Haku

FINE-045341

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-045341 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.08.2022

Miten vastuu asiakkaan tililtä asiakkaan verkkopankissa tehdystä ja pankin mobiilisovelluksella vahvistetusta tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkopankkitunnusten oikeudeton käyttö. Vahva tunnistaminen.

Tapahtumatiedot

Asiakkaan verkkopankkiin on kirjauduttu Brasiliasta käsin 17.10.2021 klo 23.26 Suomen aikaa asiakkaan käyttäjätunnuksella, henkilökohtaisella salasanalla ja avainlukukortin tunnuksella ilman tekstiviestitse tapahtuvaa vahvistusta. Verkkopankissa on klo 23.59 siirretty asiakkaan säästötililtä asiakkaan käyttötilille 18.000 euroa. Verkkopankissa on tämän jälkeen luotu 18.909 euron maksutoimeksianto asiakkaan käyttötililtä asiakkaan entisen seurustelukumppanin X:n tilille samassa pankissa. Pankki on lähettänyt asiakkaan puhelinnumeroon tekstiviestitse 18.10.2021 klo 00.12 ja klo 00.35 18.909 euron maksun vahvistamista koskevan vahvistuskoodin, mutta maksua ei ole vahvistettu verkkopankissa vahvistuskoodilla.

Tämän jälkeen asiakkaan tunnuksiin liitetty puhelinnumero on vaihdettu verkkopankissa. Pankki on lähettänyt 18.10.2021 klo 00.35 asiakkaan pankkitunnuksiin liitettyyn uuteen puhelinnumeroon mobiilisovelluksensa käyttöönoton edellyttämän aktivointikoodin sisältävän tekstiviestin. Pankin mobiilisovellus on onnistuttu ottamaan käyttöön Brasiliasta käsin asiakkaan pankkitunnuksia ja em. viestissä ollutta aktivointikoodia käyttäen. Tämän jälkeen asiakkaan käyttötililtä on pankin mobiilisovelluksella klo 00.36 vahvistaen siirretty 18.909 euroa X:n tilille pankissa. X:n tililtä varat on siirretty ulkomaille.

Asiakkaan valitus

Asiakas toivoo saavansa apua rahojensa eli 18.909 euron takaisin saamisessa.

18.10.2021 noin klo 08.00 asiakas huomasi, että X oli päässyt käsiksi asiakkaan pankkitiliin ja tyhjentänyt kaikki rahat omalle tililleen noin klo 00.35 aikaan aamuyöstä. Asiakas soitti pankin asiakaspalveluun huomattuaan tapahtuneen rikoksen. Puhelun aikana asiakkaat tilit pankissa suljettiin ja asiakas meni pankin toimipisteeseen avaamaan uudet tilit. Illemmalla, kun asiakas oli avaamassa uusia verkkopankkitunnuksia, kävi ilmi, että asiakkaan tiliin oli liitetty X:n numero asiakkaan tietämättä. Asiakas joutui soittamaan ja vaihtamaan oman numeron tiliinsä. Asiakas teki rikosilmoituksen 18.10.2021.

Asiakas ei osaa kertoa, miten ja milloin tilitiedot on viety, ja mitä tarkalleen on tapahtunut. Asiakas säilyttää suljetussa laatikossa lipastossa asiakirjaa, josta verkkopankkitunnus sekä käyttäjätunnus löytyy. Salasanan asiakas tietää vain itse, sillä hän ei ole kirjoittanut sitä ylös mihinkään.

X on ollut viimeksi asiakkaan kodissa touko-kesäkuun vaihteessa 2020, jolloin he olivat viimeksi yhdessä. Pääsy kaikkiin tavaroihin on ollut mahdollista, mutta pankin asiakirjat on täytynyt etsiä erikseen. Syyllisen on pakko olla arvannut salasana jotenkin tai hän on vakoillut asiakasta asiakkaan kirjautuessa pankkiin, ja hän on Suomessa ollessaan tarkoituksella kaivanut tarvittavat tiedot kaapeista ja varmasti valokuvannut ne jatkotarkoitusta varten. Pankki ei voi syyttää asiakasta huolimattomuudesta. On inhimillistä luottaa kumppaniinsa eikä harhaluuloisesti luulla, että kumppanisi varastaa sinulta.

Tekstiviestit maksusta on tullut kaksi kertaa, koska syyllinen ei varmaan tiennyt pankin lisäämästä puhelinnumerovarmistuksesta. Hän vaihtoi puhelinnumeronsa asiakkaan tiliin asiakkaan tietämättä, että saisi tilintyhjäyksen läpi.

Pankki ei palauttanut asiakkaalle rahoja sillä perusteella, että eivät itse saa rahoja takaisin, mikä ei ole riittävä syy. Pankin turvallisuustoimet eivät ole olleet riittävät, sekä ohjeistus ja neuvonta on ollut puutteellista. Kyseessä on myös palvelulupauksen täyttämättömyys. Asiakas ei salasanaansa ole kirjoittanut ylös ja pankki syyttää asiakasta valehtelusta, koska ei itse halua ottaa vastuuta pankkitilien turvallisuuden puutteesta.

Muissa Suomen pankeissa turvaraja on paljon pienempi. Suurehkonkin summan liikkuessa muista pankeista soitetaan varmistaakseen, että asiakas varmasti on itse siirtämässä kyseistä summaa toisen henkilön tilille. Asiakas tietää pankilla turvarajan olevan 20.000 euroa, mutta on hieman erikoista, että 18.909 euroa pystyy siirtämään tuosta vain.

Tapauksessa pankki pystyy kertomaan, että tilisiirrot on tehty ulkomailta, mutta kuitenkin pankki kertoo, ettei pysty todistamaan, etteikö tilisiirtoja olisi tehnyt kukaan muu kuin asiakas. Asiakas on poliisiin ja pankin virkailijoiden todistamana ollut Suomessa kyseisenä päivänä, kun tilisiirrot ovat tehty. Poliisi pystyy myös todentamaan, ettei asiakas ole poistunut maasta sitten heinäkuun 2020.

Pankilla on lain mukaan vastuu asiakkaastaan, kun hän on säilyttänyt asiakirjojaan asianmukaisesti. Pankin vastaukset ovat olleet epäammattimaista ja pankki on tarttunut mitä ihmeellisempiin asioihin, kun asiakas ei ole osannut varmuudella sanoa, mitä on tapahtunut. Myöskään koska rikoksen tekijä ei ole vastannut pankille, pankilla ei ole syytä olettaa, että asiakas olisi siirtojen takana.

Pankin vastine

Asiakkaan reklamoima maksu on luotu asiakkaan verkkopankissa. Verkkopankkiin on kirjauduttu asiakkaan käyttäjätunnuksella, henkilökohtaisella salasanalla ja avainlukukortin tunnuksella. Asiakkaan puhelinnumeroon on lähetetty kaksi erillistä tekstiviestiä maksun vahvistamiseksi, mutta viestien kertatunnuksia ei ole käytetty. Viestit on lähetetty puhelinnumeroon, jota asiakas käyttää edelleen.

Puhelinnumeroa on tämän jälkeen käyty vaihtamassa toiseen suomalaiseen puhelinnumeroon asiakkaan verkkopankissa. Uudella puhelinnumerolla on sitten onnistuttu ottamaan käyttöön pankin mobiilipankki. Teknisessä tutkinnassa on myöhemmin selvinnyt, että mobiilipankki on otettu käyttöön ulkomailla. Mobiilipankilla on sitten vahvistettu aikaisemmin luotu maksu.

Mobiilipankilla vahvistettu maksu on ollut tilisiirto toisen henkilön tilille pankissa. Sieltä maksunsaaja on siirtänyt varat ulos pankista. Pankki on yrittänyt palautuspyynnöillä saada rahat takaisin, mutta vastaanottajapankki on lähettänyt kielteisen vastauksen pyyntöön.

Asiakas on ilmoittanut pankille, että hänellä on ollut verkkopankkitunnuksensa hallussaan koko ajan ja etteivät ne ole kadonneet tai tulleet varastetuiksi. Asiakas on epäillyt maksujen tekijän olevan hänen entinen poikaystävänsä, mutta asiakas ei ole millään tavalla selittänyt, miten tämä henkilö olisi voinut saada tunnukset käyttöönsä tai miten hänellä on voinut olla käyttöön tarvittavat tiedot, kuten hänen salasanansa. Pankki on yrittänyt tavoittaa kyseistä henkilöä, mutta hän ei ole vastannut puheluihin.

Pankin käsityksen mukaan pankkitunnusten oikeudeton käyttö on johtunut siitä, että asiakas on törkeän huolimattomasti laiminlyönyt maksupalvelulain 53 §:n 1 momentin, 54 § 1 momentin ja verkkopankkiehtojen mukaisia velvollisuuksia huolehtia maksuvälineestä ja ilmoittaa sen joutumisesta vääriin käsiin.

Pankin käsityksen mukaan asiakas on joko tietoisesti luovuttanut tunnuksensa ja niihin kuuluvan käyttäjätunnuksen sekä salasanan ulkopuoliselle henkilölle tai säilyttänyt tunnuksia ja edellä mainittuja tietoja siten, että ne on voitu yhdistää toisiinsa. Salasana on ollut asiakkaan luoma ja hänen on pitänyt kirjoittaa se ylös tavalla, joka on mahdollistanut sen yhdistämisen verkkopankkitunnuksiin. Kukaan ulkopuolinen ei ole salasanaa päässyt vaihtamaan, joten asiakkaan luoma salasana on pitänyt olla maksujen tekijän tiedossa. Pankilla ei ole maksujen teon yhteydessä ollut mitään syytä epäillä, ettei verkkopankin käyttäjä olisi ollut asiakas itse. Mikäli asiakas olisi ilmoittanut pankille hänelle tulleista aiheettomista vahvistustekstiviesteistä, pankki olisi voinut sulkea pankkitunnukset ja antaa asiakkaalle uudet tunnukset. Tällä tavalla mahdollisten väärinkäytösten mahdollisuutta olisi voitu estää.

Pankki kehottaa jatkuvasti asiakkaita vaihtamaan verkkopalveluiden salasanansa säännöllisesti. Tällä tavalla väärinkäytösten riski pienenee. Asiakkaan kertoman mukaan epäilty maksuntekijä, eli asiakkaan entinen poikaystävä, on viimeksi ollut hänen asunnossaan alkukesästä 2020, eli melkein puolitoista vuotta ennen reklamoitua maksua. Salasanan on ilmeisesti ollut sama koko tämän ajan, jos tämä henkilö on se, joka on voinut käyttää asiakkaan verkkopankkia.

Teknisessä tutkinnassa on myös selvinnyt, että asiakkaan tunnuksia on aikaisemminkin käytetty ja yritetty käyttää ulkomailla (samasta IP-osoitteesta ja samassa maasta, josta mobiilipankki sittemmin on otettu käyttöön). Näiden yritysten yhteydessä asiakkaan voimassa olevaan puhelinnumeroon on aina lähetetty viesti siitä, että sisäänkirjautumiseen tarvitaan viestissä ollut kertatunnus. Kertatunnuksia ei silloin ole käytetty, eikä asiakas ole ilmoittanut pankille siitä, että hänelle on tullut epäilyttäviä viestejä tai että hänen verkkopankkiaan on mahdollisesti päässyt käyttämään joku muu kuin hän itse.

Esimerkiksi vuoden 2021 elokuussa on asiakkaalle lähetetty kaksi tekstiviestiä kertatunnuksella verkkopankkiin sisäänkirjautumista varten, ja näihin asiakas ei ole reagoinut mitenkään. Samanlainen sisäänkirjautumisyritys on tapahtunut syyskuussa, jolloin asiakkaalle taas on lähetetty viesti kertatunnuksella. Asiakas on silloin reagoinut viestiin kirjautumalla verkkopankkiin hetken päästä viestin vastaanottamisesta. Sisäänkirjautuminen on vaatinut kertatunnuksen, joka on lähetetty hänelle kirjautumisen yhteydessä. Asiakas on mahdollisesti käynyt verkkopankissaan tarkistaakseen, jos siellä on tapahtunut jotain epäilyttävää, mutta asiakas ei tämänkään tapahtuman yhteydessä ole ilmoittanut pankille mitään aiheettomista viesteistä.

Pankilla olisi ollut mahdollisuus puuttua mahdolliseen väärinkäyttöön, mikäli asiakas olisi ottanut yhteyttä pankin asiakaspalveluun aikaisemmin. Salasanan vaihtaminen olisi myös estänyt mahdollisen väärinkäytön. Nyt pankilla ei ole ollut mitään syytä epäillä, ettei asiakas ole ollut se, joka on käyttänyt tunnuksia koko ajan. Pankin palveluita saa käyttää myös muissa maissa kuin Suomessa ja asiakkaat matkustavat usein ulkomaille, joten pankki ei tähän reagoi, jos ei käyttöön liity mitään muuta epäilyttävää.

Edellä mainituilla perusteilla ja huomioiden tapahtumien kulku, pankki on tullut lopputulokseen, että asiakas on itse vastuullinen hänen tililtään tehdystä maksusta.

Pankkilautakunta on pyytänyt pankkia selvittämään:

a) Miten asiakkaan verkkopankkitunnuksiin liitetyn puhelinnumeron vaihtaminen on tapahtunut?
b) Onko asiakkaan verkkopankkitunnusten avaintunnuskorttia uusittu touko-kesäkuun 2020 vaihteen ja ko. tilisiirtojen välisenä aikana?
c) Mistä IP-osoitteesta on tapahtunut ko. tapahtumiin liittyvä verkkopankki-istunto, ja onko kyse IP-osoitteesta, josta asiakas on itse tavanomaisesti verkkopankkiaan käyttänyt?

Vastaus kysymykseen a) on että puhelinnumeron vaihtaminen on onnistunut verkkopankissa asiakkaan käyttäjätunnuksella, salasanalla ja avainlukukortin tunnuksella. Pankki toteaa tähän, että puhelinnumeron vaihtaminen verkkopankissa on tapahtumien aikaan ollut mahdollista ilman asiakkaalle tekstiviestissä lähetettyä lisävahvistuskoodia. Syy tälle on ollut se, että asiakkaat ovat pääsääntöisesti jo ottaneet uuden puhelinnumeron käyttöön, kun ovat halunneet päivittää tiedot verkkopankissa, jolloin vahvistusviestin lähettäminen asiakkaan vanhaan numeroon ei ole onnistunut. Viestin lähettäminen uuteen puhelinnumeroon ei taas pankin riskiarvion mukaan olisi vähentänyt väärinkäytösriskiä. Pankki on näistä syistä johtuen sallinut puhelinnumeron päivittämisen ilman lisävahvistusta. Palvelujen käyttöön, kuten mobiilipankin lataamiseen, vaadittavat lisävahvistusviestit, on sitten lähetetty asiakkaan uuteen puhelinnumeroon. Tapahtumien jälkeen pankki on muuttanut puhelinnumeron vaihtamisen prosesseja, ja numeron vaihtaminen itsepalveluprosessina ei enää ole mahdollista pankin verkkopankissa, vaan vaihto vaatii yhteydenoton pankin asiakaspalveluun.

Vastaus kysymyksiin b) ja c): Asiakkaalla on ollut sama avainlukukortti aikavälillä 1.1.2020-18.10.2021. Pankki on toimittanut erillisen dokumentin IP-osoitteista ja tärkeimmistä tapahtumista verkkopankissa. Tästä ilmenee, että asiakkaan verkkopankkia on käytetty monesta eri paikasta ja maasta. Tunnuksia on käytetty verkkopankkiin sisäänkirjautumiseen myös aikaisemmin samasta IP-osoitteesta.

Asiakas on tämän lisäksi FINE:n välityksellä esittänyt kysymyksen siitä, jos ei pankki "todenna tai varmista pankkitileihin yllättäen lisättyjä numeroita". Asiakkaan mielestä pankin pitäisi turvallisuussyistä tehdä varmistus asiakkaalle puhelinnumeron lisäyksestä taikka vaihdosta. Tähän pankki toteaa, ettei ole olemassa mitään virallista kansallista rekisteriä tms., josta pankki voisi vahvistaa asiakkaan päivitetyn numeron kuuluvan hänelle. Varmennuskoodin lähettämistä vanhaan numeroon ei ole mahdollista, kun asiakas on jo ottanut uuden puhelinnumeron käyttöönsä. Pankki ei ole halunnut vaarantaa asiakkaiden peruspankkipalveluiden jatkuvuutta ja jotta asiakkaat eivät joutuisi tulemaan henkilökohtaisesti pankin konttoriin vaihtamaan perustietojaan, kuten puhelinnumeroaan, niin pankki on sallinut sen, että asiakas tunnistautuneena verkkopankkitunnuksillaan antaa uudet yhteystietonsa.

Turvallisuussyistä pankki ei voi antaa yksityiskohtaista tietoa maksujen turvarajoista tai maksujen monitoroinnista. Tilimaksuissa on kuitenkin turvarajoja, joita asiakkaat voivat myös väliaikaisesti nostaa esim. isomman ostoksen yhteydessä. Tässä tapauksessa asiakkaan tililtä tehty maksu on kuitenkin ollut alle 19.000 euroa. Asiakas on ehdottanut, että pankki laskisi turvarajan yksittäisille maksuille ja että pankki tekisi turvasoiton asiakkaille esim. 10.000 euroa ylittävissä maksuissa. Pankki toteaa tähän, että tällainen käytäntöä pysäyttäisi pankin ja asiakkaiden maksuliikenteen ja kuormittaisi liikaa asiakaspalvelua, joka ei olisi kummankaan osapuolen etujen mukaista eikä olisi myöskään markkinakäytännön mukainen. Pankki tekee jatkuvasti työtä parantaakseen palveluiden turvallisuutta ja monitoroi maksuliikennettä havaitakseen epäilyttävää toimintaa. Pankin palveluehtojen ja turvallisuusohjeiden noudattamisella asiakas voi itse vaikuttaa olennaisesti riskiin väärinkäytösten altistumiselle.

Pankki vahvistaa vielä erikseen, että verkkopankkiin kirjautuminen on vaatinut käyttäjätunnuksen, salasanan ja avainlukukortin numeron. Puhelinnumeron vaihto on kuitenkin vaatinut erillisen vahvistuksen avainkortin kertaluvulla. Verkkopankkiin on voitu kirjautua ilman tekstiviestiä, koska edellisestä kirjautumisesta on ollut alle 90 päivää, eli on noudatettu PSD2 RTS 10 artiklaa (Komission delegoitu asetus (EU) 2018/389 asiakkaan vahvasta tunnistamisesta). Kirjautuminen on tapahtunut käyttäjätunnuksella, salasanalla ja avainlukukortin kertatunnuksella. Puhelinnumeron vaihtaminen verkkopankissa oli lokakuussa 2021 mahdollista ilman tekstiviestivahvistusta, mutta tämä toiminnallisuus on tämän jälkeen poistettu. Perustelu sille, että puhelinnumeron päivittäminen onnistui aikaisemmin ilman tekstiviestiä on ollut, että asiakkailla harvoin on vanha puhelinnumero enää käytössä siinä vaiheessa, kun haluavat päivittää sen pankille ja monella asiakkaalla on ennen PSD2 sääntelyn voimaantuloa ollut vanhentuneet yhteystiedot pankissa.

Asiakkaan reklamoidut maksut on tehty mobiilipankilla. Mobiilipankin lataus on vaatinut käyttäjätunnuksen, salasanan ja avainlukukortin kertatunnuksen lisäksi myös SMS OTP:n, eli tekstiviestillä lähetetyn kertatunnuksen. Mobiilipankin käyttöönottaminen ja sen jälkeinen käyttö on ollut PSD2 sääntelyn vahvan tunnistamisen mukaista. Näin ollen pankin käsitys on, että asiakasta on tunnistettu sääntelyn vaatimalla tavalla ja maksupalvelulain 62 §:n 3 momentin 4. kohtaa ei tulisi soveltaa asiaan, vaan asiakkaan huolimattomuutta arvioida 62 § 1 momentin nojalla. Valitettava tosiasia on ollut, että puhelinnumero, johon tuo tekstiviesti on mennyt mobiilipankin latauksen yhteydessä, on mahdollisesti ollut toisen henkilön kuin asiakkaan numero. Puhelinnumeron vaihtaminen ei kuitenkaan olisi onnistunut, jos ei tällä henkilöllä olisi ollut hallussaan kaikki asiakkaan tunnistusvälineen käyttöön tarvittavat tiedot. Asiakkaan omaan puhelinnumeroon on lähetetty aikaisemmin viestejä, johon hänen olisi pitänyt reagoida, koska verkkopankkiin on silloin yritetty kirjautua hänen tunnistusvälineellään. Pankki olisi voinut estää tunnusten käyttöä, jos pankki olisi saanut tiedon siitä, että joku muu kuin asiakas mahdollisesti yrittää käyttää hänen tunnuksiaan. Asiakas on laiminlyönyt velvollisuutensa ilmoittaa mahdollisesta maksuvälineen joutumisesta ulkopuolisen haltuun. Asiakas on myös säilyttänyt tunnuksensa tavalla, joka on kielletty palveluehdoissa. Pankin mielestä ei ole kohtuullista, että pankki joutuu korvausvelvolliseksi edellä mainitut seikat huomioiden.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin verkkopankkiehdot
- Yhteenveto tärkeimmistä tapahtumista asiakkaan verkkopankissa
- Asiakkaan verkkopankkitapahtumien lokitietoja

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankin katsoa edellyttäneen maksajan vahvaa tunnistamista ko. tilisiirron yhteydessä maksupalvelulain edellyttämällä tavalla. Mikäli vahvaa tunnistamista on edellytetty, lautakunnan on arvioitava, onko asiakas luovuttanut maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Pankin verkkopankin ja verkkopankkitunnusten yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä verkkopankkiin liittyvissä maksupalveluissa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten käyttäminen ja säilyttäminen -kohdan mukaan
[…] Asiakas ei saa luovuttaa tunnuksiaan osaksikaan toiselle henkilölle, ei edes samaan perheeseen kuuluvalle henkilölle. […]
Asiakas sitoutuu säilyttämään Verkkopankkitunnuksiin kuuluvat yksittäiset tunnisteet erillään toisistaan ja huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon. […]
Verkkopankkitunnuksiin kuuluvia yksittäisiä tunnisteita ei saa kirjoittaa tai tallettaa muistiin helposti tunnistettavassa muodossa. Tunnusten osia ei saa säilyttää yhdessä, kuten samassa säilytyspaikassa kotona, tai esimerkiksi lompakossa tai käsilaukussa. Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että tunnukset ovat tallessa. Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua sivullisen haltuun tai tietoon, asiakas on velvollinen ilmoittamaan tästä välittömästi pankille. […]

Asian arviointi

Tapahtumienkulku

Asiassa saadun selvityksen mukaan ko. 18.10.2021 tehty 18.909 euron tilisiirto asiakkaan tililtä X:n samassa pankissa olevalle tilille, jolta varat on siirretty edelleen ulkomaille, on tehty Brasiliasta käsin ja Brasiliassa asiakkaan nimiin avatulla pankin mobiilisovelluksella vahvistaen.

Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että ko. tapahtumat on tehnyt asiakkaan entinen seurustelukumppani X, josta asiakas oli eronnut touko-kesäkuun vaihteessa 2020 noin puolitoista vuotta ennen 17.10-18.10.2021 tehtyjä siirtoja. Edelleen lautakunta ei saadun selvityksen perusteella pidä uskottavana, että asiakas olisi tietoisesti luovuttanut pankkitunnustietojaan X:lle.

Pankkilautakunta kiinnittää tapauksessa erityistä huomiota siihen, että pankin selvityksen mukaan asiakkaan käytössä on ollut sama avainlukukortti 1.1.2020 lähtien ko. oleviin tapahtumiin 18.10.2020 saakka ja lisäksi X on voinut tämän tapauksen tapahtumien yhteydessä kirjautua asiakkaan verkkopankkiin ilman tekstiviestitse tapahtuvaa vahvistamista. Lautakunta katsookin, että X:n on täytynyt vielä asiakkaan kanssa seurustellessaan saada haltuunsa/tietoonsa asiakkaan pankkitunnustiedot, joita pankin järjestelmä on asiakkaan verkkopankkiin kirjautumisen yhteydessä 17.10.2021 klo 23.26 edellyttänyt. Tämä on lautakunnan arvion mukaan voinut tapahtua niin, että asiakkaan ja X:n vielä seurustellessa X on asiakkaan huomaamatta urkkinut asiakkaan käyttäjätunnuksen ja salasanan asiakkaan itse käyttäessä tunnuksiaan ja on esimerkiksi kuvannut asiakkaan avaintunnuskortin.

Lautakunnan näkemyksen mukaan edellä esitettyä tukee myös se, että pankin selvityksen mukaan asiakkaan verkkopankkiin oli ko. tapahtumia edeltävinä kuukausina yritetty kirjautua siinä onnistumatta, koska näiden kirjautumisyritysten kohdalla pankki oli edellyttänyt tekstiviestitse tapahtuvaa vahvistamista ja asiakas oli jättänyt saamiinsa aiheettomiin tekstiviesteihin reagoimatta. Käsillä olevassa X:n asiakkaan verkkopankkiin kirjautumistilanteessa 17.10.2021 klo 23.26 pankki ei kuitenkaan ole edellyttänyt tekstiviestitse tapahtuvaa vahvistusta, minkä seurauksena X on päässyt etenemään tässä väärinkäyttöyrityksessään.

Asiakkaan verkkopankissa X on klo 23.59 tehnyt 18.000 euron siirron asiakkaan säästötililtä käyttötilille. Tämän jälkeen hän on yrittänyt tehdä 18.909,00 euron tilisiirtoa omalle tililleen ja on luonut sitä koskevan maksutoimeksiannon, mutta koska pankki on lähettänyt maksua koskevat vahvistustekstiviestit (klo 00.12 ja 00.35) asiakkaan numeroon, ei X ole saanut maksua vahvistettua.

X on vaihtanut verkkopankissa asiakkaan tunnuksiin liitetyn puhelinnumeron käytössään olevaan numeroon. Tämän jälkeen klo 00.35 pankki on lähettänyt X:n puhelinnumeroon tekstiviestitse pankin mobiilisovelluksen aktivointikoodin, jota käyttäen X on voinut aktivoida omalle Sony F3112 -laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen. Kyseisen 18.909,00 euron siirron X on vahvistanut klo 00.36 em. pankin mobiilisovelluksella.

Vahva tunnistaminen

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvalla tunnistamisella tarkoitetaan maksupalvelulain 8 §:n 24 kohdan mukaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kohdan mukaisista kolmesta toisistaan riippumattomasta vaihtoehdosta. Nämä vaihtoehdot ovat tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää, hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan, sekä maksupalvelun käyttäjän yksilöivä ominaisuus.

Maksupalvelulain muuttamisesta annetun lain säätämiseen johtaneen hallituksen esityksen (HE 132/2017) mukaan em. tiedolla tarkoitetaan esimerkiksi salasanaa, jonka käyttäjä joutuu antamaan käyttäjätunnuksensa yhteydessä. Hallussapidolla puolestaan tarkoitetaan tunnistusvälinettä, jonka sisältämän tiedon perusteella käyttäjäidentiteetti pystytään määrittämään. Esimerkkeinä hallituksen esityksessä mainitaan sirukortti, tietyllä SIM-kortilla varustettu matkapuhelin tai käyttäjän mobiililaitteelle asennettu tunnistussovellus. Käyttäjän yksilöivällä ominaisuudella tarkoitetaan käytännössä jotain käyttäjän biometristä ominaisuutta, kuten sormenjälkeä, kasvojen muotoa tai silmän iiristä. 

Pankkilautakunta katsoo tässä tapauksessa selvitetyksi, että ko. maksutapahtuma on vahvistettu pankin mobiilisovelluksella ja siten teknisesti maksupalvelulain 85 c §:ssä edellyttämällä tavalla vahvaa tunnistamista käyttäen. Ennen maksun vahvistamista tapahtunut kyseessä olevan pankin mobiilisovelluksen aktivointi on edellyttänyt asiakkaan pankkitunnustietojen lisäksi pankin lähettämässä tekstiviestissä ollutta aktivointikoodia, ja näin ollen myös ko. mobiilisovelluksen voidaan katsoa tulleen aktivoiduksi teknisesti oikein. Vahvan tunnistamisen yhtenä elementtinä (hallussapito) on tässä yhteydessä ollut pankin tekstiviestitse lähettämä pankin mobiilisovelluksen aktivointikoodi, joka on kuitenkin lähetetty X:n käytössä olleeseen numeroon eikä asiakkaan numeroon. Tähän on johtanut se, että X on pystynyt kirjautumaan asiakkaan verkkopankkiin ilman tekstiviestitse tapahtunutta vahvistamista ja siten maksupalvelulaissa tarkoitettua vahvaa tunnistamista kevyemmin menetelmin, ja verkkopankissa X on voinut vaihtaa asiakkaan tunnuksiin liitetyn puhelinnumeron omaan numeroonsa. Pankkilautakunta katsoo pankin laiminlyöneen maksupalvelulain 85 c §:n 1 momentin 3 kohtaa, kun asiakkaan tunnuksiin liitetty puhelinnumero on voitu vaihtaa ilman vahvaa tunnistamista.

Maksupalvelulain 85 c §:n 3 momentin mukaan palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta. Pankkilautakunta katsoo pankin laiminlyöneen myös tämän velvollisuutensa pankin järjestelmän mahdollistettua sen, että X on - päästyään ensin asiakkaan verkkopankkiin maksupalvelulaissa tarkoitettua vahvaa tunnistamista kevyemmin menetelmin - voinut kopioitavissa olevan avainlukukortin kertaluvulla vaihtaa asiakkaan tunnuksiin liitetyn puhelinnumeron.

Pankkilautakunta katsoo, että mahdollistaessaan yhteen käyttämäänsä vahvan tunnistamisen elementtiin liittyvän muutoksen tekemisen ilman vahvaa tunnistamista vastoin maksupalvelulain 85 c §:n 1 momentin 3 kohtaa pankin järjestelmä on käytännössä mahdollistanut myös maksutapahtumien tekemisen vastoin saman lainkohdan 1 kohtaa ilman todellisen asiakkaansa ja maksupalvelun käyttäjän vahvaa tunnistamista missään tapahtuma- ja asiointiketjun vaiheessa.

Edellä todettuun viitaten Pankkilautakunta katsoo, että vaikka ko. maksutapahtuma on teknisesti tehty vahvaa tunnistamista edellyttäen, ei pankki de facto ole tapahtumien missään vaiheessa edellyttänyt asiakkaansa maksupalvelulaissa tarkoitettua vahvaa tunnistamista.  Näin ollen Pankkilautakunta katsoo, ettei myöskään ko. maksutapahtumaa ole tehty vahvaa tunnistamista edellyttäen. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan asiakas ei tällöin vastaa maksuvälineensä oikeudettomasta käytöstä.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki korvaa asiakkaalle asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon täysimääräisesti.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä