Tapahtumatiedot
Asiakkaan verkkopankkitunnuksilla ja pankin asiakkaan puhelinnumeroon 21.7.2021 klo 19:01 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin mobiilisovellus. Tämän jälkeen asiakkaan verkkopankkiin on kirjauduttu asiakkaan verkkopankkitunnusten käyttäjätunnuksella ja mobiilisovelluksella tehdyllä tunnistautumisella klo 19:03, asiakkaan talletustililtä on tehty 28.300 euroa tilisiirto asiakkaan käyttötilille ja käyttötililtä Italiaan 20.000 euron siirto klo 19:10 ja 8.800 euron siirto klo 19:12. Maksut on vahvistettu pankin mobiilisovelluksella.
Asiakas on itse kirjautunut verkkopankkitunnuksiaan (käyttäjätunnus, salasana, avaintunnuskortin kertakäyttöisen avaintunnus ja pankin tekstiviestitse lähettämä vahvistuskoodi) käyttäen verkkopankkiinsa 21.7.2021 klo 19:06.
Asiakkaan verkkopankkitunnukset on suljettu 22.7.2021 asiakkaan oltua yhteydessä pankkiin.
Asiakkaan valitus
Asiakas haluaisi, että pankki palauttaisi menetetyn 28.800 euroa kokonaisuudessaan.
Asiakas tarkisti tilinsä saldon ja hyväksyi e-laskun 21.1.2021 illalla noin klo 19.00. Asiakas ei huomannut mitään erikoista käydessään verkkopankissa.
Asiakas lähti kauppaan ja meni automaatille nostaakseen käteistä. Kauhukseen asiakas huomasi, että tili oli tyhjätty. Hän kävi kaupassa ja yritti maksaa kortilla, mutta se ei toiminut. Kotona asiakas tarkisti vielä tilinsä koneelta ja tyhjähän se oli. Asiakas soitti kortin sulkupalveluun. Aamulla hän meni pankkiin ja teki rikosilmoituksen. Asiakkaan tietokoneen tutki ammattitaitoinen henkilö ja tietoturva oli kunnossa.
Pankin vastine
Tapahtuman kuvaus
Asiakas on kertonut pankille toimittamassa reklamaatiossaan kirjautuneensa 21.7.2021 pankin verkkopankkiin maksaakseen e-laskun. Asiakas on kertonut syöttäneensä pankin sivustolle käyttäjätunnuksen, salasanan, avaintunnuskortin kertakäyttöisen avaintunnuksen sekä tekstiviestitse saamansa kertakäyttöisen koodin. Asiakas on kertonut, ettei omista älypuhelinta.
Pankin järjestelmien lokitiedoista ilmenee, että asiakkaan tunnuksilla on 21.7.2021 klo 19:02 kirjauduttu pankin tarjoamaan mobiilisovellukseen, minkä jälkeen hänen asiakastiedoissaan olevaan matkapuhelinnumeroon on lähetetty aktivointikoodin sisältävä oheisenlainen tekstiviesti:
"Olet aktivoimassa [pankin mobiilisovellusta]. Jos et ole tehnyt tätä, ota välittömästi yhteyttä [pankkiin] tai sulkupalveluun p. 020 333. Jos haluat jatkaa [pankin mobiilisovelluksen] käyttöönottoa, syötä [pankin mobiilisovellukseen] koodi [****] rekisteröinnin loppuun viemiseksi"
Mobiilisovelluksen aktivoinnin jälkeen pankin verkkopalveluun on pankin lokitietojen mukaan kirjauduttu asiakkaan käyttäjätunnuksella ja mobiilisovelluksella tehdyllä tunnistautumisella klo 19:03. Tämän jälkeen tehdyt ko. maksut on vahvistettu pankin mobiilisovelluksella.
Asiakas on kertonut pankille suullisesti antamassaan selvityksessä, että hän on saanut 21.7.2021 pankilta kaksi kertakäyttöistä salasanaa sisältävää tekstiviestiä. Näistä yhden hän on saanut kertomansa mukaan maksaessaan e-laskua ja toisen mennessään katsomaan tilin saldoa. Pankin järjestelmien mukaan asiakkaalle on lähetetty kolme tekstiviestiä kyseisenä päivänä. Näistä ensimmäinen on vastaanotettu asiakkaan puhelimeen klo 19:01 mobiilisovelluksen aktivointiin liittyen ja seuraavat kaksi (vastaanotettu 19:07 ja 20:08) ovat verkkopankkiin kirjautumiseen liittyviä tekstiviestejä.
Asiakas on kertonut, ettei ole itse aktivoinut pankin mobiilisovellusta kyseisenä päivänä, mutta on sen sijaan kirjautunut verkkopankkiin kaksi kertaa samana päivänä.
Asian arviointi
Pankin verkkopankin sisäänkirjautumissivu ei pyydä koskaan syöttämään pankin mobiilisovelluksen aktivointikoodia tietokoneelle, vaan aktivointikoodi tulee syöttää mobiilisovellukseen.
Asiakas on kertonut pankille antamassaan suullisessa selvityksessä kirjautuvansa pankin verkkopankkiin aina kirjoittamalla pankin verkkosivujen osoitteen selaimen yläpalkkiin ja että hän ei hae pankin verkkosivua hakukoneella. Asiasta antamansa selvityksen mukaan asiakas ei ole saanut pankin nimissä lähetettyä huijaussähköpostia tai -tekstiviestiä, jossa pyydettäisiin kirjautumaan pankin verkkosivustolle.
Pankin näkemyksen mukaan pankkitunnusten joutumisen oikeudettomasti toisen haltuun on täytynyt tapahtua siten, että asiakas päätynyt pankin verkkopankin kirjautumissivua muistuttavalle huijaussivustolle, jossa on pyydetty syöttämään pankin verkkopankkitunnusten käyttäjätunnus, salasana, avaintunnuskortin kertakäyttöinen avaintunnus sekä pankkitunnusten haltijalle pankin lähettämä pankin mobiilisovelluksen kertakäyttöinen aktivointikoodi. Pankin käsityksen mukaan kysymyksessä olevassa tapauksessa ei ole muuta varteenotettavaa mahdollisuutta, kuin että asiakas on päätynyt pankin verkkopalvelua muistuttavalle huijaussivustolle hakukoneen kautta.
Saatuaan käyttäjätunnuksen, salasanan, avaintunnuskortin kertakäyttöisen tunnusluvun ja pankin mobiilisovelluksen kertakäyttöisen aktivointikoodin haltuunsa, on tämä ulkopuolinen henkilö aktivoinut pankin mobiilisovelluksen 21.7.2021 klo 19:02 ja kirjautunut asiakkaan verkkopankkiin klo 19:03. Tämän jälkeen on tehty oma tilisiirto klo 19:09 ja maksut italialaisille pankkitileille klo 19:10 ja 19:12. Pankin lokitiedoista ilmenee, että eri IP-osoitteesta on kirjauduttu verkkopankkiin avainlukukortilla ja tekstiviestivahvistuksella klo 19:06. Pankin käsitys asiassa on, että asiakas on ensin ajautunut hakukoneen kautta huijaussivustolle, ja syöttänyt sivustolle verkkopankin käyttäjätunnuksen, salasanan, avainluvun ja pankin mobiilisovelluksen aktivointikoodin. Näin ulkopuolinen on saanut tarvittavat tiedot haltuunsa, ja aktivoinut pankin mobiilisovelluksen klo 19:02 ja kirjautunut sillä asiakkaan verkkopankkiin klo 19:03. Asiakas puolestaan on vasta tämän jälkeen löytänyt oikealle verkkopankin kirjautumissivulle ja päässyt kirjautumaan verkkopankkiin avainlukukortilla ja tekstiviestivahvistuksella klo 19:06.
Tapauksessa tulee arvioida pankin sopimusehtojen mukaisesti maksuvälineen käyttäjän huolimattomuutta, koska kyse on maksuvälineenä olevien pankkitunnusten joutumisesta oikeudettomasti toisen haltuun. Palveluehtojen mukaan asiakas vastaa oikeudettomasta käytöstä täysimääräisesti, jos asiakas on toiminut törkeän huolimattomasti.
Pankki on julkaissut sivuillaan 20.5.2021 ja 3.6.2021 tiedotteet, joissa on kehotettu olemaan kirjautumatta verkkopankkiin hakukoneiden kautta. Samalla pankki on varoittanut liikkeellä olevan tapauksenkaltaisia "hakukonehuijauksia". Pankki katsoo, että huijauksista on viestitty myös yleisesti valtakunnan tiedotusvälineissä ja myös muiden Suomessa toimivien pankkien taholta. Lisäksi pankki katsoo, että pankkitunnusten haltijan tulisi pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasun lisäksi käyttämästään selaimesta, että verkkosivun URL-osoite vastaa asianmukaista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle yritetään päästä hakukonetta käyttämällä. Pankki on antanut asiasta turvallisuusohjeistusta edellä mainituissa tiedotteissaan. Lisäksi pankki katsoo, että vastaavat verkkopankin turvalliseen käyttöön liittyviä vaatimuksia tulee verrata muuhun maksuvälineen käyttöön, jossa maksuvälineen haltijan tulee kiinnittää huomiota maksupäätteeseen tai vastaavaan muuhun paikkaan, johon maksuvälinettä tai sen tietoja ollaan syöttämässä. Verkkosivujen tarkastamatta jättäminen ilmentää pankin arvion mukaan osaltaan asiakkaan huolimattomuutta maksuvälineen käytössä.
Pankki katsoo, että asiakkaan saadessa pankin mobiilisovelluksen aktivoinnista ilmoittavan ja mahdollisesta huijauksesta varoittavan tekstiviestin hänen olisi tullut viimeistään ymmärtää olla antamatta tekstiviestissä olevaa kertakäyttöistä aktivointikoodia sivulle. Tekstiviesti on edellä siteeratulla tavalla ollut selkeäsanainen ja se on alkanut pankin mobiilisovellukseen liittyvällä ilmoituksella. Huijaussivustolla epäonnistuneen kirjautumisyrityksen jälkeen asiakkaan olisi pankin näkemyksen mukaan viimeistään tullut ymmärtää, ettei kyseessä ole pankin sivusto, millä olisi oikea-aikaiseen sulkuilmoitukseen yhdistettynä voitu estää tapahtunut pankkitunnuksien väärinkäyttö. Ensimmäinen kirjautuminen verkkopankkiin illalla 21.7.2021 on tapahtunut klo 19:03:12 ja ensimmäinen tilisiirto pois tileiltä on tehty klo 19:10:43, joten epäonnistuneen kirjautumisyrityksen ja pankin mobiilisovelluksen aktivointikoodin huijaussivustolle syöttämisen jälkeen on ollut useita minuutteja aikaa sulkea tilinkäyttövälineet, mikäli asiakas olisi havainnut verkkosivujen olleen huijaussivusto.
Asiakas on kertomansa mukaan havainnut tilinsä tyhjentyneen sekä käteisautomaatilla että myöhemmin kirjautuessaan verkkopankkiin, mutta hän on soittanut sulkupalveluun sulkeakseen maksukortin vasta käteisautomaatilla käynnin ja kauppaostoksien teon jälkeen.
Pankin arvion mukaan asiakkaan olisi tullut havaita kokonaisuus huomioiden kysymyksessä olevan huijaus ja tämän jälkeen tehdä pankin palveluehtojen mukaisesti viipymättä ilmoitus tilinkäyttövälineiden joutumisesta oikeudettomasti toisen haltuun. Havaittuaan käteisautomaatilla oikeudettomat maksut sulkuilmoituksen teolla ei ole ollut syy-yhteyttä tapahtuneeseen vahinkoon, mutta pankin mielestä se ilmentää osaltaan piittaamattomuutta maksuvälineen käytön turvallisuusvaatimuksista.
Kokonaisuus ja erityisesti pankin mobiilisovelluksen aktivointikoodin sisältämän viestin varoittava ja selkeä muotoilu huomioon ottaen pankki katsoo asiakkaan toimineen maksupalvelulaissa ja pankin palveluehdoissa tarkoitetulla tavalla törkeän huolimattomasti käyttäessään pankkitunnuksia väärinkäyttöön johtavalla tavalla. Tämän vuoksi pankki on päättänyt, ettei korvaa oikeudettomista maksutapahtumista asiakkaalle aiheutunutta vahinkoa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Rikosilmoitus (22.7.2021)
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin henkilöasiakkaisen pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Soveltamisala -kohdan mukaan
"[…] Asiakas sitoutuu noudattamaan näiden yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. […]"
Pankkitunnusehtojen Pankkitunnusten myöntäminen ja käyttäminen verkkopalvelussa -kohdan mukaan
”[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla.
Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta.
Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksu- ja muut toimeksiannot, hakemukset, sopimukset sekä viestit sitovat asiakasta sen jälkeen, kun ne on lähetetty pankille palvelussa edellytetyllä tavalla.”
Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
"Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
[…] Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma."
Pankkitunnusehtojen Ilmoitus pankkitunnusten katomaisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
”Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]”
Pankkitunnusehtojen Pankkitunnusten käyttäminen sähköiseen tunnistamiseen (Tunnistuspalvelu) -kohdan mukaan
”Asiakas voi tunnistautua pankkitunnuksilla myös kolmansien osapuolten palveluissa, jos pankki tai muu palveluntarjoaja ja kolmas osapuoli ovat näin sopineet. […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena 21.7.2021 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja nyt osin epäselväksi jääneellä tavalla päätynyt pankin verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Tämä on asiassa saadun selvityksen perusteella tapahtunut vain minuutteja ennen asiakkaan oikeilla pankin verkkosivuilla tekemää onnistunutta kirjautumista pankin verkkopankkiin 21.7.2021 klo 19:06.
Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt klo 19:02 asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin.
Pankkilautakunta katsoo, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen.
Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Asiakkaan pankkitunnusten käyttäjätunnuksella ja pankin mobiilisovelluksella vahvistaen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin 21.7.2021 klo 19.03 ja mobiilisovelluksella vahvistaen tehneet ko. tilisiirrot.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. Ehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita.
Asiakkaan mukaan hän ei huomannut mitään erikoista käydessään verkkopankissa. Pankin käsityksen mukaan tapauksessa ei ole muuta varteenotettavaa mahdollisuutta kuin että asiakas on päätynyt pankin verkkopalvelua muistuttavalle huijaussivustolle hakukoneen kautta, ja pankki on kiinnittänyt huomiota siihen, että pankki on tiedotteillaan kehottanut asiakkaitaan olemaan kirjautumatta verkkopankkiin hakukoneiden kautta ja varoittanut liikkeellä olevan ns. hakukonehuijauksia. Lisäksi pankki katsoo, että pankkitunnusten haltijan tulisi pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasun lisäksi käyttämästään selaimesta, että verkkosivun URL-osoite vastaa asianmukaista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle yritetään päästä hakukonetta käyttämällä.
Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille, mutta asiassa jääneen yksityiskohdiltaan epäselväksi, miten asiakas on sivuille päätynyt. Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään informatiivinen, ja siinä ohjeistetun asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta kehotetun ottamaan yhteyttä pankkiin, jos ei ole itse aktivoimassa pankin mobiilisovellusta. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä aktivointikoodia sitä valesivuille laittaessaan.
Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankiltaan saaman pankin mobiilisovelluksen aktivointikoodin sisältämän tekstiviestin sisällön lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan ja pankin välisessä suhteessa asiakas vastaa näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen