Tapahtumatiedot
Asiakas unohti puhelimensa kioskille 24.6.2021 eikä puhelinta enää löytynyt asiakkaan palattua paikalle sitä etsimään.
Asiakkaan puhelimessa olevalla pankin mobiilisovelluksella on tehty 30.6.2021 ensin 1.000 euron siirto asiakkaan luottokortilta asiakkaan käyttötilille, minkä jälkeen asiakkaan tililtä on tehty 1.000 euron tilisiirto ulkopuoliselle.
Asiakas on sulkenut verkkopankkitunnuksensa 5.7.2021 klo 11:03 pankin toimipaikassa ja tässä yhteydessä myös pankin mobiilisovellus on sulkeutunut.
Asiakkaan valitus
Asiakkaan puhelin jäi kioskin tiskille. Kun asiakas huomasi tapahtuneen, hän palasi, mutta puhelinta ei enää löytynyt vaan se oli varastettu. Asiakas meni operaattori DNA:n ja Applen liikkeeseen keskustelemaan ja he väittivät, ettei kukaan saa puhelinta auki. Puhelimessa oli kasvotunnistin + 6-numeroinen sulkukoodi. Asiakas jäi odottamaan eikä hän ilmoittanut puhelimen katoamisesta, sulkenut korttejaan tai ollut huolestunut, koska hän uskoi Applelta ja DNA:lta sanottuun.
Asiakas kävi katsomassa tilannetta verkkopankissaan. Mitään ei tapahtunut ennen kuin 30.6.2021 asiakkaan credit-tililtä oli siirretty rahaa toiselle tilille 1.000 euroa ja laitettu jatkuva siirto kuukausittain. Asiakas meni pankkiin ja sulki kortin. Jatkuva siirto ja kaksi 30.7.2021 eräpäivälle tehtyä siirtoa saatiin lopetettua, mutta jo tehdylle ei voitu tehdä mitään.
Pankin mukaan joku on urkkinut kioskilla asiakkaan tietoja, mutta ei siellä ollut ketään muita eikä myöskään kukaan asiakkaan läheisistä ole urkkinut asiakkaan tietoja ja käyttänyt niitä. Asiakas ei osaa sanoa, miten ”rosvo” on saanut puhelimen auki ja miksi hänellä kesti viikon. Joku etevä hakkeri on saanut varastetun puhelimen auki tai kassatyöntekijä nappasi sen heti huomattuaan puhelimen tiskillä, eikä se ehtinyt vielä sulkeutua. Siinähän on pieni minuutin viive, kun sulkeutuu. Ovat varmaan tehneet sitä ennenkin.
Puhelimen unohdus oli asiakkaan vika ja huolimattomuus, mutta asiakas jäi odottamaan, koska hänelle sanottiin, ettei kukaan saa puhelinta auki. Hakkerilta kesti viikon avaamiseen eikä se siis ollut helppo juttu. DNA eikä Apple ole ottanut mitään kantaa siihen puhelimen avaamiseen.
Pankin vastine
Pankki kiistää asiakkaan vaatimukset perusteettomina.
24.6.2021 n. klo 10.45 Asiakas jättänyt puhelimensa kioskin "myyntitiskille". Asiakas palasi kioskille puolen tunnin kuluttua, kun oli huomannut, ettei puhelin ole enää hänen mukanaan, mutta puhelinta ei löytynyt sieltäkään.
Asiakas ei sulkenut korttiaan tai pankkitunnuksiaan / pankin mobiilisovellusta. Asiakas omien sanojensa mukaan kuitenkin seuraili tiliä ja huomasi 30.6.2021 tämän oikeudettomaksi ilmoitetun tilisiirron tilillään.
Rikosilmoituksesta selviää, että asiakkaan toisen pankin maksukortilla on lisäksi tehty oikeudettomia ostoksia ilmeisesti Apple Pay -sovellusta käyttäen.
Oikeudettomaksi ilmoitettu tapahtuma on tehty asiakkaan varastetussa puhelimessa olleen pankin mobiilisovelluksen avulla. Maksun tekijällä on täytynyt siten olla tiedossaan asiakkaan puhelimen pääsykoodi sekä pankin mobiilisovelluksen tunnusluku. Pankin mobiilisovelluksen tunnusluvulla hyväksytyssä maksussa maksajan vahva tunnistaminen tapahtuu yhdistäen asiakkaaseen vahvalla tunnistuksella yhdistetty laite ja tunnusluku.
Asian arviointi
Pankki viittaa maksupalvelulain 53 ja 54 §:iin sekä korttiehtoihin ja digitaalisia palveluita koskeviin yleisiin ehtoihin.
Asiakas on huomannut pankin mobiilisovelluksen sisältävän laitteen katoamisen 24.6., mutta ei siitä huolimatta ilmoittanut pankille pankin mobiilisovelluksen sisältävän laitteen katoamisesta vaan on jäänyt seuraamaan tilitapahtumiaan ja näin ollen pitänyt itsekin todennäköisenä väärinkäytöksen mahdollisuutta.
On mahdollista, että joku on urkkinut asiakkaan puhelimen pääsykoodin sekä pankin mobiilisovelluksen salasanan, kun asiakas asioi kioskilla. Toissijaisesti pankki pitää mahdollisena, että joku läheinen on toisessa tilanteessa puhelimen varastamisen jälkeen urkkinut kyseiset tiedot ja tehnyt oikeudettomat tapahtumat.
Pankki katsoo, että asiakas ei ole toiminut lain ja pankin ehtojen edellyttämällä tavalla jätettyään ilmoittamatta puhelimensa katoamisesta. Oikeudettomaksi ilmoitettu tilisiirto on tehty vasta lähes viikko puhelimen katoamisen jälkeen, joten mikäli asiakas olisi ilmoittanut pankille laitteen katoamisesta heti sen havaittuaan, olisi väärinkäytös saatu estettyä. Näin ollen asiakkaan huolimaton menettely katoamisilmoituksen suhteen on selkeässä syy-yhteydessä oikeudettomasta käytöstä aiheutuneeseen vahinkoon.
Edellä esitetyin perustein pankki katsoo, että asiakkaan toiminta on ollut törkeän huolimatonta, eikä pankki ole ehtojensa tai maksupalvelulain mukaan korvausvastuussa oikeudettomasti tehdyistä tapahtumista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Asiakkaan vahinkoilmoitus vakuutusyhtiölleen 1.7.2021
- Tutkintailmoitus (Ilmoitusaika 1.7.2021)
- Kirjallinen vahvistus rikosilmoituksen tekemisestä 1.7.2021
- Pankin digitaalisia palveluita koskevat yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n (Katoamisilmoitus) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelulain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
”Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: []
Asian arviointi
Tapahtumienkulusta
Tapauksessa on riidatonta, että asiakkaan puhelin on päätynyt sivullisen käsiin asiakkaan unohdettua puhelimensa kioskille ja että 1.000 euron siirto asiakkaan luottokortilta asiakkaan käyttötilille ja lopullisen vahingon aiheuttanut 1.000 euron tilisiirto asiakkaan käyttötililtä on tehty asiakkaan puhelimessa olleella pankin mobiilisovelluksella. Tämä on edellyttänyt sitä, että sivullisen tiedossa on ollut sekä asiakkaan puhelimen pääsykoodi että puhelimessa olleen pankin mobiilisovelluksen salasana.
Asiakkaan mukaan ei ole mahdollista, että joku olisi onnistunut urkkimaan pääsykoodin ja salasanan, ja asiakas epäilee, että etevä hakkeri on onnistunut avaamaan asiakkaan puhelimen tai että kioskin työntekijä nappasi puhelimen ennen sulkeutumista.
Poliisi on tavoittanut epäillyn tekijän ja Pankkilautakunta katsoo, ettei mikään asiassa esitetyssä selvityksessä viittaa siihen, että kioskin työntekijä olisi ollut osallisena tapahtuneeseen. Pankkilautakunta ei pidä myöskään uskottavana, että asiakkaan puhelimen pääsykoodi ja asiakkaan pankin mobiilisovelluksen salasana olisi onnistuttu hakkeroimaan.
Asiakkaan puhelimen pääsykoodin ja puhelimessa olleen pankin mobiilisovelluksen salasanan on näin ollen täytynyt päätyä tekijän tietoon muulla tavoin, mutta lautakunta katsoo asiassa saadun selvityksen ja asiakkaan asiassa kertoman perusteella jääneen epäselväksi, miten tämä on tapahtunut. Koska lautakunnan keinoin asiaan ei ole saatavissa lisäselvitystä, on lautakunnan arvioitava asiaa nyt saadun selvityksen perusteella.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa asiakas sitoutuu säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa, sekä olemaan kirjoittamatta verkkopankin tai pankin mobiilisovelluksen tunnuslukua muistiin helposti tunnistettavaan muotoon. Ehtojen mukaan asiakkaan tulee tarkistaa olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai pankin mobiilisovelluksen sisältävä laite ovat tallessa. Edelleen ehtojen mukaan asiakkaan pitää ilmoittaa pankille välittömästi, jos tunnistusvälineet tai niiden osa (ml. pankin mobiilisovelluksen sisältävä laite tai mobiilisovelluksen tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Pankkilautakunta korostaa pankkitunnusten tallella olon seuraamisen ja katoamisilmoituksen tekemisen kuuluvan olennaisesti huolellisen tunnustenhaltijan velvollisuuksiin. Ainoastaan katoamisilmoituksen tekemällä tunnustenhaltija voi varmistua siitä, ettei kadonneita tunnuksia voida enää käyttää oikeudetta hänen vahingokseen. Myös pankin kannalta tunnustenhaltijan tekemä katoamisilmoitus on ensisijainen tapa pankin saada tieto siitä, että tunnukset tai pankin mobiilisovelluksen sisältävä laite voivat olla sivullisen hallussa, minkä perusteella pankki voi ryhtyä toimiin estääkseen tunnusten oikeudettoman käytön.
Pankkilautakunta katsoo, että asiakkaan unohtaessa kioskille puhelimensa, jossa hän on ottanut käyttöönsä pankin mobiilisovelluksen, asiakas on huolimattomuudestaan laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan pankkitunnustensa säilyttämisen ja tallellaolon seuraamisen suhteen.
Edelleen ja erityisesti lautakunta katsoo, että asiakas on huolimattomuudestaan laiminlyönyt pankkitunnusehtojen mukaista velvollisuuttaan tehdä tunnuksistaan katoamisilmoitus, kun hänen puhelimensa on kadonnut. Mikäli asiakas olisi tehnyt katoamisilmoituksen tunnuksistaan viipymättä palattuaan kioskilla ja todettuaan puhelimensa kadonneeksi, olisi tunnusten oikeudettomalta käytöltä voitu välttyä.
Vaikka asiassa saadun selvityksen ja asiakkaan asiassa kertoman perusteella on jäänyt epäselväksi, miten vain asiakkaan tietoon kuuluvat asiakkaan puhelimen pääsykoodi ja puhelimessa olleen pankin mobiilisovelluksen salasana ovat päätyneet tekijän tietoon, Pankkilautakunta katsoo, että asiakkaan on tullut mieltää riski puhelimensa avaamisesta ja puhelimessaan olleen pankin mobiilisovelluksen oikeudettomasta käytöstä. Näin ollen lautakunta katsoo asiakkaalla olleen korostunut syy tehdä sulkuilmoitus pankkitunnuksistaan viipymättä puhelimen kadottua, vaikka hän olisi saanut operaattoriltaan tai Applen myymälästä puutteellisia tai virheellisiä neuvoja.
Pankkilautakunta katsoo asiakkaan menettelyn osoittavan kokonaisuutena erittäin vakavaa varomattomuutta ja selvästi piittaamatonta suhtautumista pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin ja osoittavan näin ollen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan laiminlyöneen maksupalvelulain 53 §:n ja pankkitunnusehtojen mukaisia velvollisuuksiaan tunnustensa säilyttämisen ja tallellaolon seuraamisen sekä erityisesti katoamisilmoituksen tekemisen suhteen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheejohtaja Sillanpää
Esittelijä Hidén
Jäsenet
Ahlroth
Atrila
Piilo
Pulkkinen