Tapahtumatiedot
Asiakkaan tarkoituksena on 2.9.2021 ollut hakeutua tietokoneellaan Omakannan verkkosivuille, kun hän on hakukoneen kautta päätynyt rikollisten luomille valesivuille. Asiakas on käyttänyt pankkitunnuksiaan kirjautuakseen Omakannan palveluun, jolloin hänen tunnuksiaan on päätynyt rikollisten tietoon.
Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 2.9.2021 klo 15.03 lähettämässä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön pankin mobiilisovellus. Em. mobiilisovellusta hyväksi käyttäen on asiakkaan ja hänen puolisonsa yhteisiltä tileiltä, joiden käyttöoikeus asiakkaalla on ollut, tehty 2.9.2021 klo 15.18-15.39 seitsemän oikeudetonta tilisiirtoa ulkomaille yhteisarvoltaan 44.500 euroa. Ko. tilisiirroista on jälkikäteen saatu palautettua yhteensä 18.950 euroa.
Asiakkaan verkkopankkitunnukset on lukittu 4.9.2021 iltapäivällä asiakkaan soitettua sulkupalveluun.
Asiakkaan valitus
Asiakas vaatii, että pankki korvaa aiheutuneen vahingon 25.900 euroa, asiakkaan pankille maksaman kulun takaisinsiirtopyynnöistä 120 euroa sekä saaduista maksupalautuksista perityt kulut 50 euroa sekä tileiltä poissa olleille varoille viivästyskoron korkolain 4 §:n 1 momentin mukaisesti pankille asiakkaan tekemää ilmoitusta seuraavasta päivästä ja pankille maksetuista kuluista niiden maksupäivästä. Asiakas vaatii myös asian selvittämisestä aiheutuneiden kulujen korvaamista 1.000 eurolla.
Asiakkaan asioidessa kaupassa lauantaina 4.9.2021 ilmeni, ettei käyttötilillä ollut varoja ostosten maksamiseen. Käyttö- ja säästötililtä oli 2.9.2021 tehty siirtoja, joiden saajat olivat nimistä päätellen ulkomaalaisia. Molemmat tilit ovat asiakkaan ja tämän puolison nimissä.
Havaittuaan tilisiirrot he soittivat pankin sulkupalveluun ja sulkivat tunnuksensa ja tilinsä sekä menivät tekemään rikosilmoituksen tapahtuneesta. Poliisiasemalta he soittivat pankin toimitusjohtajalle, minkä vanhempi rikoskonstaapeli lausunnossaan vahvistaa. Toimitusjohtaja ilmoitti, että pankkiin voi tulla maanantaina 6.9.2021 selvittämään asiaa eikä pankki ryhdy asiassa välittömästi mihinkään toimiin. Poliisi totesi tuolloin, että tässä menetetään nyt aikaa ja mahdollisuutta saada rahoja takaisin. Pankin välinpitämättömyys ja toimimattomuus asian korjaamiseksi on todennäköisesti lisännyt asiassa tullutta vahinkoa. Viivyttelystä huolimatta kaksi rikollisille mennyttä tilisiirtoa saatiin palautettua.
Aamulla 6.9.2021 pankissa tapahtuneen tapaamisen jälkeen pankissa ryhdyttiin ottamaan yhteyttä maksunsaajien pankkeihin maksujen peruuttamiseksi. Pankki peri maksujen palautuspyynnöistä palkkiona 120 euroa. Perityt maksut selvisivät asiakkaalle vasta jälkeenpäin.
8.9.2021 asiakas vei tietokoneensa poliisille tutkittavaksi. Asiakas oli kertonut poliisille 2.9.2021 kirjautuneensa omakantaan pankin tunnuksilla. Keskusrikospoliisin ict-tutkijat löysivät virhekirjauksen, vaikka huijaussivu oli todella vaikea löytää. Sivusto oli tehty niin taiten, että tavallisen ihmisen on ollut vaikea havaita olevansa virheellisellä sivulla. Omakannan tapahtuneet tietojen anastamiset tulivat tuona ajankohtana uutena rikollisten käyttämänä tapana esiin eikä sitä ollut tiedossa asiakkaan kirjautuessa omakantaan. Omakanta-huijaussivustoista varoitettiin vasta myöhemmin poliisin toimesta tiedotusvälineissä. Pankki ei myöskään ollut itse havainnut tätä tapahtumien kulkua ennen kuin sille kerrottiin.
Asiakkaan tuttaviltaan kuuleman mukaan saman pankin asiakkaille on tapahtunut samanlaisia tilisiirtoja ulkomaille. Yhdessä tapauksessa pankki oli pysäyttänyt siirron ja tarkistanut asiakkaalta, onko hän tekemässä tilisiirtoa ulkomaille. Pankilla on ollut kavallusennakkotapauksia, mutta pankki ei ole tehostanut tiedottamista turvallisuusasioista ennen kuin tämän tapauksen jälkeen.
Pankin mukaan on ollut useita minuutteja aikaa sulkea tilinkäyttövälineet. Asiakas ei kuitenkaan tiennyt olleensa huijaussivustolla, ja rahojen katoamisesta hän tuli tietoisiksi vasta 4.9.2021. Tämän jälkeen asiakas alkoi välittömästi toimia, mutta pankki vasta 6.9.2021.
Pankin väittämää suostumusta asiakas ei ole oikeudettomille maksuille antanut, koska tilisiirtojen johdosta ei ole tullut puhelimiin mitään varmistuksia tai vahvistuspyyntöjä. Asiakas ei ole luovuttanut tilinkäyttövälineitä kenellekään, ja asiakas on aina ollut huolellinen säilyttämään henkilökohtaiset pankkitunnuksensa niin, ettei kenelläkään ole mahdollisuutta käyttää niitä.
Asiakas oletti koko ajan asioivansa omakanta-sivustossa. Asiakas ei ole kokenut verkkopalvelujen käyttäjä, eikä hänen puhelimeensa ole ladattu pankin mobiilisovellusta. Puoliso hoitaa pankkiasiat eli asiakkaan tietokoneen käyttö on yleensäkin ollut kovin vähäistä. Asiakas viittaa FINEn päätökseen FINE-020764.
Tietojen anastaminen näyttää asiakkaalle pankin järjestelmän puutteellisuutena, joka on mahdollistanut tapahtuneen. Poikkeuksellista tilisiirroissa on niiden suuruusluokka ja tilisiirtojen suuntautuminen ulkomaille, jonne asiakkaalla ei ole ollut asiointia. Pankki ei ole reagoinut mitenkään tilisiirtoihin, vaikka pankilla on ehtojensa mukaan oikeus rajoittaa pankkitunnusten käyttöä ja jopa sulkea tunnukset. Syyksi riittää epäilys tunnusten oikeudettomasta käytöstä. Pankin laiminlyöntejä on myös tilisiirtoihin liittyvä turvarajojen ynnä muiden turvatoimien puuttuminen. Riski maksuvälineen oikeudettomasta käytöstä kuuluu lähtökohtaisesti pankille.
Pankin vastine
1. Vastaus
Ensisijaisesti pankki katsoo, että asiakas on luovuttanut maksuvälineensä niiden käyttöön oikeudettomalle taholle maksupalvelulain 62 §:n 1 momentin 1 kohdassa ja yleisissä sopimusehdoissa tarkoitetulla tavalla eikä pankki ole vastuussa oikeudetta tehtyjen maksujen palauttamisesta asiakkaalle.
Mikäli vastoin pankin käsitystä asiassa katsotaan, että kysymys ei ole maksuvälineen luovuttamisesta siihen oikeudettomalle, on pankki vastuusta vapaa toissijaisesti sillä perusteella, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja sopimusehtojen mukaiset velvollisuutensa huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista.
2. Asiaan liittyvät tosiseikat
Asiassa on riidatonta, että asiakas on tietokoneensa verkkoselaimen kautta pyrkinyt kirjautumaan pankkitunnuksillaan Omakanta-palveluun. Rikostutkinnan yhteydessä on selvitetty, että asiakas on kannettavalla tietokoneella pyrkinyt kirjautumaan Bing-hakukoneen kautta Omakanta-palveluun. Asiakas on syöttämällä hakuselaimeen sanan "omakanta" etsinyt oikeaa sivustoa. Hakukoneen löytämistä tuloksista asiakas on valinnut kirjautumisosoitteen "kanta.fi.tunnistautuminen.c0m/onlinephp". Samalla sivulla on ollut otsakkeena myös "Kirjaudu verkkopankkiin — [Pankki]/Logga in i nätbanken-[Banken]"ja "Tervetuloa verkkopankkiin — [Pankki]". Asiakas on tämän jälkeen syöttänyt pankin verkkopankin tunnistautumissivua jäljittelevälle sivustolle käyttäjätunnuksensa ja salasanansa. Asiakkaalle avautunut sivusto on ollut tosiasiassa ns. huijaussivusto.
Asian selvittämiseksi pankki on pyytänyt järjestelmätoimittajaltaan lokitiedot valituksen kohteena olevien oikeudettomien verkkopankkimaksujen ajankohdilta. Lokitietojen pohjalta voidaan riidattomasti todeta oikeudettomiin maksuihin liittyvien tapahtumien kulku.
Pankin tilitapahtumien ja järjestelmätoimittajan lokitietojen perusteella voidaan todeta, että oikeudettomat maksutapahtumat ovat tapahtuneet 2.9.2021 klo 15.16-15.39. Maksutapahtumia on ollut seitsemän ja niiden yhteismäärä on ollut 44.900 euroa. Pankin toimenpiteiden perusteella siirroista on saatu jälkikäteen palautettua asiakkaan varoja yhteensä 18.950 euroa. Asiakkaan varoja on jäänyt tavoittamattomiin siten 25.950 euroa.
Asiakkaan mukaan hän on syöttänyt pankin verkkopankin tunnistautumissivua jäljittelevälle sivulle käyttäjätunnuksensa ja tunnuslukukorttinsa salasanan 2.9.2021 iltapäivällä.
Pankki on verkkopankin lokitiedoista varmistanut, että verkkopankkiin on myös tosiasiassa kirjauduttu kyseisenä ajankohtana. Lokitietojen mukaan asiakkaan puhelinnumeroon on tullut seuraava tekstiviesti 2.9.2021 klo 15.03:
"Tietoturvailmoitus. Olet aktivoimassa [Pankin mobiilisovellusta] mobiililaitteellesi. Aktivointi onnistuu viestin lopussa olevalla koodilla. Huomaathan, että koodia ei ikinä kysytä tietokoneen verkkoselaimessa. Jos et ole tekemässä aktivointia itse, ota välittömästi yhteyttä [Pankkiin] tai sulkupalveluumme p. 020 333. Tietosi voivat olla vaarassa. Tarkista viesti-id: 1ZNQG. Vahvista [Pankin mobiilisovelluksen] aktivointi koodilla: 570939. [Pankki.]"
Asiakkaan on tämän jälkeen täytynyt verkkoselaimessaan syöttää pankin mobiilisovelluksen aktiviointiin tarvittava tekstiviestissä ilmoitettu aktivointikoodi pankin sivua jäljittelevälle sivulle, koska ilman kyseistä aktivointikoodia oikeudettomien tilisiirtojen tekijä ei olisi saanut aktivoitua pankin mobiilisovellusta käyttöönsä. Asiakas on syöttänyt aktivointikoodin vastoin tietoturvailmoituksessa kerrottua varoitusta koskien sitä, ettei koodia ikinä kysytä tietokoneen verkkoselaimessa.
Tämän jälkeen asiakkaan verkkopankkia on ollut mahdollista käyttää oikeudettomasti asiakkaan ja pankin tietämättä, koska ulkopuolisella on ollut tiedossaan asiakkaan käyttäjätunnus, tunnuslukukortin salasana sekä mobiilisovelluksen aktivointiin tarvittavat tiedot. Kaikki edellä mainitut tilisiirrot on tehty kirjautumalla asiakkaan verkkopankkiin käyttämällä käyttäjätunnusta ja pankin mobiilisovellusta, ja tilisiirrot on myös vahvistettu käyttämällä pankin mobiilisovellusta.
Ensimmäinen tilisiirto asiakkaan tileiltä on tehty 2.9.2021 klo 15.16, joten pankin mobiilisovelluksen aktivointikoodin huijaussivustolle syöttämisen jälkeen klo 15.03 asiakkaalla on ollut yli kymmenen minuuttia aikaa ryhtyä toimenpiteisiin pankkitunnusten käytön estämiseksi ilmoittamalla asiasta pankin sulkupalveluun.
Asiakas on puhelimitse ilmoittanut pankin sulkupalveluun oikeudettomista tilisiirroista vasta lauantaina 4.9.2021 iltapäivällä eli lähes kaksi vuorokautta oikeudettomien tilisiirtojen jälkeen. Sulkupalvelu on välittömästi sulkenut asiakkaan verkkopankin ja tilin, eikä tämän jälkeen asiakkaan tililtä ole enää tehty oikeudettomia tilisiirtoja. Asiakas ei ole ilmoittanut asiasta tekstiviestillä 2.9.2021 saamansa tietoturvailmoituksen mukaisesti pankin sulkupalveluun.
Normaalissa kirjautumistilanteessa pankin verkkopankin sisäänkirjautumissivu ei pyydä koskaan syöttämään pankin mobiilisovelluksen aktivointikoodia tietokoneelle, vaan aktivointikoodi tulee yksinomaan syöttää käytettäessä pankin mobiilisovellusta mobiililaitteessa.
Pankki toteaa selvyyden vuoksi, että asiassa vastoin asiakkaan väitettä vahinko ei johdu miltään osin pankin turvajärjestelmissä olevista puutteista. Koska asiakas on luovuttanut maksusovelluksen ulkopuoliselle, on tällä ollut mahdollisuus tehdä tilisiirrot "asiakkaan profiililla" ilman, että niihin pankin turvajärjestelmien näkökulmasta on liittynyt mitään epäilyttävää. Yksittäiset siirrot eivät myöskään määrältään ole olleet sellaisia, että niihin olisi pankin puolelta automaattisesti puututtu. Lisäksi asiakkaalle lähetetty tietoturvailmoitus on nimenomaisesti varoittanut asiakasta tapahtumassa olevasta väärinkäytöksestä. Mikäli asiakas ei olisi jättänyt tietoturvailmoitusta noudattamatta, ei vahinkoa olisi aiheutunut.
Välinpitämättömyyteen ja viivyttelyyn liittyviin asiakkaan syytöksiin pankki toteaa, että pankki on toiminut asiassa erittäin ripeästi ja priorisoinut asiakkaan asian selvittämisen muiden työtehtävien edelle. Pankin sulkupalvelu on lopettanut palvelut välittömästi ja palvelupäällikkö on vapaa-ajallaan vielä varmistanut, että asiakkaiden käyttöoikeuden alaisille tileille jääneet varat ovat turvassa. Myös pankin toimitusjohtaja on viikonlopusta huolimatta vastannut asiakkaan puheluun ja varmistanut, että kaikki palvelut on varmasti suljettu.
Todettakoon kokonaiskuvan ymmärtämiseksi, että asiakas on jakanut paikkakunnalla virheellistä tietoa tapahtuneesta laajamittaisesti, mistä useat pankin asiakkaat ovat kertoneet pankin toimihenkilöille. Asiakas myös viittaa useissa lehdissä julkaistuun lehtijuttuun, jossa on useita asiavirheitä. Asiakas on myöntänyt antaneensa tiedot toimittajalle. Asiakas oli ennen jutun julkaisemista yhteydessä pankkiin ja kertoi ottavansa yhteyttä sanomalehtiin, ellei hänen korvausvaatimuksiinsa suostuta.
3. Asiassa sovellettavat säännökset ja sopimusehdot
Pankki viittaa maksupalvelulain 38, 53, 54 ja 62 §:in sekä henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisiin ehtoihinsa.
4. Asian oikeudellinen arviointi
4.1. Maksuvälineen luovuttaminen sen käyttöön oikeudettomalle
Pankki katsoo, että asiakas ei ole antanut tapahtuneille maksuille maksupalvelulain 38 §:ssä tarkoitettua suostumustaan ja maksuja on sinänsä pidettävä oikeudettomina. Asiassa tulee seuraavaksi arvioitavaksi kysymys siitä, onko asiakas kuitenkin luovuttanut maksujen tekemiseksi välttämättömät tunnukset niiden käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa ja sopimusehdoissa tarkoitetulla tavalla.
Lokitietojen perusteella on riidatonta, että kirjautuessaan palveluun asiakas on saanut pankin mobiilisovelluksen mobiililaitteelle aktivoinnista ilmoittavan ja mahdollisesta huijauksesta varoittavan pankin tekstiviestin. Ennen maksusovelluksen asentamiseen liittyvän vahvistuskoodin antamista ulkopuoliselle, asiakkaan on siten täytynyt havaita, että vahvistuskoodi on lähetetty pankista sovelluksen asentamiseksi. Asiakas ei ole kuitenkaan ollut asentamassa mobiililaitteelleen pankin mobiilisovellusta, joten kyse on ollut nimenomaan tilanteesta, josta tekstiviestissä on varoitettu. Pankki katsoo, että antaessaan sovelluksen aktivoimiseksi edellyttämän koodin näissä olosuhteissa, asiakas on tietoisesti antanut pankkitunnuksensa niihin oikeudettomalle ja siten myös luovuttanut maksuvälineensä sen käyttöön oikeudettomalle.
Pankki viittaa Pankkilautakunnan ratkaisuun FINE-036135. Vaikka mainitun tapauksen tosiseikat eroavat nyt puheena olevasta tapauksesta, on asioilla pankin käsityksen mukaan kuitenkin olennainen samankaltaisuus. Molemmissa tapauksissa on kysymys siitä, että asiakas on luovuttanut maksuvälineen käytön kannalta välttämättömät tiedot ulkopuoliselle.
Pankin näkemyksen mukaan oikeudellisen arvion kannalta ei pitäisi antaa asiassa ratkaisevaa merkitystä sille, antaako asiakas suoraan maksun vahvistamiseksi tarkoitetun avainluvun vai vahvistuskoodin, jolla ulkopuolinen saa aktivoitua käyttöönsä asiakkaan koko verkkopankin. Molemmissa tapauksissa asiakas omilla aktiivisilla toimenpiteillään ja huolimatta asiakkaan saaman viestin sisällöstä aiheuttaa pankkitunnusten joutumisen ulkopuolisen haltuun. Pankin näkemyksen mukaan lautakunnan tulisikin arvioida myös nyt ratkaistavana olevaa asiaa edellä viitatussa ratkaisussa mainittujen periaatteiden mukaisesti.
Pankki katsoo, että ensisijaisesti edellä lausutuilla perusteilla pankki tulee vapauttaa kaikesta korvausvastuusta asiakkaalle.
4.2. Törkeä huolimattomuus
4.2.1. Yleistä
Siinä tapauksessa, että lautakunta katsoo, että asiakas ei ole luovuttanut maksuvälinettä sen käyttöön oikeudettomalle, tulee asiassa arvioitavaksi asiakkaan menettelyn huolimattomuuden aste.
Arvioitaessa asiakkaan tuottamuksen astetta on otettava huomioon törkeän tuottamuksen edellytysten täyttymisen yleiset periaatteet, jotka on käytännössä määritelty korkeimman oikeuden ratkaisukäytännön perusteella. Törkeän tuottamuksen arviointi kussakin tapauksessa perustuu näihin yleisiin vahvistettuihin periaatteisiin kunkin yksittäistapauksen olosuhteet huomioiden.
Korkein oikeus on ratkaisussaan 2018:71 arvioinut törkeän huolimattomuuden täyttymisen edellytyksiä erityisesti arvioitaessa maksuvälineen käyttäjän menettelyä maksuvälineen käytössä ja hallinnassa. Korkein oikeus on ratkaisussaan viitannut maksupalvelulain 62 §:n 2 momenttia koskeviin hallituksen esityksen perusteluihin (HE 169/2009 vp. s 75). Korkeimman oikeuden ennakkopäätökseen sisältyvän ohjeen mukaan törkeysarvostelussa olennainen kysymys liittyy siihen, onko maksuvälineen haltijan toiminta selvästi ja olennaisesti poikennut siitä, mitä huolelliselta menettelyltä vaaditaan. Lisäksi menettelyn tulee osoittaa selvää piittaamattomuutta suhteessa turvallisuusriskeihin. Pankki korostaa, että törkeän tuottamuksen täyttyminen ei siten edellytä ainakaan maksuvälineen haltijan menettelyä arvioitaessa sitä, että menettely olisi lähellä tahallisuutta.
Muussa törkeää huolimattomuutta koskevassa ratkaisukäytännössään korkein oikeus on useasti todennut periaatteen, jonka mukaan tuottamuksen aste määräytyy "sen perusteella, missä määrin vahingonaiheuttaja on laiminlyönyt sen huolellisuuden noudattamisen, jota tällaisessa asemassa olevalta voidaan vaatia". Korkein oikeus on myös korostanut, että tuottamusharkinnassa on kiinnitettävä ensisijaisesti huomiota vahingonaiheuttajan yksilöstä riippumattomiin seikkoihin ja olosuhteisiin (esim. KKO 2002:56).
Yhteenvedonomaisesti voidaan todeta, että korkein oikeus on törkeän huolimattomuuden arviointia koskevassa muussa ratkaisukäytännössään käyttänyt mm. seuraavia arviointikriteereitä:
1. Huolimattoman menettelyn aiheuttama riskin lisäys (vahingon todennäköisyys)
2. Potentiaalisen vahinkoseuraamuksen vakavuus
3. Tietoisuus riskin aiheuttavasta seikasta ja suhtautuminen riskiin
4. Huolellisesta menettelystä poikkeamisen merkittävyys
5. Vakiintuneiden menettelytapojen (merkittävä) rikkominen
6. Varotoimenpiteiden toteuttamismahdollisuus (1 Hahto, Vilja — Tuottamus vahingonkorvausoikeudessa s. 111. esim. KKO 2002:56)
Oikeuskäytännön perusteella yllä mainitut arviointikriteerit ovat objektiivisia ja sellaisenaan sovellettavissa yleisesti. Pankin käsityksen mukaan edellä mainittuja arviointikriteereitä onkin sovellettava johdonmukaisesti myös silloin, kun arvioinnin kohteena on yksityishenkilö eli pankin asiakas.
4.2.2. Törkeän tuottamuksen arviointi tässä tapauksessa
Pankin käsityksen mukaan on selvää, että asioiminen verkkopalvelussa henkilökohtaisia tunnuksia käyttäen edellyttää jo lähtökohtaisesti korkeinta vaadittavaa huolellisuuden tasoa myös kuluttaja-asemassa olevalta yksityishenkilöitä. Arvioinnin lähtökohdaksi tulee siten ottaa se, että verkkopalvelussa asioimisessa huolehditaan kaikista niistä varotoimenpiteistä, jotka on asetettu asioinnin turvallisuuden varmistamiseksi. Huomioiden varotoimenpiteillä suojatun riskin vakavuus, on varotoimenpiteiden laiminlyömistä pidettävä jo lähtökohtaisesti välinpitämättömänä ja piittaamattomana suhtautumisena riskiin.
Saatujen selvitysten perusteella on riidatonta, että asiakas on pyrkinyt kirjautumaan OmaKanta-verkkopalveluun hakukoneen kautta. Asiakkaan velvollisuutena on pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasun lisäksi käyttämästään selaimesta, että verkkosivun URL-osoite vastaa asianmukaista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle on kirjauduttu suoraan tai välillisesti hakukoneen linkkien välityksillä.
Asiassa on selvitetty, että kirjautumissivun osoitekenttä on tosiasiassa huomattavasti poikennut siitä, miltä sen tulisi näyttää silloin, kun kirjautuminen on tapahtunut normaalisti suojatussa yhteydessä. Asiakkaan olisi huolellisesti toimiessaan tullut havaita osoitekentän selvä poikkeavuus ja lähtökohtaisesti heti keskeyttää kirjautuminen. Laiminlyömällä tämän huolellisuusvelvoitteensa asiakas on mahdollistanut jatkotoimenpiteet pankkitunnusten oikeudettomalle käytölle.
Asiakkaan saaman pankin mobiilisovelluksen aktivoinnista ilmoittavan ja mahdollisesta huijauksesta varoittavan tekstiviestin sanamuoto on ollut selkeä. Viestistä ilmenee ensinnäkin sen selkeä merkitys varoituksena. Toiseksi viestissä nimenomaisesti ilmoitetaan, että asiakas on aktivoimassa sovellusta mobiililaitteelle. Kolmanneksi viestissä korostetaan, että koodia ei ikinä kysytä tietokoneen verkkoselaimessa. Neljänneksi viestissä kehotetaan ottamaan heti yhteyttä pankkiin tai sulkupalveluun tilanteessa, jossa asiakas ei ole itse tekemässä aktivointia. Lisäksi viestissä vielä varoitetaan tietovuodon riskistä.
Asiakas on oman ilmoituksensakin mukaan ollut tosiasiassa kirjautumassa OmaKanta-palveluun tietokoneen verkkoselaimen kautta. Asiakkaalla ei ole siten kirjautumisen yhteydessä ollut ylipäätään tarkoitusta asentaa tai aktivoida mitään sovellusta mobiililaitteelleen. Lisäksi asiakas on riidattomasti ollut kirjautuneena palveluun verkkoselaimen kautta, minkä yhteydessä tekstiviestin mukaan ei koskaan kysytä vahvistuskoodia.
Asiakkaan saaman tekstiviestin sanamuodosta huolimatta asiakas on jatkanut kirjautumista ja syöttänyt pyydetyn koodin selaimeen. Asiakas ei ole tämän jälkeenkään ottanut yhteyttä pankkiin tai sulkupalveluun.
Pankin käsityksen mukaan asiakkaan menettelyltä vaadittavana vähimmäisedellytyksenä on ollut, että asiakas lukee saamansa varoitusviestin ja reagoi sen edellyttämällä tavalla. Mobiilisovelluksen aktivoiminen ja kirjautumisprosessi olisi näin ollen tullut keskeyttää välittömästi. Viimeistään asiakkaan olisi koodin syöttämisen jälkeen tullut ottaa välittömästi yhteyttä pankkiin tai sulkupalveluun.
Pankin käsityksen mukaan asiakkaan menettely osoittaa tietoista laiminlyöntiä varmistua siitä, että kirjautuminen on tapahtunut turvallisesti ja juuri sitä tarkoitusta varten, miksi hän on ylipäätään ollut käyttämässä pankkitunnuksiaan (omakantaan kirjautuminen).
Pankki katsoo, että huomioiden pankkitunnusten ja maksuvälineen käyttämiselle asetettava korkea huolellisuusvaatimus, asiakkaalla on kohtuudella voitu edellyttää pankilta saamiensa varoitusviestien lukemista ja reagoimista niihin. Riskinjakoon liittyvien säännösten, sopimusehtojen ja yleisten periaatteidenkin näkökulmasta on välttämätöntä, että asiakas omalta osaltaan huolehtii pankin asettamista turvatoimista. Mikäli edellä todetun viestin sisällöstä huolimatta asiakkaalle jää vielä "normaalihuolellisuuden" puitteissa toimintavapaus jättää huomiotta hänelle suunnatut turvailmoitukset, muodostuu tilanne pankin näkökulmasta kohtuuttomaksi. Pankin käsityksen mukaan tällöin voi myös perustellusti kysyä, mitä ylipäätään muita mahdollisuuksia pankilla on ohjeistaa asiakkaitaan väärinkäytösten estämiseksi.
Edellä lausutun perusteella pankki katsoo, että asiakas on tietoisesti laiminlyönyt vaadittavien varotoimenpiteiden noudattamisen. Asiakkaan menettely osoittaa myös välinpitämätöntä ja piittaamatonta suhtautumista vakavaan ja ilmeiseen vahinkoriskiin. Kokonaisuutena arvioiden asiakkaan menettelyä on pidettävä törkeän huolimattomana ja menettely on riidatta ollut välittömässä syy-yhteydessä aiheutuneeseen vahinkoon. Näin ollen pankki katsoo, ettei se ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan maksuvälineen oikeudettomasta käytöstä aiheutuneen vahingon tulee jäädä asiakkaan omalle vastuulle.
4.3. Vaatimus palvelumaksujen palauttamisesta
Asiakkaan valituksen perusteella asiassa on jäänyt epäselväksi, millä perusteella asiakas vaatii pankkia palauttamaan asiassa syntyneet palvelumaksut tai millä perusteella asiakas vaatii vahingonkorvausta. Pankki ei ole toiminut maksupalvelulain säännösten tai yleisten sopimusehtojen vastaisesti eikä ole vastuussa asiakkaalle aiheutuneesta vahingosta. Näin ollen pankki ei ole asiassa korvausvelvollinen eikä se ole velvollinen korvaamaan asian selvittämisestä asiakkaalle aiheutuneita palvelumaksuja tai muita kuluja. Maksut ovat myös pankin yleisten sopimusehtojen mukaisia ja asiakas on ne hyväksynyt allekirjoittamissaan takaisinnostopyynnöissä. Näin ollen asiakkaan vaatimus maksujen palauttamisesta on perusteeton ja se tulee hylätä yhdessä pääasian kanssa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 4.9.2021)
- Muistio 12.10.2021 (Tietoteknisen materiaalin tutkinta, Lounais-Suomen Poliisilaitoksen tietotekniikkatutkinta)
- Vanhemman rikoskonstaapelin 11.1.2022 antama selvitys poliisin toiminnasta liittyen asiakkaan rikosilmoitukseen
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on luovuttanut maksuvälineensä sen käyttöön oikeudettomalle tai siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus jälkimmäisessä tapauksessa on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin henkilöasiakkaisen pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Soveltamisala -kohdan mukaan
"[…] Asiakas sitoutuu noudattamaan näiden yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita.
Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. […]"
Pankkitunnusehtojen Pankkitunnusten myöntäminen käyttäminen verkkopalvelussa -kohdan mukaan
”[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla.
Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta.
Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksu- ja muut toimeksiannot, hakemukset, sopimukset sekä viestit sitovat asiakasta sen jälkeen, kun ne on lähetetty pankille palvelussa edellytetyllä tavalla.”
Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
"Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
[…] Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma."
Pankkitunnusehtojen Ilmoitus pankkitunnusten katomaisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
”Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]”
Pankkitunnusehtojen Pankkitunnusten käyttäminen sähköiseen tunnistamiseen (Tunnistuspalvelu) -kohdan mukaan
”Asiakas voi tunnistautua pankkitunnuksilla myös kolmansien osapuolten palveluissa, jos pankki tai muu palveluntarjoaja ja kolmas osapuoli ovat näin sopineet. […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa riidattomaksi, että kun asiakkaan tarkoituksena on ollut mennä Omakannan verkkosivuille hakukoneen kautta, on hän hakutuloksien kautta ja asiaa itse huomaamatta päätynyt rikollisten luomille valesivuille, joilla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen Omakantaan.
Rikolliset ovat em. tavoin tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin. Pankkilautakunta katsoo, että myös viestissä olleen aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Lautakunta katsoo asiassa jääneen epäselväksi, mitä asiakas on itse rikollisten luomilla valesivuilla nähnyt aktivointikoodia sinne laittaessaan ja missä tarkoituksessa hän on tarkkaan ottaen ymmärtänyt sitä käyttävänsä.
Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Tämän jälkeen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin asiakkaan pankkitunnusten käyttäjätunnusta ja pankin mobiilisovellusta oikeudetta käyttäen sekä vahvistaneet pankin mobiilisovelluksella kyseessä olevat asiakkaan verkkopankissa tekemänsä tilisiirrot ulkomaille.
Maksuvälineen luovuttaminen
Pankki on tapauksessa katsonut, että asiakas on tietoisesti antanut pankkitunnuksensa niiden käyttöön oikeudettomalle ja siten myös luovuttanut maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla.
Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.
Pankkilautakunta toteaa, että asioidessaan aidoilta Omakannan verkkosivuilta ja pankin tunnistautumissivuilta näyttävillä rikollisten luomilla valesivuilla asiakas on verkkopankkitunnuksiaan käyttäessään luullut käyttävänsä tunnuksiaan niiden tavanomaisessa käyttötarkoituksessa tunnistautuakseen kolmannen osapuolen eli tässä Omakannan palveluun. Lautakunta katsoo näin ollen ilmeiseksi, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnustietojaan eikä pankilta tekstiviestitse saamaansa aktivointikoodia niiden käyttöön oikeudettomalle ja ettei tapauksessa siten ole kyse maksupalvelulaissa tarkoitetusta maksuvälineen luovuttamisesta.
Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko korttien oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehtojen mukaan asiakas voi tunnistautua pankkitunnuksilla myös kolmansien osapuolten palveluissa. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. Ehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun tai kolmansien osapuolten palveluihin hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita.
Pankkilautakunta katsoo riidattomaksi, että asiakas on tässä tapauksessa päätynyt rikollisten luomille Omakannan aidoilta verkkosivuilta näyttäville valesivuille hakukoneen kautta. Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella ja erityisesti poliisin suorittama tietotekniikkatutkinta huomioiden katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan Omakannan sivuille hakukoneen kautta ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa tunnistautumiseen kolmannen osapuolen palveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla verkossa tehtävästä tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut viestissä olleen ohjeistuksen mukaisesti myös jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta varoitetun asianmukaisesti väärinkäytöstilanteiden varalta. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä aktivointikoodia sitä valesivuille laittaessaan.
Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin yksityiskohtainen sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankiltaan saaman pankin mobiilisovelluksen aktivointikoodin sisältämän tekstiviestin yksityiskohtaisen sisällön lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan ja pankin välisessä suhteessa asiakas vastaa näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet
Ahlroth
Atrila
Piilo
Pulkkinen