Haku

FINE-046898

Tulosta

Asianumero: FINE-046898 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.08.2022

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Tunnustenhaltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 10.2.2022 kello 17.31 pankin nimissä lähetetyn sähköpostin, jossa olevan linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuille asiakas on syöttänyt pankkitunnuksiaan. Pankki on lähettänyt asiakkaalle 10.2.2022 klo 18.21 mobiilisovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin.

Rikolliset ovat asiakkaan verkkopankkitunnuksia ja em. koodia käyttäen aktivoineet omalle laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen. Turvallisuussyistä pankin mobiilisovellus on sen käyttöönoton jälkeen asetettu lukittuun tilaan, mistä pankki on ilmoittanut asiakkaalle tekstiviestitse klo 18.23. Tämän jälkeen asiakkaan verkkopankkiin on kirjauduttu asiakkaan avainlukukorttia ja pankin asiakkaalle klo 18.23 lähettämässä toisessa tekstiviestissä ollutta koodia käyttäen, ja verkkopankissa pankin mobiilisovelluksen profiili on avattu.

Rikolliset ovat kirjautuneet asiakkaan verkkopankkiin em. pankin mobiilisovelluksella tunnistautuen ja tehneet 10.2.2022 klo 18.36-19.15 mobiilisovelluksella vahvistaen asiakkaan tililtä ulkomaalaisille pankkitileille 20 tilisiirtoa yhteismäärältään 148.630,00 euroa. Ko. aikavälillä on tehty myös tilisiirtoja niiden tilien välillä, joiden käyttöoikeus asiakkaalle on ollut. Varoista on saatu pysäytettyä 5.000,00 euroa sekä palautettua 24.490,59 euroa, yhteensä 29.490,59 euroa. Vahingon määräksi on näin ollen jäänyt 119.139,41 euroa.

Asiakkaan pankkitunnukset on lukittu 11.2.2022 klo 8.09. Asiakkaalle on soitettu pankista klo 8.47, jolloin tilille on asetettu varoitus, joka on estänyt uusien maksujen tekemisen tililtä. Rikollisten käyttöön ottama pankin mobiilisovellus on suljettu klo 10.55.

Asiakkaan valitus

Asiakas vaatii pankkia palauttamaan asiakkaan ja hänen äitinsä 137.000 euron varat.

Asiakas maksoi 10.2.2022 äitinsä laskun äitinsä tililtä, jonka käyttöoikeus asiakkaalla on. Kone ei huolinut avainkorttimaksua, vaan siirsi koko ajan maksua mobiilimaksuksi. Tämän vuoksi asiakas avasi illalla pankilta saamansa suomenkielisen sähköpostin, jossa sanottiin, että käy kirjautumassa pankin tilille ja että kaikki ei ole ok. Asiakas teki tämän ja avasi viestin, joka meni suoraan pankin näytölle, jonne asiakas syötti tunnisteet ja sitten sulki tilin. Lukitustilasta asiakas ei ole ollut tietoinen, asiakas vain toimi avainlukulistan mukaan.

Seuraavana aamuna 11.12. pankista soitettiin ja kerrottiin, että asiakkaan ja hänen äitinsä tilit on kaapattu ja miten pitää toimia. Asiakas teki rikosilmoituksen. Asiakas sai soiton pankista klo 9 maissa, mutta pankin vastauksen mukaan sulut on tehty vasta klo 10.55.

Asiakkaalla ei ole mobiilisovellutusta lainkaan, joten miten on mahdollista, että ohjelma antaa koodit, millä jatkaa sisäänkirjautumista. Asiakkaalla on toisessa pankissa kummatkin sovellukset ja niissä vaaditaan omat sisäänkirjautumistavat. Tässä tapauksessa asiakas on toiminut vain avainlukukortilla normaaliin tapaan.

Asiakas ei voi sanoa varmaksi, mutta mielestään hän ei saanut viestejä, jossa olisi ollut puhelinnumeroita ja aukioloaikoja ja missä olisi lukenut, että asiakas olisi ottanut käyttöön mobiilisovelluksen. Viesteissä olivat ainoastaan käytettävät tunnisteet avainlukulistalta eli asiakkaasta ilmoitus- ja vahvistusviesti ovat virheellisiä.

Asiakas ei voi ymmärtää, kuinka tällainen on mahdollista eikä sitä, että yksityishenkilön talletuksilla ei ole minkäänlaista suojaa ja ettei pankilla ole mitään vastuuta asiasta, joka varoittaisi tällaisesta tilien tyhjentämisestä. Luulisi, että pankilla heräisi epäilys petoksesta. Tileille pitäisi saada rajoituksia, jotka estävät suurten rahamäärien siirtämisen kaikilla verukkeilla. Asiakas ei ole koskaan ollut rahojensa suhteen huoleton, vaan yrittänyt säästää eikä ole koskaan siirtänyt ulkolaisille tileille. Asiakas on ehkä toiminut väärin, mutta ei törkeän huolimattomasti. On kohtuutonta laittaa asiakas yksin vastuuseen näin isossa asiassa.

Pankin vastine

Tapahtumakuvaus ja selvitys

Asiakkaalle on avattu verkkopankkitunnukset 4.1.2022. Pankin toimintatavan mukaisesti tunnusten avaamisen yhteydessä asiakkaalle on käyty läpi tunnusten huolellista käyttöä ja varoitettu erilaisista huijauksista. Huolelliseen ja turvalliseen käyttöön viitataan myös verkkopankin ja verkkopankkitunnusten käyttöä koskevissa yleisissä sopimusehdoissa.

10.2.2022 kello 17.31 asiakas on saanut sähköpostiviestin otsikolla ”Allekirjoitettu asiakirja 5924”. Asiakas on avannut viestissä olevan linkin ja syöttänyt linkistä avautuneelle sivustolle verkkopankkitunnuksensa.

Asiakkaan asiointi on perustunut pääasiassa konttoriasiointiin. Asiakkaalla ei ole ollut tapahtumahetkellä 10.2.2022 keskeneräistä asiointia pankin kanssa, eikä pankki lähesty asiakasta muutoinkaan sähköpostilla. Tästä johtuen asiakkaalla ei ole ollut perusteltua syytä odottaa pankin lähestyvän häntä sähköpostilla.

Asiakkaan saamassa viestissä lähettäjänä on ”[pankkl]" eli lähettäjä kirjoitettu väärin päättymään L-kirjaimeen. Lisäksi lähettäjän osoite ja linkit eivät viittaa asiakkaan pankkiin. Asiakkaan olisi tullut kiinnittää huomiota, että viesti sisältää huomattavan paljon saksankielistä tekstiä ja muita epämääräisiä linkkejä, lähettäjä- ja osoitetietoja.

Lokitiedot osoittavat, että asiakkaalle on otettu käyttöön tunnistussovellus ja siitä on tullut ilmoitus- (kello 18.21.21) sekä vahvistusviesti (kello 18.23.12) asiakkaan puhelimeen. Tunnistussovelluksen ilmoitusviestissä kehotetaan asiakasta sulkemaan tunnuksensa, mikäli hän ei ole itse tekemässä käyttöönottoa. Kehotuksesta huolimatta asiakas ei ole keskeyttänyt käyttöönottoa tai sulkenut tunnuksiaan vaan vahvistanut tunnistussovelluksen käyttöönoton viestissä olevalla vahvistuskoodilla. Viestin ja varoituksen lähettäminen asiakkaalle on yksi pankkiryhmän keinoista yrittää ehkäistä tunnistussovelluksen luvatonta käyttöönottoa.

Käyttöönoton jälkeen on toteutettu useita maksuja tuntemattomille saajille ulkomaisiin pankkeihin. Maksut on pystytty toteuttamaan, koska asiakas on syöttänyt verkkopankkitunnuksensa huijaussivustolle sekä mahdollistanut huijareille tunnistussovelluksen käyttöönoton.

Pankki on pyrkinyt palauttamaan maksuja palautuspyynnöillä saajapankkeihin. Maksukohtainen listaus ja maksujen palautuspyyntöjen tulokset ovat eritelty pankin toimittamassa liitteessä.

Asiakas on viitannut siihen, että hän sai soiton 11.2.2022 pankista soiton n. klo 9:00 maissa ja hänelle kerrottiin, että tili on suljettu, mutta pankin vastineen mukaan poisto olisi tehty 10:55:36. Asiakkaan tunnistussovellus on poistettu 10:55:36. Asiakkaalle on soitettu pankista 11.2.2022 kello 8:47:48, jolloin tilille on asetettu varoitus, joka on estänyt uusien maksujen tekemisen tililtä. Nämä ovat kaksi toisistaan erillistä toimenpidettä.

Pankin näkemys asiassa

Pankki katsoo, että asiakas on itse toiminnallaan myötävaikuttanut tiliväärinkäytöksen toteutumiseen ja on omilla toimillaan mahdollistanut luvattoman pääsyn verkkopankkiin ja hyväksynyt tunnistussovelluksen luvattoman käyttöönoton. Lokitiedot osoittavat, että vahvistusviestit tunnistussovelluksen käyttöönotosta on lähetetty asiakkaan pankille antamaan puhelinnumeroon. Lokitiedot osoittavat myös, että sisäänkirjautuminen on hyväksytty ensin avainlukukortilla ja sitten tekstiviestin koodilla. Pankki ei tiedä, mitä tunnuksia tai koodeja asiakas on minnekin syöttänyt. Pankki näkee ainoastaan verkkopankin lokitiedot.

Pankki ja pankkiryhmä ovat opastaneet ja toistuvasti tiedottaneet asiakkaitaan turvallisesta verkkoasioinnista ja pyrkinyt omilla toimillaan ehkäisemään väärinkäytöksiä. Pankin toimintatavan mukaisesti verkkopankkitunnusten avaamisen yhteydessä asiakkaalle on käyty läpi verkkopankkitunnusten huolellista käyttöä ja varoitettu erilaisista huijauksista. Huolelliseen ja turvalliseen käyttöön viitataan myös verkkopankin ja verkkopankkitunnusten käyttöä koskevissa yleisissä sopimusehdoissa. Pankki on muistuttanut, että verkkopankkiin kirjaudutaan vain pankin verkkosivujen kautta eikä esimerkiksi hakukoneiden tai linkkien kautta. Myös media on nostanut huijaustapauksia esille yleiseen tietouteen.

Pankki katsoo, että asiakkaan olisi pitänyt tunnistaa huijaus aikaisemmista varoituksista, epämääräisistä lähettäjätiedoista ja linkeistä, saksan kielestä sekä tunnistussovelluksen käyttöönottoviestin varoituksesta johtuen.

Asiakkaalla ei ole ollut keskeneräistä asiointia tapahtumahetkellä eikä siten perusteltua syytä odottaa pankin lähestyvän häntä sähköpostilla. Lisäksi asiakas ei ole käynnistänyt itse tunnistussovelluksen käyttöönottoa, joten hänen olisi pitänyt toimia viestissä olleen varoituksen mukaisesti eli keskeyttää käyttöönotto ja sulkea verkkopankkitunnukset.

Pankki katsoo, että asiakas on törkeällä huolimattomuudellaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, eikä pankki ole asiassa korvausvelvollinen.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tilimaksutapahtumat 10.2.-11.2.2022
- Rikollisten asiakkaalle lähettämä sähköposti (10.2.2022 kello 17.31)
- Lokitiedot 10.2.-11.2.2022 ja IP-osoitteet
- Lokitiedot tunnistussovelluksen lataamisesta 10.2.2022
- Kopio verkossa tehdystä rikosilmoituksesta (11.2.2022)
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten käyttämisestä verkkopalveluissa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Pankkitunnusten käyttäminen verkkopalveluissa -kohdan mukaan
[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Tunnuksilla avattua palveluyhteyttä ei saa antaa kenenkään muun käytettäväksi. […]

Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa niistä toimista, jotka kolmas hänen nimissään tekee.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.

Pankkitunnusehtojen Ilmoitus pankkitunnusten katoamisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon.

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin mobiilisovelluksen asentamisen omalle laitteelleen.

Uuden mobiilisovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 10.2.2022 klo 18.21 mobiilisovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
”Hei! Pankkitunnuksellasi ollaan ottamassa [Pankin mobiilisovellus] -sovellusta käyttöön mobiililaitteelle. Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id T31BQ ja syötä vahvistuskoodi 987444 [pankin mobiilisovellus] -sovellukseen. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla xxx xxx.”

Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Tämän seurauksena pankki on lähettänyt asiakkaalle vielä seuraavan vahvistusviestin klo 18.23:
”Pankkitunnuksellasi on otettu [pankin mobiilisovellus] -sovellus käyttöön mobiililaitteelle. Turvallisuussyistä se on asetettu lukittutilaan. Saat vapautettua tunnistussovelluksen lukituksen verkkopankissa (oma nimi > Tunnistussovelluksen asetukset). Lisätietoja saat asiakaspalvelustamme […].”

Asiakkaan verkkopankkiin on tämän jälkeen kirjauduttu samasta IP-osoitteesta, josta käsin uusi pankin mobiilisovellus on otettu käyttöön ja ko. riidanalaiset siirrot on tehty. Verkkopankkiin kirjautuminen on edellyttänyt asiakkaan avainlukukortin käyttöä sekä pankin asiakkaalle klo 18.23 lähettämässä tekstiviestissä ollut koodia:
”Viesti-id 2LXDF. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla xxxxxx. [pankki]”
Pankkilautakunta katsoo, että myös viimeksi mainitussa tekstiviestissä ollut ja verkkopankkiin kirjautumisen mahdollistanut vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Rikollisten laitteelleen käyttöön ottama pankin mobiilisovelluksen profiili on avattu asiakkaan verkkopankissa klo 18.26.

Asiakkaan verkkopankkiin on tämän jälkeen kirjauduttu klo 18.29 pankin mobiilisovelluksella vahvistaen ja verkkopankissa on luotu kyseessä olevat ulkomaanmaksut, jotka on vahvistettu pankin mobiilisovelluksella 10.2.2022 klo 18.36-19.15.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehtojen mukaan tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle eikä myöskään palvelulle, jota pankki ei ole hyväksynyt. Ehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan.

Tässä tapauksessa asiakas on päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille rikollisten asiakkaalle pankin nimissä lähettämässä sähköpostissa olleen linkin kautta. Pankkitunnusehdoissa ei kielletä asiakasta kirjautumasta verkkopalveluun sähköisesti lähetetyn linkin kautta. Huomioiden kuitenkin em. sähköpostissa asiakkaalle näkynyt lähettäjän sähköpostiosoite sekä erityisesti varsinaisen pankin nimissä lähetetyn viestin osan perässä olleet saksankieliset tekstit, useammat linkit sekä lähettäjä- ja sähköpostiosoitetiedot, Pankkilautakunta katsoo, että asiakkaan olisi tässä tapauksessa huolellisesti toimiessaan tullut ymmärtää epäillä saamansa yhteydenoton asianmukaisuutta ja jättää avaamatta viestissä olleesta linkistä avautuneet sivut. [Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.]

Asiakkaan antaman selvityksen mukaan viestissä olleesta linkistä avautui pankin verkkosivujen näköiset sivut, joilla asiakas käytti tunnuksiaan. Vaikka kyseiset sivut olisivatkin näyttäneet aidoilta pankin verkkosivuilta eikä asiakas olisi tunnuksiaan syöttäessään huomannut mitään poikkeavaa, olisi asiakkaan Pankkilautakunnan näkemyksen mukaan tullut keskeyttää asiointinsa viimeistään siinä vaiheessa, kun hän vastaanotti tavanomaisesta pankkitunnuksilla verkossa tehtävästä tunnistautumistilanteesta poikkeavalla tavalla 10.2.2022 klo 18.21 pankin lähettämän pankin mobiilisovelluksen sisältäneen tekstiviestin. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja sulkenut tunnuksensa soittamalla viestissä olleeseen pankin numeroon, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta koodia käytetään, ja toisaalta ohjeistetun sulkemaan tunnukset, jos ei ole itse tekemässä käyttöönottoa. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä vahvistuskoodia sitä valesivuille laittaessaan.

Edelleen Pankkilautakunta kiinnittää huomiota siihen, että pankin mobiilisovelluksen käyttäminen on vielä em. viestissä olleen koodin lisäksi edellyttänyt sovelluksen turvallisuussyistä asetetun lukituksen avaamista ja pankki on lähettänyt asiakkaalle klo 18.23 asiaa koskevan tekstiviestin, jossa kerrotaan pankin mobiilisovelluksen käyttöönotosta ja sen asettamisesta lukittuun tilaan. Asiakkaan kertoman perusteella on tämänkin viestin osalta jäänyt epäselväksi, onko asiakas lukenut saamansa tekstiviestin sisältöä, ja jos on, niin mitä hän ymmärtänyt viestin tarkoittaneen. Joka tapauksessa asiakas on saadun selvityksen mukaan tämän viestin jälkeen klo 18.23 saanut pankilta uuden verkkopankkiin kirjautumista koskevan viestin, jossa olleen vahvistuskoodin asiakas on syöttänyt valesivuille, minkä seurauksena rikolliset ovat päässeet asiakkaan verkkopankkiin, avanneet verkkopankissa pankin mobiilisovelluksen lukituksen ja tehneet sovellusta oikeudetta käyttäen ko. tilisiirrot ulkomaille.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämien pankin mobiilisovelluksen aktivoimisen edellyttämän vahvistuskoodin sisältäneen tekstiviestin sekä mobiilisovelluksen lukittu-tilasta kertovan tekstiviestin yksityiskohtaiset sisällöt huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti (myös maksuvälineenä käytettävien) pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankiltaan saamien pankin mobiilisovellusta koskevien tekstiviestien yksityiskohtaisen sisällön lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan ja pankin välisessä suhteessa asiakas vastaa näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheejohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta