttaa kenellekään toiselle, mistä asiakas on täysin tietoinen.

Koska asiakas on tahallisesti tai vähintään törkeän huolimattomalla tavalla luovuttanut maksuvälineen toiselle, hän vastaa menettelystään aiheutuneesta vahingosta maksupalvelun käyttäjänä itse maksupalvelulain 62 §:n 1 momentin 1 kohdan nojalla.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Asiakkaan poliisilta saamat kuvakaappaukset sähköpostiviestistä ja viestissä olleesta linkistä avautuneesta lomakkeesta, jotka asiakkaan mukaan olivat samanlaiset hänen kohdallaan
- Verkkopankkisopimus 9.10.2018
- Sähköisen allekirjoituksen kuvaruutukopio
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot
- Pankin asiakaskirje: Avaintunnuskorttisi, ole hyvä
- Tilitapahtumat 22.10.-5.11.2018

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun/tietoon tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on. Edelleen Pankkilautakunnan on arvioitava, voidaanko pankin katsoa laiminlyöneen velvollisuuksiaan palveluntarjoajana, kun se ei ole estänyt ko. veloitusten toteutumista, ja miten pankin mahdolliset laiminlyönnit vaikuttavat asiakkaan ja pankin väliseen vastuunjakoon asiassa.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n 1 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
 1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
 2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
 3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
 1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
 2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
 3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
 4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Lain 63 §:n 1-3 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Mitä 1 momentissa säädetään, ei sovelleta, jos palveluntarjoajalla on perusteltu syy epäillä tahallista väärää ilmoitusta tai muuta sellaista petollista menettelyä ja palveluntarjoaja ilmoittaa tästä sekä epäilyksen syistä kirjallisesti Finanssivalvonnalle.
Maksutilin hyvityksen arvopäivän on oltava viimeistään se päivä, jona oikeudettoman maksutapahtuman rahamäärä veloitettiin.

Pankin Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta kun tunnistuksia käytetään maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan:
Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.

Pankkitunnusehtojen Ilmoitus pankkitunnusten katoamisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi, Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]

Asian arviointi

Pankkilautakunta toteaa pankin pankkitunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä avainlukulistasta. Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on antanut sähköpostiinsa tulleessa viestissä olleesta linkistä avautuneella sähköisellä lomakkeella ainakin käyttäjätunnuksensa ja salasanansa sekä tämän jälkeen saamissaan puheluissa vähintään kaksi avainlukua avainlukulistastaan. 

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle. Lautakunta katsoo, että maksupalvelulakiin myöhemmin säädettyjen muutosten yhteydessä tämä lähtökohta sille, mitä ko. lainkohdan mukaisella luovuttamisella laissa tarkoitetaan, ei ole muuttunut. 

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut pankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut pankin kanssa ja on antanut tunnuksiaan niitä koskevan sopimuksen mukaisessa käyttötarkoituksessa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan niitä koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Pankkitunnusehdoissa asiakas on sitoutunut säilyttämään henkilökohtaiset pankkitunnukset huolellisesti ja tunnuksen osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Ehtojen mukaan tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Pankin avainlukulistan asiakaskirjeessä todetaan, että avaintunnuskortti ja tunnukset ovat aina henkilökohtaisia, ja kielletään koskaan luovuttamasta avaintunnuskorttia, käyttäjätunnusta ja salasanaa kenellekään muulle.

Pankki on lisäksi vedonnut siihen, että pankkitunnusten oikeudetonta käyttöä edeltäneessä tapaamisessa pankissa on käyty läpi pankkitunnusehtoja ja että mediassa varoitetaan jatkuvasti ihmisiä siitä, että pankki ei koskaan tiedustele sähköpostitse tai puhelimitse verkkopankkitunnuksia.

Tätä tapausta vastaavissa Pankkilautakunnan käsittelemissä tapauksissa, joissa tietojenkalastelun uhriksi joutunut pankin asiakas on antanut verkkopankkitunnustensa osia ensin sähköpostiviestissä olleen linkin kautta ja tämän jälkeen vielä antanut tunnuksiaan puhelimitse, lautakunta on katsonut asiakkaan menetelleen kokonaisuutena arvioiden maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittaen ja vastuu tunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta on näissä tapauksissa näin ollen jäänyt asiakkaan ja pankin välisessä suhteessa asiakkaan kannettavaksi.

Pankkilautakunta katsoo tämän tapauksen kuitenkin poikkeavan yksityiskohdiltaan aiemmin lautakunnan käsiteltävinä olleista vastaavantyyppistä tapauksista ja lautakunta kiinnittääkin asiassa saadussa selvityksessä huomiota seuraaviin seikkoihin. 

Tässä tapauksessa asiakkaan saamaa sähköpostiyhteydenottoa on edeltänyt pankin konttorissa asiointi, jossa on asiakkaan kertoman mukaan päivitetty hänen tiliasioitaan ja tämä palveluiden päivittäminen on asiakkaan käsityksen mukaan jäänyt kesken, mitä pankki ei ole myöskään kiistänyt. 

Asiakkaan ko. tapaamisessa tekemään uuteen verkkopankkisopimukseen on kirjattu asiakkaan sähköpostiosoite ja puhelinnumero, joita asiakas on Pankkilautakunnan näkemyksen mukaan voinut perustellusti odottaa pankin käyttävän ottaessaan yhteyttä asiakkaaseen kyseistä sopimusta koskevissa asioissa.

Edelleen Pankkilautakunta kiinnittää huomiota siihen, että asiakkaan mukaan em. tapaamisessa keskityttiin lähes yksinomaan sijoituspalveluiden markkinointiin, mitä pankki ei ole kiistänyt, eikä pankkitunnusten luovuttamista koskevasta kiellosta keskusteltu.  Lautakunta katsookin asiassa saadun selvityksen perusteella jäävän epäselväksi, millä tavoin em. tapaamisessa tunnusten luovuttamista koskevaa kieltoa ja pankkitunnusehtoja on mahdollisesti käyty läpi.

Lautakuntakunta kiinnittää huomiota myös siihen, että pankki on vedonnut mediassa jatkuvasti varoitetun ihmisiä siitä, että pankki ei koskaan tiedustele verkkopankkitunnuksia sähköpostitse tai puhelimitse, mutta pankki ei ole esittänyt, että pankki olisi itse erityisesti tiedottanut asiakkaitaan asiasta. Myöskään asiassa saadun selvityksen perusteella pankki ei ole millään tavoin kirjallisesti varoittanut asiakkaitaan tai ko. asiakasta tämän tapauksen kaltaisesta rikollisesta tietojenkalastelusta. 

Lopuksi Pankkilautakunta kiinnittää huomiota myös siihen, että asiakkaan saaman pankin nimissä lähetetyn sähköpostin voidaan katsoa olevan muotoilultaan uskottava ja taitavasti laadittu kuten myös sähköpostin linkistä avautuneen sähköisen yhteystietolomakkeenkin.

Huomioon ottaen edellä todetut seikat ja erityisesti se, että pankki ei ole kiinnittänyt asiakkaan erityistä huomiota tunnusten turvalliseen käyttämiseen vaan asia oli jäänyt ainoastaan sopimuksen ehtokohdan varaan, Pankkilautakunta katsoo ymmärrettäväksi, ettei asiakas ole osannut epäillä saamansa sähköpostiviestin olleen jonkin muun tahon kuin pankin lähettämä ja siinä olleen linkin kautta avautuneen sähköisen lomakkeen kautta annettavien tietojen päätyvän rikollisille. Edelleen lautakunta katsoo ymmärrettäväksi, että asiakas on puhelun saatuaan olettanut pyydettyjen avainlukujen olevan tarpeen tunnistaumistarkoituksessa tai tietojen päivityksen hyväksymiseksi. 

Ottaen kuitenkin huomioon, että asiakas on antanut puhelimessa avainlukuja ainakin kahteen otteeseen ja kahtena eri päivänä kyseenalaistamatta menettelyn asianmukaisuutta, Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan. Mikäli asiakas olisi ensimmäisen tai edes sitä seuranneet puhelut saatuaan ymmärtänyt kyseenalaistaa yhteydenottojen tai menettelyn asianmukaisuuden ja olisi ennen avainlukujensa antamista ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä ainakin osittain.

Asiassa saadun kokonaisselvityksen perusteella Pankkilautakunta katsoo, ettei asiakkaan menettelyn kokonaisuutena kuitenkaan voida katsoa osoittavan asiakkaan suhtautuvan selvästi piittaamattomasti tunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Siten asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.

Viivästyskorko

Asiakas on tapauksessa vaatinut pankkia maksamaan korkolain 4 §:n 1 momentin mukaista viivästyskorkoa hänelle palautettaville summille niiden veloituspäivistä 23.10.2018 (30.000,00 euron osalta) ja 24.10.2018 (11.750,00 euron osalta) lukien ja asiakas on tältä osin vedonnut maksupalvelulain 63 §:n 1 ja 3 momentteihin. Pankki ei ole ottanut tapauksessa kantaa asiakkaan viivästyskorkoja koskevaan vaatimukseen.

Maksupalvelulain 63 §:n 1 momentin mukaan palveluntarjoajan on välittömästi tai viimeistään seuraavana työpäivänä siitä, kun se havaitsi oikeudettoman maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen. Maksupalvelulain muuttamiseen johtaneessa hallituksen esityksessä (132/2017) todetaan em. säännöksen osalta, että palveluntarjoaja voi luonnollisesti ennen palautuksen tekemistä pyrkiä selvittämään, onko maksupalvelun käyttäjä vastuussa oikeudettomasta maksutapahtumasta, mutta tällöin palveluntarjoaja kantaa yleensä riskin siitä, että palautuksen tekemisen katsotaan viivästyneen selvittelytyöhön käytettynä aikana, jos palveluntarjoaja ei loppujen lopuksi kykene osoittamaan, että sillä ei ole palautusvelvollisuutta. Viivästymisestä voi seurata muun muassa velvollisuus maksaa palautettavalle määrälle viivästyskorkoa korkolain (633/1982) mukaisesti.  

Maksupalvelulain 63 §:n 3 momentin mukaan maksutilin hyvityksen arvopäivän on oltava viimeistään se päivä, jona oikeudettoman maksutapahtuman rahamäärä veloitettiin. Lain 1 luvun 8 §:n (Määritelmät) 19 kohdan mukaan laissa tarkoitetaan arvopäivällä viiteajankohtaa, jota palveluntarjoaja käyttää laskiessaan korkoa varoille, jotka veloitetaan maksutililtä tai maksetaan maksutilille.

Pankkilautakunta toteaa edellä esitettyyn viitaten, että tässä tapauksessa pankki on alun perin - päättäessään jättää palauttamatta asiakkaan 5.11.2019 oikeudettomiksi ilmoittamat maksutapahtumat välittömästi ilmoituksen tekemisen jälkeen - ottanut riskin siitä, että palautuksen tekemisen katsotaan viivästyneen selvittelytyöhön käytettynä aikana, jos pankki ei loppujen lopuksi kykene osoittamaan, että maksutapahtuma on ollut oikeutettu. Pankkilautakunta katsoo, että pankin on maksettava asiakkaalle nyt ratkaisusuosituksen mukaisesti palautettavalle summalle viivästyskorkoa asiakkaan tekemää em. ilmoitusta seuraavasta päivästä 6.11.2018 lukien palautuksen lopulliseen maksupäivään saakka.

Edelleen Pankkilautakunta katsoo, että pankin tulee maksaa asiakkaalle palautettaville summille asiakkaan tilisopimuksen mukaista talletuskorkoa veloituspäivistä (23.10.2018 ja 24.10.2018) lukien siihen päivään (6.11.2019) saakka, jona pankin olisi tullut asiakkaan tiliä hyvittää ja josta päivästä lukien pankin em. velvollisuus maksaa viivästyskorkoa alkaa. 

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut pankkitunnuksiaan niiden käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Asiassa saadun kokonaisselvityksen perusteella ja olosuhteet huomioon ottaen lautakunta kuitenkin katsoo, ettei asiakkaan menettely osoita sellaista erittäin vakavaa varomattomuutta, jota maksupalvelulain mukaisella törkeällä huolimattomuudella tarkoitetaan. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.  

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa ja maksaa asiakkaalle palautettavalle summalle viivästyskorkoa 6.11.2018 lukien palautuksen lopulliseen maksupäivään saakka sekä asiakkaan tilisopimuksen mukaista korkoa oikeudettomien tapahtumien veloituspäivistä lukien 6.11.2018 saakka.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén 

Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen
 

Tulosta