Haku

FINE-036852

Tulosta

Asianumero: FINE-036852 (2021)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 16.06.2021

Miten vastuu asiakkaan korttitiedoilla verkossa tehdystä ja pankin mobiilisovelluksella vahvistetusta korttitapahtumasta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 9.2.2021 pankin nimissä lähetetyn sähköpostin, jossa ilmoitetun mukaan pankki on turvallisuussyistä estänyt asiakkaan kortin väliaikaisesti ja kortin aktivoidakseen asiakkaan tulee napsauttaa viestissä ollutta linkkiä. Asiakas on linkin kautta avautuneilla sivuilla syöttänyt korttitietonsa.        

Pankki on lähettänyt asiakkaalle 9.2.2021 klo 21:55 ja 21:58 kaksi pankin mobiilisovelluksen aktivointikoodia sisältänyttä tekstiviestiä, joista ensimmäinen on koskenut rikollisten laitteelle aktivoitavaa sovellusta ja jälkimmäinen asiakkaan puhelimeen aktivoitavaa sovellusta.

Rikolliset ovat aktivoineet laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen. Mobiilisovellusta käyttäen on asiakkaan verkkopankkiin kirjauduttu klo 21.57 ja vahvistettu klo 22.08 asiakkaan kortin luottorajaan tehty korotus 6.000 eurosta 7.000 euroon. Klo 22.33 on asiakkaan korttitiedoilla ja pankin mobiilisovelluksella vahvistaen yritetty tehdä 6.900,99 euron korttimaksu, mutta tapahtuma on epäonnistunut turvarajan vuoksi. Klo 22.34 on kortin vuorokausikohtaista turvarajaa korotettu mobiilisovelluksella vahvistaen 1.000 eurosta 7.000 euroon ja tämän jälkeen klo 22.36 on tehty mobiilisovelluksella vahvistaen 6.900,99 euron korttimaksu. Ko. maksun jälkeen on vielä yritetty tehdä uusia korttimaksuja, jotka ovat kuitenkin epäonnistuneet niiden ylittäessä vuorokausikohtaisen turvarajan.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan asiassa aiheutuneen 6.900,99 euron vahingon.

Asiakas otti asuntolainaa joulukuussa 2020. Vaikka asiakas ei luottokorttia halunnut, pankkivirkailija tyrkytti sellaista ja suositteli, että luottokortti on turvallinen ja että kaikki kannattaa maksaa verkossa sekä ulkomailla luotolla juuri huijausten takia.

9.2.2021 asiakkaan sähköpostiin tuli pankilta viesti, jossa luki että asiakkaan kortti on tilapäisesti suljettu ja että jos asiakas haluaa aktivoida sen, pitäisi klikata linkkiä. Viestissä oli suuri pankin logo ja kaikessa hässäkässä mitä remontti ja muutto aiheuttivat, asiakas uskoi, että kortti on suljettu koska pankki suojaa asiakkaan tiliä ja rahoja.

Kun asiakas näki huijausviestin, hän ajatteli, että tarvitsee korttiaan aamulla bensaa varten ja väsyneenä klikkasi linkkiä. Asiakasta pyydettiin syöttämään kortin numerot etuosasta sekä takaosassa olevat kolme numeroa, ja se oli siinä. Sen jälkeen asiakas ei ole täysin varma mitä vielä pyydettiin tekemään, mutta nopeasti tuli ikkunaan teksti ”kiitos, kortti on nyt aktivoitu”. Asiakas yritti kirjautua pankin sovellukseen tarkistaakseen tilin, ja asiakasta pyydettiin jostain syystä aktivoimaan koko sovellus uudestaan. Klo 21.55 tuli tekstiviesti, jossa oli aktivointikoodi. Asiakas syötti koodin yhden kerran ja ainoastaan omaan puhelimeensa sovellukseen, joka ei jostain syystä toiminut kyseisenä iltana. Sen jälkeen asiakas lähti nukkumaan, koska hänellä oli herätys klo 5.

Asiakasta ei pyydetty missään vaiheessa hyväksymään kyseistä summaa, sen hän olisi totta kai huomannut. 6.900,99 euroa on lähtenyt luoton puolelta ilman mitään muuta hyväksymistä. Asiakas huomasi 11.2.2021 iltapäivällä menetyksensä.

Asiakas ei ole 100%-varma, syöttikö hän pankkitunnukset, mutta pankin vastauksen jälkeen asiakas on täysin varma, ettei ollut tähän aikaan edes hereillä. Asiakas ei ole noin monta kertaa hyväksynyt ja näprännyt pankkiasioitaan. Yksi kerta voi jäädä huomaamatta, mutta tässä on ainakin kahdeksan mobiiliavaimella hyväksyttyä maksua, jotka on varmasti hyväksynyt joku muu joka pääsi asiakkaan pankkiin.

Asiakas odotti pankilta enemmän vastuuta tilanteessa, jos huijareita on liikkeellä nykyään niin paljon ja suurimmaksi osaksi huijarit vievät rahat Espanjaan. Miksi pankin hälytysjärjestelmä ei soinut siinä vaiheessa, kun asiakkaan luottotililtä meni tuhansia euroja Espanjaan? Asiakas ei tee niin isoja ostoksia ja luottokortilta asiakas ei ole maksanut netissä kuin euron parin ostoksia.

Pankin vastine

Pankki katsoo, että verkkopalvelutunnusten joutuminen ulkopuolisen tietoon on johtunut asiakkaan törkeästä huolimattomuudesta ja että asiakas on vastuussa kortillaan ja verkkopalvelutunnuksillaan tehdyistä tapahtumista.

Pankin verkkopalveluun kirjautumiseen vaaditaan asiakkaalle luovutetun käyttäjätunnuksen ja salasanan syöttämistä sekä avainlukulistan vaihtuvan luvun tai vahvistuksen pankin mobiilisovelluksella. Pankin mobiilisovelluksen aktivointia varten vaaditaan pankin tunnukset, salasana sekä vahvistus avainlukulistalla tai jo käytössä olevalla pankin mobiilisovelluksella. Pankin mobiilisovelluksella voi tunnistautua [Pankki]-mobiiliin, [Pankki]-yritysmobiiliin ja [Pankki].fi -palveluun.

Kiistatonta on, että asiakas on kirjautunut pankin verkkopalvelutunnuksilla sähköpostitse lähetetyn linkin kautta avautuneelle sivustolle pankin yleisten verkkopalveluehtojen vastaisesti. Rikosilmoitukseen on 12.2.2021 kirjattu: "[Asiakas] kertoi saaneensa 9.2.2021 [pankin] logolla varustetun viestin, jossa pyydettiin aktivoimaan uudestaan tilinsä. Hän likkasi linkkiä, joka ohjasi syöttämään kortin kaikki tiedot salasanoineen. [Asiakas] teki pyydetyt toimet. [Asiakas] yritti tämän jälkeen kirjautua uudelleen sovellukseen, muttei onnistunut. Hän joutui uudelleen aktivoimaan sovelluksen, jonka jälkeen pääsi tililleen."

Sähköpostitse lähetettyä linkkiä seuraamalla asiakas on päätynyt tietojenkalastelusivulle, jossa on kertomansa mukaan luovuttanut ulkopuoliselle taholle "kortin kaikki tiedot salasanoineen". Ulkopuoliselle on luovutettu ainakin korttinumero kokonaisuudessaan, korttiin liitetty CVV2 -luku, sekä verkkopalvelun käyttäjätunnus ja salasana. Kalastelun yhteydessä kirjautumiseen vaadittava vahvistus on tehty asiakkaan pankin mobiilisovelluksella "[Asiakkaan etunimi]". [Pankki]-mobiilissa tai [Pankki]-fi -palvelussa kortin osalta on nähtävissä kortin voimassaoloaika sekä korttinumero PCI DSS -mukaisessa muodossa 123456xxxxxx1234.

Ulkopuolinen on hänelle luovutettujen tietojen avulla kirjautunut asiakkaan verkkopalveluun ja ryhtynyt aktivoimaan käyttöönsä pankin mobiilisovellusta. Mobiilisovellusta ei ole mahdollista aktivoida käyttöön ilman asiakkaan lisävahvistusnumeroon lähetettävää aktivointikoodia. Aktivoinnista on 9.2.2021 klo 21:55:57 lähtenyt asiakkaan matkapuhelinliittymään aktivointipyyntö, jonka sisältö oli seuraava: "You're about to enable the Mobile key in device [pankki].fi. Confirm enabling in your mobile app with activation code 13032. [Pankki]". Asiakas on vahvistanut mobiilisovelluksen aktivoinnin, jonka myötä ulkopuolisella taholla on ollut vastaavanlaiset mahdollisuudet käyttää mm. asiakkaan verkkopalvelua luottorajan korottamiseen ja päivittäisen turvarajan nostamiseen, kuin asiakkaalla itselläänkin on.

Rikosilmoituksen mukaan asiakas ei päässyt kirjautumaan itse pankin verkkopalveluun, ja kertoo joutuneensa aktivoimaan pankin mobiilisovelluksen omalle laitteelleen uudestaan. Myös tästä mobiilisovelluksen aktivoinnista on lähtenyt lisävahvistusviesti asiakkaan lisävahvistusnumeroon 9.2.2021 21:58:37: "Olet ottamassa [mobiilisovelluksen] käyttöön laitteeseen [Asiakkaan etunimi]. Vahvista käyttöönotto mobiilisovelluksessa aktivointikoodilla 30919. [Pankki]". Myös tämän mobiilisovelluksen aktivointi on saatettu loppuun asiakkaan toimesta.

Asiakkaan kiistämä korttimaksu on tehty yhdistelmäkortin Credit-ominaisuudella. Korttimaksun suorittaminen on edellyttänyt sitä, että maksuvälinettä käyttävällä henkilöllä on ollut tiedossaan korttinumero kokonaisuudessaan, kortin voimassaoloaika, sekä korttiin liitetty CVV2 -luku. [Pankki].fi tai [Pankki]-mobiilissa nähtävillä on kortin voimassaoloaika sekä kortin numero PCI DSS (Payment Card Industry Data Security Standard) -muodossa 123456xxxxxx1234. Kortin puuttuvat numerot ja korttiin liitetty CVV2 -tieto ovat päätyneet korttimaksun tehneen henkilön tietoon asiakkaan syöttämällä ne huijaussivustolle. Korttitapahtuman yhteydessä kortinkäyttäjä on tunnistettu vahvasti maksupalvelulain edellyttämällä tavalla asiakkaan verkkopalvelutunnuksilla (käyttäjätunnus + salasana) sekä asiakkaan ulkopuolisen käyttöön aktivoimalla pankin mobiilisovelluksella "[pankki].fi".

Kaikkien korttitapahtumien yhteydessä on tehty vahva tunnistaminen, jossa maksun tehnyt henkilö on syöttänyt asiakkaan verkkopalveluun liitetyn käyttäjätunnuksen, salasanan sekä suorittanut vahvistuksen pankin mobiilisovelluksella "[pankki].fi".
· 9.2.2021 21:57:25 Kirjautuminen verkkopalveluun käyttämällä pankin mobiilisovellusta [pankki].fi
· 9.2.2021 22:08:16 Luottorajaa on korotettu 6.000 eurosta 7.000 euroon, vahvistusta pyydetty 22:08:11, vahvistettu 22:08:16 pankin mobiilisovelluksella [pankki].fi
· 9.2.2021 22:34:03, 6.900,99 eur, FNAC WEB. uusi korttimaksu, jonka vahvistusta pyydetty klo 22:33:33, vahvistettu 22:33:40 pankin mobiilisovelluksella [pankki].fi - tapahtuma on epäonnistunut turvarajan vuoksi.
· 9.2.2021 22:34:46 Kortin vuorokausikohtaista turvarajaa on korotettu 1.000 eurosta 7.000 euroon, tapahtuma vahvistettu pankin mobiilisovelluksella [pankki].fi, vahvistusta pyydetty 22:34:41, vahvistettu 22:34:46
· 9.2.2021 22:36:11 6900,99 eur FNAC WEB, uusi korttimaksu, jonka vahvistusta pyydetty 22:35:36, vahvistettu 22:35:36 pankin mobiilisovelluksella [pankki].fi. Tämä tapahtuma on onnistunut ja asiakkaan kiistämä.
· 9.2.2021 23:49:22 500,00 eur KRAKEN EXCHANGE, uusi korttimaksu, jonka vahvistusta pyydetty 23:48:47, vahvistettu 23:48:59 pankin mobiilisovelluksella [op].fi - tapahtuma on epäonnistunut, sillä se ylittää korotetun vuorokausikohtaisen turvarajan
· 9.2.2021 23:51:39 100,00 eur KRAKEN EXCHANGE, uusi korttimaksu, jonka vahvistusta pyydetty 23:49:45, vahvistettu 23:51:16 pankin mobiilisovelluksella [pankki].fi - tapahtuma on epäonnistunut, sillä se ylittää korotetun vuorokausikohtaisen turvarajan
· 9.2.2021 23:53:56 150,00 eur SIDACTION, uusi korttimaksu vahvistusta pyydetty 23:53:26, vahvistettu 23:53:33 pankin mobiilisovelluksella [pankki].fi — tapahtuma on epäonnistunut sillä se ylittää korotetun vuorokausikohtaisen turvarajan

Saatuaan 11.2.2021 tekemäänsä reklamaatioon kielteisen päätöksen 12.2.2021 asiakas on pyytänyt uudelleen käsittelyä vedoten sulkupalvelun kanssa käymäänsä keskusteluun, jossa asiakkaalle on kerrottu "Huijauksissa hyvitys tulee reklamaation kautta". Pankki on antanut uuden kieltävän vastauksen 22.2.2021 "Ikävä kyllä olet saanut väärää tietoa. Asiakasneuvojalla ei ole ollut käsittelyä varten tarvittavia asiakirjoja korvauspäätöksen tekemistä varten, eikä hänen olisi pitänyt ottaa kantaa päätökseen".

Asiakas kertoo FINEIle, että hänelle olisi pakkomyyty luottokortti asuntolainan yhteydessä 12/2020. Alkuperäinen luottokorttihakemus on tehty puhelinpalvelussa eikä asuntolainan yhteydessä. Alkuperäinen luottoraja on ollut 6.000 eur, jota ulkopuolinen on hänelle luovutettujen verkkopalvelutunnusten ja hänelle asiakkaan toimesta aktivoidun mobiiliavaimen avulla korottanut 7.000 euroon. Luottorajan korotus on ollut mahdollinen asiakkaan alkuperäisillä tuloilla.

Asiakkaalla oli ennen luottorajankorotusta ja väärinkäyttöä avointa velkasaldoa 86,84 euroa. Pankki katsoo, että olisi kohtuutonta edellyttää asiakkaan vastaavan vahingosta alkuperäisen luottorajansa ylittävältä osalta. Pankki katsoo asiakkaan vastattavaksi jäävän asiakkaalla käytettävissään ollut alkuperäisen luottorajan mukainen osuus 5.913,16 euroa. Pankki on palauttanut väärinkäytöstä alkuperäisen luottorajan ylittävän osuuden 987,83 euroa kortille. Pankki katsoo kuitenkin edelleen, että korttitietojen ja verkkopalvelutunnusten luovuttaminen on ollut törkeän huolimatonta, joten asiakkaan vastuulle jää vahinko alkuperäisen luottorajan ja käytettävissä olleen käyttövaran mukainen osuus.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:         

  • Asiakkaan 9.2.2021 saama pankin nimissä lähetetty sähköposti
  • Kuvakaappaus asiakkaan pankilta 9.2.2021 saamista mobiilisovelluksen aktivointikoodin sisältäneistä tekstiviesteistä

 

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuvan siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.)1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan  

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan

Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen in-ternetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:

[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:

Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]

Tunnuksia tai osaa niistä ei koskaan saa:

  • kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
  • luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
  • käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

 

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan

Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuo-lelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]

Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.

Asian arviointi

Tapahtumienkulku

Tapauksessa on riidatonta, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olevan linkin kautta avautuneilla sivuilla asiakas on syöttänyt korttitietojaan.

Jotta rikolliset ovat voineet aloittaa asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle laitteelleen, on heidän käytössään täytynyt olla asiakkaan verkkopankkitunnustietoja. Pankkilautakunta katsoo, että näiden tietojen on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on em. verkkosivuilla käyttänyt verkkopankkitunnuksiaan olettaessaan asioivansa pankin kanssa.

Uuden mobiilisovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle mobiilisovelluksensa aktivointikoodin sisältäneen englanninkielisen tekstiviestin. Pankkilautakunta katsoo saadun selvityksen perusteella, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Vasta tämän jälkeen asiakas on saanut omassa puhelimessaan ollutta pankin mobiilisovellusta koskevan aktivointikoodin suomenkielisessä tekstiviestissä. Saadun selvityksen perusteella on jäänyt epäselväksi, miksi asiakkaan on täytynyt aktivoida puhelimessaan ja jo aiemmin käytössään ollut pankin mobiilisovellus uudelleen.

Rikolliset ovat päässeet asiakkaan verkkopankin käyttäjätunnusta ja salasanaa oikeudetta käyttäen ja rikollisten omalle laitteelleen asentamalla uudella pankin mobiilisovelluksella vahvistaen asiakkaan verkkopankkiin ja tehneet verkkopankissa pankin esittämän selvityksen mukaisia toimenpiteitä. Nyt kyseessä olevan korttimaksun rikolliset ovat tehneet asiakkaan korttitietoja oikeudetta käyttäen ja pankin mobiilisovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.

Korttiehtojen mukaan asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville ja asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoiterivillä olevasta lukon kuvasta.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnus- ja korttiehtojen mukaisia velvollisuuksiaan käyttäessään korttitietojaan ja pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn sähköpostin muotoilun ja sisällön taikka lähettäjän domainin perusteella, ettei sähköpostiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Tässä arviossaan Pankkilautakunta huomioi erityisesti sen, että pankki itse lähettää asiakkailleen sähköposteja, joissa ei lautakunnan tietojen mukaan tosin ole linkkiä vaan mahdollisesti pankin verkkosivuosoite rikottuna, mutta jotka voivat osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Pankkilautakunnan tietojen mukaan pankki on joissain tilanteissa voinut myös lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä esim. pankin omille verkkosivuille.

Ottaen lisäksi huomioon, että linkistä avautuneiden verkkosivujen näkymän perusteella asiakas on edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan aktivoidakseen pankin turvallisuussyistä väliaikaisesti sulkeman korttinsa - käyttänyt pankkitunnuksiaan ja korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien kortti- ja pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon tapahtumien kulun eri vaiheet kokonaisuutena, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu kortin oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Aspelund 
Atrila
Laine

Tulosta