Tapahtumatiedot
Asiakkaan verkkopankkitunnuksilla ja pankin asiakkaan puhelinnumeroon 2.6.2021 klo 19:28 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin mobiilisovellus. Tämän jälkeen asiakkaan verkkopankkiin on kirjauduttu asiakkaan pankkitunnusten käyttäjätunnuksella ja em. mobiilisovelluksella tehdyllä tunnistautumisella 2.6.2021 klo 19:30. Tässä istunnossa ei ole tehty mitään tapahtumia. Verkkopankkiin on kirjauduttu uudestaan klo 19:49 ja verkkopankissa on pankin mobiilisovelluksella vahvistaen tehty klo 19.51-20.02 seitsemän tilisiirtoa ulkomaille yhteismäärältään 68.400 euroa. Asiakkaan verkkopankkiin on kirjauduttu jälleen klo 20:09 ja verkkopankissa on pankin mobiilisovelluksella vahvistaen tehty klo 20.10-20.14 kolme tilisiirtoa ulkomaille yhteismäärältään 9.600 euroa. Kaikki em. tilisiirrot on tehty tileiltä, joiden omistajat ovat antaneet asiakkaalle tilinsä käyttöoikeuden.
Asiakas on itse kirjautunut verkkopankkitunnuksiaan (käyttäjätunnus, salasana, avaintunnuskortin kertakäyttöinen avaintunnus ja pankin tekstiviestitse lähettämä vahvistuskoodi) käyttäen verkkopankkiinsa 2.6.2021 klo 19:29.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan menetetyt rahat.
Asiakkaan kirjautuessa 2.6.2021 verkkopankin sivuille on asiakkaan yhdeksältä omalta asiakkaalta anastettu varoja yhteensä 68.000,00 euroa. Rahat ovat siirtyneet suoraan ulkomaisille tileille. Asiakas sai tiedon anastuksesta pankilta 3.6.2021, jolloin hän heti alkoi auttaa pankkia ja poliisia asian selvittämisessä.
Asiakas kiistää toimineensa törkeän huolimattomasti seuraavista syistä:
Selainsivun yläreunan osoitekenttään asiakas on epähuomiossa kirjoittanut pelkän [pankki], mutta asiakas on tietoisesti valinnut hakutuloksista virallisen [pankki].fi tuloksen eikä mitään epämääräistä [pankki]-sanoja ja -merkkejä sisältävää linkkiä. Asiakas ei ole myöskään kirjautunut minkään sähköpostilinkin tai tekstiviestin kautta.
Lisäksi on huomioitava, että kirjautumisvaiheessa sivulle nousi tutun isännöitsijän nimi. Asiakas otti kuvakaappauksen tästä hetkestä, koska hän säikähti heti, että ko. taho on saanut asiakkaan omien asiakkaiden käyttöoikeudet aiheettomasti.
Asiakas kokee, että myös pankin sivuilla on ollut haavoittuvuutta itsessään. Tämän seikan asiakas pyytää huomioimaan siksi, että jos tutun isännöitsijän sijasta ruudulla olisi lukenut täysin vieraan, ennestään tuntemattoman henkilön, puhumattakaan ulkomaalaisen henkilön nimi, asiakas ei olisi todellakaan antanut kirjautumisen jatkua. Tämä antoi nimenomaan vaikutelman, ettei asiakas voinut olettaa olevansa kalastelusivulla. Kyseinen verkkosivu oli siis ilmeeltään ja ulkoasultaan täysin identtisen ja turvallisen näköinen. Asiakkaan käyttämä tietokone oli varsin uusi ja virustorjunta kunnossa.
Pankki myös antaa ymmärtää, että asiakas on havainnut poikkeavan vahvistusviestin samalla kirjautumishetkellä. Asia ei ollut niin, vaan asiakas huomasi poikkeavuuden, kun saatuaan tiedon varojen anastamisesta hän alkoi tietoisesti etsiä kaikkea poikkeavaa normaalista. Vahvistusviesti oli täysin uskottava. Vahvistustilanteessa on avoinna vain se kyseinen viesti, ei rinnakkain esim. edellinen viesti. Eroa ei huomaa, ellei kaiva esiin jotakin vanhaa vertailuviestiä ja etsi tietoisesti eroa.
Ainakin osassa asiakkaan omilta asiakkailtaan saamissa valtakirjoissa on valtuutus kotimaan maksuille, niin miksi ylipäätään on kuitenkin ollut mahdollisuus ulkomaanmaksuun? Olisiko pankki voinut tai pitänyt laittaa tileille ulkomaan maksujen ehto valtakirjaan viitaten? Valvooko pankki ulkomaille meneviä maksuja ja tuleeko pankille mitään "hälytystä", kun tapahtuu jokin normaalista poikkeava maksutapahtuma? Esimerkiksi normaalista poikkeava iso summa ja ulkomaille? Pankin tulisi tällaiseen pystyä puuttumaan/reagoimaan ja varmentaa tilinomistajalta ennen kuin maksu lähtee eteenpäin, varsinkin kun näitä poikkeavia oli useampi samana päivänä.
Asiakas ei vahvistanut mitään maksutapahtumaa, jossa olisi esimerkiksi huolimattomasti katsonut vahvistuskoodin ja sitä kautta hyväksynyt maksun. Törkeällä toiminnalla viitataan lähes tahallisuuteen ja huolimattomuuteen, jota tämä ei todellakaan ollut. Asiakas ei ole voinut tietää toimintansa perusteella, että voi tapahtua maksutapahtumia ulkomaille.
Pankin vastine
1. Vastaus
Pankki pyytää, että asiakkaan valitus hylätään kokonaisuudessaan.
Koska asiakas ei maksupalvelua käyttäessään ole ollut kuluttajan asemassa, tulee pankin käsityksen mukaan asiassa soveltaa ensisijaisesti asiakkaan ja pankin välisiä sopimusehtoja. Ehtojen mukaan asiakas on vastuussa pankkitunnusten oikeudettomasta käytöstä, jos tunnusten katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu asiakkaan huolimattomuudesta.
Mikäli lautakunnan käsityksen mukaan asia tulee ratkaista yksin maksupalvelulain säännösten perusteella, pankki katsoo olevansa vastuusta vapaa joka tapauksessa sillä perusteella, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja sopimusehtojen mukaiset velvollisuutensa huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksupalvelulain 62 §:n 1 momentin 2 kohdan ja 2 momentin perusteella asiassa ei tule siten soveltaa lainkohdan mukaista 50 euron omavastuuta, vaan asiakas vastaa kokonaisuudessaan aiheutuneesta vahingosta.
2. Asian tausta ja tapaukseen liittyvät tosiseikat
Asiakas on tekemiensä asiakassopimusten perusteella hallinnoinut omien henkilökohtaisten pankkitunnusten kautta usean eri asiakkaan tilejä. Asiakkaan oman ilmoituksen mukaan hän on hallinnoinut tilejä toiminimensä (aputoiminimi isännöinti [asiakkaan nimi]) kautta. Asiakkaina on ollut mm. tiekuntia, osuuskuntia ja yhdistyksiä. Asiakkaan liiketoiminta on koskenut isännöintiä ja muuta kiinteistöalaan liittyvää toimintaa.
Asiassa on riidatonta, että asiakas on tietokoneensa Chrome-verkkoselaimen kautta pyrkinyt kirjautumaan pankkitunnuksillaan (salasana ja paperinen tunnuslukutaulukko) pankin verkkopalveluun. Asiakkaan ilmoituksen mukaiset kirjautumisprosessin vaiheet ilmenevät mm. poliisin asiassa laatimasta tutkintailmoituksesta.
Asiakas on tämän jälkeen syöttänyt pankin verkkopankin tunnistautumissivua jäljittelevälle sivustolle käyttäjätunnuksensa ja salasanansa. Asiakkaalle avautunut sivusto on ollut tosiasiassa ns. huijaussivusto.
Asiakkaan verkkopankkitunnuksilla (tunnuslukukortilla) on pyritty kirjautumaan verkkopankkiin 2.6.2021 klo 19:27:34, mutta kirjautumista ei ole viety loppuun. Tämän jälkeen pankin mobiilisovellukseen on kirjauduttu klo 19:28:14, klo 19:28:46 asiakkaan puhelinnumeroon on lähetetty seuraavansisältöinen tekstiviesti:
”Viesti-id: 307GS. Syötä [pankin mobiilisovellukseen] koodi: 669430 rekisteröinnin loppuun viemiseksi.”
Pankin lokitietojen perusteella asiakkaalle on ladattu ja aktivoitu pankin mobiilisovellus 2.6.2021 klo 19:29:13. Tämän jälkeen verkkopankkiin on kirjauduttu asiakkaan toimesta klo 19:29:36 avainlukukortilla. Lokitiedot ovat yhdenmukaisia asiakkaan kuvauksen kanssa siitä, että hän on yrittänyt ensin kirjautua verkkopankkiin ja antanut vahvistuskoodin, minkä jälkeen selain on palautunut kirjautumissivulle ja yritettyään kirjautumista uudestaan, hän on onnistunut kirjautua verkkopankkiin.
Tämän jälkeen verkkopankkiin on kirjauduttu 2.6.2021 illalla klo 19:30:18 asiakkaan mobiilisovelluksella, ilman tapahtumia. Pankin mobiilisovelluksella on tilinkäyttöön oikeudettoman tahon toimesta kirjauduttu uudestaan verkkopankkiin klo 19:49:30. Lokitiedoista ilmenee, että kirjautuminen on tehty samalla laitteella. Verkkopankissa on perustettu ja mobiilisovelluksella vahvistettu klo 19.51-20.02 seitsemän SEPA-maksua, yhteensä 68.400 euroa.
Pankin mobiilisovelluksella on kirjauduttu verkkopankkiin klo 20:04:01 ja 20:06:27. Lokitiedoista ilmenee että kirjautuminen on tehty samalla laitteella kuin aiemmat kirjautumiset. Sovelluksella on kirjauduttu verkkopankkiin klo 20:09:48 ja perustettu ja mobiilisovelluksella vahvistettu klo 20.10-20.14 kolme maksua, yhteensä 9.600 euroa.
Kaikki edellä mainitut tilisiirrot on tehty kirjautumalla asiakkaan verkkopankkiin käyttämällä käyttäjätunnusta ja pankin mobiilisovellusta ja kaikki tilisiirrot on myös vahvistettu käyttämällä pankin mobiilisovellusta, jonka tilinkäyttöön oikeudeton taho on saanut edellä kuvatun prosessin seurauksena. Verkkopankkia on ollut mahdollista käyttää oikeudettomasti asiakkaan ja pankin tietämättä, koska ulkopuolisella on ollut tiedossaan asiakkaan käyttäjätunnus, tunnuslukukortin salasana sekä pankin mobiilisovelluksen aktivointiin tarvittavat tiedot.
Pankki huomioi, että joidenkin asiakkaan saamissa valtakirjoissa omilta asiakkailtaan mainitaan, että asiakas saa täydet/laajat tilinkäyttöoikeudet ja verkkopankin käyttöoikeudet, ja lisäksi niissä, että asiakkaalle kohdennettava valtuutus on vain kotimaan maksuissa. Vaikka pankille kohdennettava tilinkäyttöoikeusvaltuutus onkin merkitty laajaksi/täydeksi, pankki hyväksyy, että kotimaanmaksupyyntö pöytäkirjoista kohdistuu myös pankkiin, sillä pankin olisi pitänyt todisteellisesti kertoa asiakkaalle, että ko. rajoista ei ollut mahdollista tehdä valtuutuksen myöntämisajankohtana. Toistaiseksi pankin tiedossa on, että seuraava merkintä koskisi kolmea tiekuntaa.
Asiakkaan oman ilmoituksen mukaan on riidatonta, että asiakas on pyrkinyt kirjautumaan palveluun hakukoneen kautta. Asiakkaan mukaan hänen kirjautuessaan tunnuslukutaulukon ja salasanan avulla palveluun, on kirjautumissivulle tullut kiinteistöosakeyhtiön Z ja henkilön Y nimi. Asiakkaan mukaan hän on "säikähtänyt" ilmoitustekstiä ja huolestunut siitä, että hänen asiakkuuksiaan olisi vahingossa siirretty toisen asiakkaan alle. Asiakkaankin mukaan ilmoitustekstissä mainitulla toisella asiakkaalla ei ole ollut mitään liityntää asiakkaan hallussa oleviin pankkitunnuksiin ja niiden kautta verkkopalvelussa hallinnoitaviin asiakkaan omien asiakkaiden tilitietoihin ja maksuihin.
Tämän jälkeen asiakas on saanut mobiililaitteeseensa tekstiviestin, jossa asiakasta on pyydetty syöttämään pankin mobiilisovellukseen koodi rekisteröitymisen loppuun viemiseksi. Vaikka asiakkaalla ei ole ollut tarkoituskaan aktivoida kyseistä sovellusta, asiakas on syöttänyt pyydetyn koodin. Vahvistuskoodin antamisen jälkeen ulkopuolinen taho on päässyt käyttämään sovellusta ja suorittamaan oikeudettomat maksut. Asiakasta on vielä pyydetty tekstiviestitse vahvistamaan sisäänkirjaus erillisellä vahvistuskoodilla.
Asiakkaan ensimmäisen selvityksen mukaan hän on jälkikäteen huomannut ensimmäisen tekstiviestin poikkeavan tavallisesta. Asiakas ei ole kuitenkaan reagoinut asiaan. Poikkeava tekstiviesti on saapunut asiakkaalle klo 19:29:13 ja ensimmäinen oikeudeton maksu on tapahtunut 19:50:50, joten reagointiaikaa on ollut 20 minuuttia. Asiakas ei ole ottanut kuitenkaan yhteyttä pankkiin tai sulkupalveluun ennen oikeudettomien maksujen tekemistä. Asiakas on saanut tiedon tapahtuneesta vasta seuraavana päivänä pankin ottaessa tapahtuneen johdosta yhteyttä asiakkaaseen.
3. Asiassa sovellettavat säännökset ja sopimusehdot
Pankki viittaa maksupalvelulain 38, 53, 54 ja 62 §:in sekä verkkopankkipalvelun käyttöä koskeviin sopimusehtoihinsa. Asiakas on allekirjoittaessaan verkkopankkisopimuksen sitoutunut noudattamaan verkkopankkitunnusten käyttöä koskevia yleisiä sopimusehtoja.
4. Asian oikeudellinen arviointi
4.1. Sopimusehtojen mukainen tuottamusvastuu oikeudettomasta maksutapahtumasta
Maksupalvelulain 7 §:n 2 momentin mukaan, jos maksupalvelun käyttäjä ei ole kuluttaja, maksupalvelun käyttäjä ja palveluntarjoaja voivat sopia toisin mm. seikoista, joista säädetään lain vastuunjakoa koskevassa 62 §:ssä.
Pankin henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen mukaan asiakas vastaa pankkitunnusten oikeudettomasta käytöstä, jos asiakas on luovuttanut tunnukset niiden käyttöön oikeudettomalle tai tunnusten katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu asiakkaan huolimattomuudesta. Näin ollen pankin ja asiakkaan välisten sopimusehtojen mukaan asiakkaan täysimääräinen vastuu maksuvälineen oikeudettoman käytön aiheuttamasta vahingosta ei maksupalvelulain 62 §:n 2 momentista poiketen edellytä asiakkaan törkeää huolimattomuutta.
Asiassa on riidatonta, että asiakas on elinkeinoharjoittajan ominaisuudessa ja siten ansaitsemistarkoituksessa hallinnoinut omien asiakkaittensa pankkitilejä, jotka on liitetty asiakkaan henkilökohtaiseen verkkopalvelusopimukseen. Tilien käyttäminen on liittynyt olennaisena osana asiakkaan harjoittamaan isännöitsijän liiketoimintaan. Tässä yhteydessä asiakkaalla on ollut tilinkäyttöoikeus kymmenien eri asiakkaiden varoihin. Myös oikeudettomat tilisiirrot ovat kohdistuneet asiakkaan omien asiakkaiden varoihin.
Asiakkaan tilinkäyttöoikeus asiakkaiden varoihin on ollut olennainen osa asiakkaan harjoittamaa elinkeinotoimintaa. Pankin näkemyksen mukaan asiakas ei maksupalvelua käyttäessään ole siten toiminut kuluttajan asemassa. Pankki katsookin, että verkkopankkisopimuksessa on maksupalvelulain 62 §:stä poiketen voitu sopia pankin ja asiakkaan välisestä vastuunjaosta koskien oikeudettomasta maksuvälineen käytöstä aiheutunutta vahinkoa. Näin ollen arvioitaessa asiakkaan ja pankin välistä vastuunjakoa maksuvälineen oikeudettomasta käytöstä tulee asia ratkaista ensisijaisesti pankin ja asiakkaan välisen sopimuksen ehtojen perusteella.
Saatujen selvitysten perusteella on riidatonta, että asiakas on pyrkinyt kirjautumaan palveluun hakukoneen kautta. Asiakkaan velvollisuutena on pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasun lisäksi käyttämästään selaimesta, että verkkosivun URL-osoite vastaa asianmukaista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle on kirjauduttu suoraan tai välillisesti hakukoneen linkkien välityksillä.
Asiakkaan kirjautumisprosessi on poikennut merkittävällä tavalla aikaisemmista kirjautumisista. Kirjatuessaan tunnuslukutaulukon ja salasanan avulla palveluun, on kirjautumissivulle tullut kiinteistöosakeyhtiön Z ja henkilön Y nimi. Asiakkaankin mukaan hän on "säikähtänyt" ilmoitustekstiä ja huolestunut siitä, että hänen asiakkuuksiaan olisi vahingossa siirretty toisen asiakkaan alle.
Edellä kuvatusta asiakkaan kirjautumissivulle saamasta täysin vieraaseen asiakkaaseen viittavasta poikkeuksellisesta ilmoitustekstistä huolimatta asiakas on jatkanut kirjautumista ja syöttänyt pyydetyn turvaluvun selaimeen. Tämän jälkeen mobiililaitteeseen tulleen pankin mobiilisovelluksen rekisteröimiseen viittaavaan tekstiviestin jälkeen asiakas on edelleen jatkanut kirjautumisprosessia. Asiakas ei siten kummankaan poikkeuksellisen tapahtuman perusteella keskeyttänyt kirjautumista, mikä on mahdollistanut pankkitunnusten päätymisen niiden käyttöön oikeudettomalle taholle. Asiakas ei ole myöskään välittömästi ottanut yhteyttä pankkiin tai sulkupalveluun tilanteen selvittämiseksi.
Pankin käsityksen mukaan asiakkaan menettelyltä vaadittavana vähimmäisedellytyksenä on ollut, että asiakas lukee aikaisempiin kirjautumisiin nähden täysin poikkeavat viestit ja ilmoitukset ja reagoi niihin välittömästi. Huomioiden pankkitunnusten käyttämiseen liittyvä erityinen huolellisuusvaatimus olisi kirjautumisprosessi tullut keskeyttää välittömästi. Havaittuaan poikkeavuuden kirjautumisprosessissa asiakas ei ole myöskään ottanut välittömästi yhteyttä pankkiin tai sulkupalveluun, mikä olisi mitä todennäköisimmin estänyt vahingon syntymisen.
Laiminlyömällä edellä kuvatut toimenpiteet asiakas on mahdollistanut pankkitunnusten oikeudettoman käytön. Asiakkaan menettely osoittaa pankin käsityksen vähintäänkin ns. normaalihuolimattomuutta. Näin ollen pankki katsoo, että asiassa sovellettavien sopimusehtojen perusteella pankki ei ole korvausvastuussa asiassa aiheutuneesta vahingosta.
Pankki katsoo, että ensisijaisesti edellä lausutuilla perusteilla pankki tulee vapauttaa kaikesta korvausvastuusta asiakkaalle.
4.2. Törkeä huolimattomuus
4.2.1. Yleistä
Maksupalvelulain 62 § 2 momentin mukainen asiakkaan vastuu edellyttää, että maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti. Muussa tapauksessa asiakkaan vastuu rajautuu lainkohdassa mainitulla tavalla 50 euroon. Sama asia on todettu myös yleisissä sopimusehdoissa.
Mikäli lautakunta vastoin pankin näkemystä katsoo, että asiassa tulee sopimusehdoista poiketen soveltaa ensisijaisesti maksupalvelulain 62 §:n mukaisia vastuunjakoa koskevia periaatteita, tulee asiassa arvioida asiakkaan huolimattomuuden astetta eli menettelyn kvalifiointiperusteita. Mikäli tässä arvioinnissa menettely katsotaan törkeäksi, ei pankki ole vastuussa varojen palauttamisesta lain säännöstenkään perusteella.
Arvioitaessa asiakkaan tuottamuksen astetta nyt käsiteltävänä olevassa tapauksessa on otettava huomioon törkeän tuottamuksen edellytysten täyttymisen yleiset periaatteet, jotka on käytännössä määritelty korkeimman oikeuden ratkaisukäytännön perusteella. Törkeän tuottamuksen arviointi kussakin tapauksessa perustuu näihin yleisiin vahvistettuihin periaatteisiin kunkin yksittäistapauksen olosuhteet huomioiden.
Korkein oikeus on ratkaisussaan 2018:71 arvioinut törkeän huolimattomuuden täyttymisen edellytyksiä erityisesti arvioitaessa maksuvälineen käyttäjän menettelyä maksuvälineen käytössä ja hallinnassa. Korkein oikeus on mainitussa ratkaisussaan viitannut maksupalvelulain 62 §:n 2 momenttia koskeviin hallituksen esityksen perusteluihin (HE 169/2009 vp. s 75). Ennakkopäätökseen sisältyvän ohjeen mukaan törkeysarvostelussa olennainen kysymys liittyy siihen, onko maksuvälineen haltijan toiminta selvästi ja olennaisesti poikennut siitä, mitä huolelliselta menettelyltä vaaditaan. Lisäksi menettelyn tulee osoittaa selvää piittaamattomuutta suhteessa turvallisuusriskeihin. Pankki korostaa, että törkeän tuottamuksen täyttyminen ei siten edellytä ainakaan maksuvälineen haltijan menettelyä arvioitaessa sitä, että menettely olisi lähellä tahallisuutta.
Muussa törkeää huolimattomuutta koskevassa ratkaisukäytännössään korkein oikeus on useasti todennut periaatteen, jonka mukaan tuottamuksen aste määräytyy "sen perusteella, missä määrin vahingonaiheuttaja on laiminlyönyt sen huolellisuuden noudattamisen, jota tällaisessa asemassa olevalta voidaan vaatia". Korkein oikeus on ratkaisussaan myös korostanut, että tuottamusharkinnassa on kiinnitettävä ensisijaisesti huomiota vahingonaiheuttajan yksilöstä riippumattomiin seikkoihin ja olosuhteisiin (esim. KKO 2002:56).
Yhteenvedonomaisesti voidaan todeta, että korkein oikeus on törkeän huolimattomuuden arviointia koskevassa muussa ratkaisukäytännössään käyttänyt mm. seuraavia arviointikriteereitä:
1. Huolimattoman menettelyn aiheuttama riskin lisäys (vahingon todennäköisyys)
2. Potentiaalisen vahinkoseuraamuksen vakavuus
3. Tietoisuus riskin aiheuttavasta seikasta ja suhtautuminen riskiin
4. Huolellisesta menettelystä poikkeamisen merkittävyys
5. Vakiintuneiden menettelytapojen (merkittävä) rikkominen
6. Varotoimenpiteiden toteuttamismahdollisuus
(Hahto, Vilja — Tuottamus vahingonkorvausoikeudessa s. 111. esim. KKO 2002:56)
Oikeuskäytännön perusteella yllä mainitut arviointikriteerit ovat objektiivisia ja sellaisenaan sovellettavissa yleisesti. Pankin käsityksen mukaan edellä mainittuja arviointikriteereitä onkin sovellettava johdonmukaisesti myös silloin, kun arvioinnin kohteena on yksityishenkilö eli pankin asiakas.
4.2.2. Törkeän tuottamuksen arviointi tässä tapauksessa
Asioiminen pankin verkkopalvelussa henkilökohtaisia tunnuksia käyttäen edellyttää jo lähtökohtaisesti korkeinta vaadittavaa huolellisuuden tasoa. Tässä tapauksessa vaadittavan huolellisuuden tasoa korostaa se seikka, että asiakkaan pankkitunnuksilla on ollut mahdollisuus käyttää ja hallinnoida usean muun tahon pankkitilejä. Tältä osin tilanne poikkeaa merkittävästi tilanteesta, jossa asiakkaana on pelkästään kuluttaja-asemassa oleva yksityishenkilö, joka käyttää tunnuksia vain oman pankkitilinsä käyttämiseen.
Arvioinnin lähtökohdaksi tulee joka tapauksessa ottaa se, että verkkopalvelussa asioimisessa huolehditaan kaikista niistä varotoimenpiteistä, jotka on asetettu asioinnin turvallisuuden varmistamiseksi. Huomioiden varotoimenpiteillä suojatun riskin vakavuus, on varotoimenpiteiden laiminlyömistä pidettävä jo lähtökohtaisesti välinpitämättömänä ja piittaamattomana suhtautumisena riskiin.
Aikaisempiin kirjautumisiin nähden täysin poikkeavista tapahtumista (kirjautumissivulla näkynyt vieraan asiakkaan nimi, tekstiviestin poikkeavuus) huolimatta asiakas on jatkanut kirjautumisprosessia ja syöttänyt tunnuslukutaulukosta pyydetyn turvaluvun, joka on lopulta mahdollistanut mobiilisovelluksen rekisteröimisen ja maksupalvelun oikeudettoman käytön.
Asiakas ei näiden poikkeuksellisten tapahtumien perusteella ole keskeyttänyt kirjautumista. Asiaa arvioitaessa on kiinnitettävä erityinen huomio siihen, että havaittuaan kirjautumiseen liittyvän poikkeavuuden asiakas ei ole edelleenkään ottanut yhteyttä pankin sulkupalveluun. Pankin käsityksen mukaan asiakas olisi pystynyt estämään oikeudettomat maksut oikea-aikaisella sulkuilmoituksella, koska reagointiaikaa on ollut pankin lokitietojen mukaan 20 minuuttia.
Huomioiden pankkitunnusten käyttämiseen liittyvä erityinen huolellisuusvaatimus on asiakkaan menettelyltä vaadittavana vähimmäisedellytyksenä pidettävä sitä, että asiakas reagoi kirjautumisen aikana tapahtuviin tavanomaisesta menettelystä poikkeaviin seikkoihin välittömästi. Asiakkaan olisi tullut keskeyttää kirjautumisprosessi välittömästi siinä vaiheessa, kun verkkopankin näytölle on ilmestynyt maksupalveluun liittymättömän tahon nimi. Viimeistään asiakkaan on tullut reagoida siinä vaiheessa, kun häntä on tekstiviestillä pyydetty saattamaan loppuun pankin mobiilisovelluksen rekisteröinti.
Pankin käsityksen mukaan laiminlyömällä edellä kuvatut toimenpiteet asiakas on tietoisesti jättänyt varmistumatta siitä, että kirjautuminen on tapahtunut turvallisesti ja normaalin prosessin mukaisesti.
Riskinjakoon liittyvien säännösten, sopimusehtojen ja yleisten periaatteidenkin näkökulmasta on välttämätöntä, että asiakas omalta osaltaan huolehtii kirjautumisprosessin turvallisuudesta. Mikäli asiakkaalle jää vielä "normaalihuolellisuuden" puitteissa toimintavapaus jättää huomiotta kirjautumisprosessin yhteydessä selvästi havaittavat täysin poikkeukselliset tapahtumat, muodostuu tilanne pankin näkökulmasta kohtuuttomaksi. Pankin käsityksen mukaan tällöin voi myös perustellusti kysyä, mikä merkitys pankkitunnusten käyttämiseen liittyvillä teknisillä turvatoimenpiteillä on, jos niihin liittyvin selviin poikkeavuuksiin ei edellytetä asiakkaan reagointia.
Edellä lausutun perusteella pankki katsoo, että asiakas on tietoisesti laiminlyönyt vaadittavien varotoimenpiteiden noudattamisen. Tämän laiminlyönnin välittömänä seurauksena asiakkaan hallinnoimia tilejä on ollut mahdollisuus käyttää oikeudetta. Pankin käsityksen mukaan asiakkaan menettely osoittaa välinpitämätöntä ja piittaamatonta suhtautumista vakavaan ja ilmeiseen vahinkoriskiin. Kokonaisuutena arvioiden asiakkaan menettelyä on pidettävä törkeän huolimattomana ja menettely on riidatta ollut välittömässä syy-yhteydessä aiheutuneeseen vahinkoon. Näin ollen pankki katsoo, ettei se ole myöskään maksupalvelulain 62 §:n perusteella miltään osin velvollinen korvaamaan aiheutunutta vahinkoa ja maksuvälineen oikeudettomasta käytöstä aiheutuneen vahingon tulee jäädä asiakkaan omalle vastuulle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus asiakkaan pankilta saamista tekstiviesteistä (klo 19.28 ja 19.29)
- klo 19.28: ”Viesti-id: 307GS. Syötä [pankin mobiilisovellus] sovellukseen koodi 669430 rekisteröinnin loppuun viemiseksi.”
- klo 19.29: ”Viesti-id 1FR2U. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 412126. [Pankki]”
- Kuva valeverkkosivuilta ”Tervetuloa verkkopankkiin”
- Tutkintailmoitus (Ilmoitusaika 4.6.2021)
- Asiakkaan ja poliisin välisiä sähköposteja
- Verkkopankkisopimus, Yksityishenkilö (17.9.2020)
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä pankin verkkopalveluissa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Soveltamisala -kohdan mukaan
"[…] Asiakas sitoutuu noudattamaan näiden yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. […]"
Pankkitunnusehtojen Pankkitunnusten myöntäminen ja käyttäminen verkkopalvelussa -kohdan mukaan
”[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla.
Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta.
Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksu- ja muut toimeksiannot, hakemukset, sopimukset sekä viestit sitovat asiakasta sen jälkeen, kun ne on lähetetty pankille palvelussa edellytetyllä tavalla.”
Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
"Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
[…] Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma."
Pankkitunnusehtojen Ilmoitus pankkitunnusten katomaisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
”Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]”
Asian arviointi
Maksupalvelulaki ja pankkitunnusehdot
Pankki on tapauksessa vedonnut siihen, että koska asiakas ei maksupalvelua käyttäessään ole ollut kuluttajan asemassa, tulisi asiassa soveltaa ensisijaisesti asiakkaan ja pankin välisiä sopimusehtoja. Edelleen pankki on katsonut, että pankin ja asiakkaan välisten sopimusehtojen mukaan asiakkaan täysimääräinen vastuu maksuvälineen oikeudettoman käytön aiheuttamasta vahingosta ei maksupalvelulain 62 §:n 2 momentista poiketen edellytä asiakkaan törkeää huolimattomuutta.
Selvyyden vuoksi Pankkilautakunta toteaa, että tapauksessa on kyse asiakkaan henkilökohtaisten verkkopankkitunnusten oikeudettomasta käytöstä. Asiakas on sopinut pankin kanssa tunnuksista ja niiden käytöstä yksityishenkilöitä koskevalla verkkopankkisopimuksella, johon sovellettavien yleisten ehtojen mukaan asiakkaan vastuu tunnusten oikeudettomasta käytöstä maksuvälineenä määrittyy maksupalvelulain kuluttajan hyväksi pakottavien säännösten mukaisesti. Tämän vuoksi Pankkilautakunnalle on jäänyt epäselväksi, mihin perustuu pankin näkemys siitä, että ko. sopimusehtojen mukaan asiakkaan täysimääräinen vastuu maksuvälineen oikeudettoman käytöstä ei edellyttäisi asiakkaan törkeää huolimattomuutta.
Edelleen Pankkilautakunta kiinnittää huomiota siihen, että saadun selvityksen mukaan jo pankkitunnuksista sovittaessa on asiakkaan henkilökohtaiseen verkkopalveluun liitetty asiakkaan elinkeinoharjoittamiseen liittyvien asiakkaiden tilejä. Näin ollen pankin tiedossa on jo verkkopankkitunnuksista sovittaessa ollut, että asiakas käyttää pankkitunnuksiaan muuhunkin kuin vain henkilökohtaisten asioiden hoitamiseen. Tästä huolimatta pankki on sopinut asiakkaan kanssa pankkitunnuksista yksityishenkilöitä koskevin ja maksupalvelulain kuluttajan hyväksi pakottavien säännösten mukaisin ehdoin, jotka tulevat tapauksessa sovellettaviksi.
Tapahtumienkulku
Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta päätynyt pankin verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Tämä on asiassa saadun selvityksen perusteella tapahtunut vain hetki ennen asiakkaan oikeilla pankin verkkosivuilla tekemää onnistunutta kirjautumista verkkopankkiinsa 2.6.2021 klo 19:29.
Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt 19:28 asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin.
Pankkilautakunta katsoo, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. sivuilla sitä varten varattuun sarakkeeseen. Pankkilautakunta katsoo ilmeiseksi, että luullessaan olevansa kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin.
Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Asiakkaan pankkitunnusten käyttäjätunnuksella ja pankin mobiilisovelluksella vahvistaen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin useaan otteeseen ja mobiilisovelluksella vahvistaen tehneet ko. tilisiirrot tileiltä, joiden käyttöoikeus asiakkaalla on ollut.
Asiakkaan menettelyn arviointi
Asiakkaan mukaan hän on kirjoittanut selaimen osoitekenttään pelkästään [pankki], mutta on tietoisesti valinnut hakutuloksista virallisen [pankki].fi tuloksen. Asiakkaan mukaan kirjautumisvaiheessa sivulle nousi tutun isännöitsijän nimi ja asiakas otti tilanteesta kuvakaappauksen, koska hän säikähti, että ko. taho olisi saanut asiakkaan omien asiakkaiden käyttöoikeudet aiheettomasti. Asiakkaan mukaan hän ei olisi antanut kirjautumisen jatkua, jos ruudulla olisi lukenut täysin vieraan henkilön nimi. Edelleen asiakkaan mukaan verkkosivu oli ilmeeltään ja ulkoasultaan täysin identtinen oikeiden pankin sivujen kanssa, eikä hän kirjautuessaan havainnut pankilta saamansa tekstiviestin poikkeavan tavanomaisesta.
Pankki katsoo, että asiakkaan tulisi pankin verkkopalveluja käyttäessään tarkistaa sivujen URL-osoite erityisesti silloin, kun sivuille on kirjauduttu suoraan tai välillisesti hakukoneen linkkien välityksillä. Edelleen pankki katsoo, että asiakkaan olisi tullut keskeyttää kirjautumisprosessi nähtyään kirjautumissivulla poikkeavalla tavalla palveluun liittymättömän tahon nimen ja asiakkaan olisi tullut myös pankin mobiilisovelluksen rekisteröimiseen viittaavaan tekstiviestin saatuaan ottaa välittömästi yhteyttä pankkiin tai sulkupalveluun tilanteen selvittämiseksi.
Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia.
Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.
Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on huomaamattaan päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille. Edelleen lautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja käyttäessään pankkitunnuksiensa käyttäjätunnusta ja salasanaa näkemänsä ja käsittämänsä perusteella tunnusten tavanomaisessa ja niitä koskevien ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että nähtyään kirjautumistilanteessa avainluvun syöttämistä edellyttävässä vaiheessa verkkosivuilla sellaisen tahon nimen, jolla ei ole liityntää asiakkaan pankkitunnuksiin, asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja tullut - kuvakaappauksen ottamisen lisäksi tai sijaan - keskeyttää kirjautuminen. Lautakunta katsoo tilanteen poikenneen sillä tavoin olennaisesti tavanomaisesta verkkopankkiin kirjautumista koskevasta tilanteesta, että kirjautumisen jatkaminen avaintunnuslistaa käyttäen osoittaa asiakkaan paitsi huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan niin myös hänen vakavaa varomattomuuttaan ja piittaamatonta suhtautumista (myös maksuvälineenä käytettävien) pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Asiakkaan kuitenkin jatkettua verkkosivujen poikkeavasta näkymästä huolimatta kirjautumistaan, olisi hänen tullut kiinnittää erityistä huomiota asiointinsa asianmukaiseen etenemiseen. Pankkilautakunta katsoo, että asiakkaan saama pankin mobiilisovelluksen aktivointikoodin sisältänyt tekstiviesti on ollut muotoilultaan suppea ja informaatioarvoltaan vähäinen, minkä vuoksi viesti on rutiininomaisessa verkkopankkiin kirjautumistilanteessa mahdollista sekoittaa verkkopankkiin kirjautumista koskevaan tekstiviestiin. Lautakunta kuitenkin katsoo, että asiakkaan olisi tässä tapauksessa tullut kiinnittää erityistä huomiota pankilta saamansa tekstiviestin sanalliseen sisältöön ja saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi viimeistään tuolloin tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.
Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.
Käyttöoikeuden rajoituksesta
Asiakas on vedonnut tapauksessa siihen, että ainakin osassa hänen omilta asiakkailtaan saamissa valtakirjoissa olisi valtuutus ainoastaan kotimaan maksuille. Pankkilautakunnalle ei ole asiassa tähän liittyen toimitettu muuta selvitystä kuin asiakkaan verkkopankkisopimus, josta käy ilmi asiakkaan henkilökohtaiseen verkkopalveluun liitetyt muut kuin asiakkaan tilit, mutta ei näitä tilejä koskevia muita käyttörajoituksia kuin yksittäistä maksua koskeva 20.000 euron raja.
Pankki on kuitenkin ilmoittanut hyväksyvänsä, että joidenkin asiakkaan omien asiakkaiden kohdalla valtakirjoissa oleva kotimaanmaksupyyntö kohdistuu myös pankkiin, sillä pankin olisi pitänyt todisteellisesti kertoa asiakkaalle, että ko. rajoista ei ollut mahdollista tehdä valtuutuksen myöntämisajankohtana.
Pankkilautakunta tulkitsee pankin ilmoittaneen hyväksyvänsä vastuunsa niistä ulkomaanmaksuista, jotka on tehty tileiltä, joiden omistajat ovat asiakkaalle antamassaan valtakirjassa rajoittaneet asiakkaan käyttöoikeuden kotimaan maksuihin. Näin ollen lautakunnan ei ole tarpeen arvioida asiaa tältä osin.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla. Asiakkaan ja pankin välisessä suhteessa asiakas vastaa näin ollen lähtökohtaisesti täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta.
Siltä osin kuin pankki on ilmoittanut hyväksyvänsä vastuunsa ulkomaanmaksuista, jotka ovat onnistuneet huolimatta asiakkaan omien asiakkaiden antamien valtakirjojen määräyksistä, Pankkilautakunta suosittaa pankkia olemaan yhteydessä asiakkaaseen hyvitysten maksamisesta sopiakseen.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
puheenjohtaja Sillanpää
sihteeri Hidén
Jäsenet:
Ahlroth
Aspelund
Atrila
Piilo