Tapahtumatiedot
Asiakas on rekisteröity yhdistys Y, jonka tilin käyttöoikeutettu X on saanut
pankin nimissä lähetetyn sähköpostin, jossa olleen linkin kautta avautuneilla
pankin verkkosivuilta näyttäneillä sivuilla X on syöttänyt pankkitunnuksiaan.
Pankki on lähettänyt Y:lle 22.3.2022 klo 17.44 tunnistussovelluksensa
käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin.
Rikolliset ovat valesivujen kautta saamiaan verkkopankkitunnuksia ja em.
koodia käyttäen aktivoineet omalle laitteelleen pankin tunnistussovelluksen.
Turvallisuussyistä pankin tunnistussovellus on sen käyttöönoton jälkeen
asetettu lukittuun tilaan, mistä pankki on ilmoittanut X:lle tekstiviestitse
22.3.2022 klo 17.44. Tämän jälkeen asiakkaan verkkopankkiin on kirjauduttu
X:n avainlukukorttia ja pankin X:lle klo 17.44 lähettämässä toisessa
tekstiviestissä ollutta koodia käyttäen, ja verkkopankissa pankin
mobiilisovelluksen profiili on avattu klo 17.47.
Em. pankin tunnistussovelluksella vahvistaen rikolliset ovat kirjautuneet
asiakkaan verkkopankkiin 22.3.2022 klo 18.42.51 ja tehneet Y:n tililtä on tehty
klo 18.44 ja 18.45 em. pankin mobiilisovelluksella vahvistaen kaksi
oikeudetonta tilisiirtoa yhteismäärältään 18.700 euroa.
X:lle on soitettu pankista 23.3.2022 klo 11.33 ja X:n tunnukset on suljettu.
Asiakkaan valitus
Yhdistys Y vaatii pankkia palauttamaan Y:lle oikeudetta tehtyjen
maksutapahtumien rahamäärä 18.700 euroa vähennettynä 50 euron määrällä
ja suorittamaan Y:lle viivästyskorkoa 18.650 euron pääomalle laskettuna
23.3.2022 lukien.
Tapahtumakuvaus 22.-23.3.2022
Y harjoittaa urheiluseuratoimintaa. Juniorijoukkueiden juoksevia asioita —
pankkiasiat mukaan lukien — hoitavat harrastavien lasten ja nuorten
vanhemmat vapaaehtois- ja talkoovoimin. Jokaisella joukkueella on erikseen
kyseisen joukkueen käyttöön varattu pankkitili ja ko. joukkueen pelaajien
vanhemmat olivat valinneet keskuudestaan vastuuhenkilöt joukkueen asioita
hoitamaan. Rahastonhoitajaksi oli valittu X ja tehtävää varten X:llä oli
käyttöoikeus joukkueen käyttöön avattuun Y:n pankkitiliin. Pankin
verkkopankkipalveluiden käyttämistä varten X:lle oli avattu pankin
verkkopankkitunnukset.
X oli kotona 22.3.2022 klo 17 jälkeen, kun hän klikkasi puhelimella sähköpostia,
joka näytti omasecuremaililta. Tämän jälkeen aukesi puhelimen selaimeen
oikean näköinen pankin kirjautumissivusto, jolla on syötetty käyttäjätunnus ja
salasana. Tämän jälkeen tuli ilmoitus, että et ole ottanut mobiilivarmennusta
käyttöön (X:lla ei ole käytössä mobiilivarmennetta). Tässä kohtaa ei herännyt
mitään epäilystä.
Pankista soitettiin 23.3.2022 klo 11.33 ja selvisi, että tili oli tyhjennetty
kokonaan. Virkailija pyysi tekemään rikosilmoituksen ja totesi, että sulkevat
tunnukset ja lähtevät selvittämään kohdepankeista rahoja. Kysyttäessä
virkailija kertoi, että on muitakin samanlaisia tapauksia.
1.1 Huijauksen onnistunut toteuttaminen
X käytti verkkopankkitunnuksia aina internet-selaimen kautta pankin verkkopankkiin
kirjautumalla. Vasta tapahtuneen jälkeen X:lle ja Y:lle on asiaa
tutkittaessa ajan myötä selvinnyt:
- mikä pankin mobiilisovellus ylipäätään on,
- että internet-selain ei ollutkaan ainoa mahdollinen tapa kirjautua
verkkopankkiin,
- millä tavalla mobiilisovellus otetaan käyttöön,
- että pankin mobiilisovelluksella on mahdollista toteuttaa maksutapahtumia ja
- että sovelluksen kautta maksutapahtumien toteuttaminen ei edellytä
tekstiviestivahvistusta jokaisen maksutapahtuman osalta.
Y pitää riidattomana, että murtautuakseen verkkopankkiin tekijöiden käytössä
olevalle mobiililaitteelle ladatun pankin mobiilisovelluksen kautta tekijöiden
pitää onnistua erehdyttämään asiakas syöttämään huijaussivustolle: 1)
verkkopankin käyttäjätunnus ja salasana kerran ja samassa yhteydessä
kertakäyttöinen avaintunnuskortin turvaluku kerran ja 2) sen jälkeen
asiakkaalle lähetetyssä tekstiviestissä oleva vahvistuskoodi kerran ja 3) vielä
kertakäyttöinen avaintunnuskortin turvaluku toisen kerran, jotta
rikoksentekijät pääsevät kirjautumaan selaimen kautta verkkopankkiin ja
avaamaan lukittuna auenneen mobiilisovelluksen lukituksen. Sen jälkeen, kun
tekijät ovat onnistuneet näissä kolmessa "askelmassa", tekijöillä on
mobiilisovelluksen kautta vapaa pääsy asiakkaan verkkopankkiin ja tekemään
mobiilisovelluksella maksutapahtumia ilman minkäänlaista asiakkaan
myötävaikutusta.
X on lukenut sähköpostejaan matkapuhelimen näytöltä ja mieltänyt
vastaanottaneensa pankilta ilmoituksen saapuneesta turvasähköpostiviestistä.
Yrittäessään päästä lukemaan kyseistä viestiä X on ohjattu huijaussivustolle,
jonka X on mieltänyt olevan pankin aito internet-sivusto. Sivustolla X:ää on
erehdytetty, että päästäkseen lukemaan pankin turvasähköpostiviestin, hänen
tulee tunnistautua verkkopankkitunnuksillaan.
Sekä X:n vastaanottama sähköposti että huijaussivusto vaikuttivat autenttisilta.
Matkapuhelimesta luettuna sähköpostiviestin lähettäjänä näyttää olevan
pankki ja huijaussivusto vastasi ulkoasultaan pankin internet-sivustoa. Kun X:n
tiedossa vielä oli, että vakuutusyhtiöt asioivat jatkuvasti ja rutiininomaisesti
asiakkaidensa kanssa turvasähköpostilla, X ei osannut epäillä huijausta.
X ei ole missään vaiheessa huijauksen tapahtuessa itse kirjautunut pankin
verkkopankkiin internet-selaimella, vaan hän on koko ajan asioinut
todellisuudessa ainoastaan huijaussivustolla. Kaikki huijauksen toteuttamiseksi
tehdyt yhteydenotot verkkopankkiin ovat rikoksentekijöiden tekemiä. Pankin
vastauksessa mainitaan kolme erillistä IP-osoitetta, joista verkkopankkiin on
22.3.2022 oltu yhteydessä. Madridista, Tukholmasta ja Helsingistä käsin
tapahtuneet yhteydenotot verkkopankkiin eivät ole X:n tekemiä.
3. Tapahtuneen oikeudellinen arvioiminen
A viittaa maksupalvelulain 53, 62 ja 63 §:in sekä rahanpesulain 4 luvun 1 § ja 5
§:in.
3.1 X on ollut tunnuksia käyttäessään siinä käsityksessä, että hän on asioinut
pankin kanssa ja käyttänyt tunnuksia niitä koskevan sopimuksen mukaisessa
käyttötarkoituksessa. Näin ollen Y ei ole tietoisesti luovuttanut
pankkitunnuksiaan ulkopuoliselle ja niiden käyttöön oikeudettomalle. Asiassa
ei siten ole kyse maksupalvelulaissa tai sopimuksessa tarkoitetusta tunnusten
luovuttamisesta (ks. FINE-003501 ja -020764). Näin ollen arvioitavaksi jää,
vastaako Y tunnusten oikeudettomasta käytöstä lain 62 §:n 1 momentin 2
kohdan perusteella.
Y myöntää, että X:n menettely asiassa on ollut lievästi huolimatonta, ja että Y
on vastuussa pankkitunnusten oikeudettomasta käytöstä 50 euroon saakka.
Sen sijaan Y kiistää X:n toimineen törkeän huolimattomasti.
KKO on arvioinut maksuvälineen oikeudetonta käyttöä ja maksupalvelun
käyttäjän huolimattomuuden astetta ennakkoratkaisussaan 2018:71.
Huomioiden KKO:n ratkaisusta ilmenevät oikeusohjeet, Y:n/X:n
huolimattomuuden asteen arvioiminen on suoritettava kokonaisharkintana,
jossa otetaan huomioon kaikki olosuhteet - mukaan lukien pankin oma
huolimaton toiminta.
3.2 Internet-selain ja pankin mobiilisovellus ovat toisiinsa nähden
vaihtoehtoisia tapoja asioida pankin verkkopankkitunnuksilla. Varsinkin
yhteisöasiakkaiden kyseessä ollessa vastuullisena ja turvallisena
toimintamallina tulisi pankkitoiminnassa olla, että uuden asiointitavan
perustaminen verkkopankkiin edellyttää aina asiakkaan henkilökohtaista
asioimista paikan päällä konttorissa tai vähintäänkin henkilökohtaista kontaktia
esim. puhelimitse. Mm. pankin B sovelluksen käyttöönotto yhteisöasiakkaille
edellyttää aina soittoa pankin asiakaspalveluun. B:n verkkopankki ja sovellus
ovat näin olennaisesti turvallisempia ja vähemmän alttiita väärinkäytöksille
kuin pankin vastaavat. Jos pankin mobiilisovelluksen käyttöönoton
edellytyksenä olisi vastaavalla tavalla kuin pankilla B, nyt tapahtunut huijaus ei
olisi onnistunut. Y:n näkemyksen mukaan pankin tapa järjestää toimintansa
osoittaa huolimattomuutta pankin toiminnassa.
3.3 Kun tekstiviestivahvistus tarvitaan aina maksutapahtuman toteuttamiseen
verkkopankkia internet-sovelluksen kautta käytettäessä, tämä on omiaan
luomaan verkkopankkia internet-selaimen kautta käyttävälle pankin
asiakkaalle käsityksen, että maksutapahtumien toteuttaminen verkkopankista
ei ole lainkaan mahdollista ilman tekstiviestivahvistusta. Tällaisen asiakkaan ei
voida edellyttää osaavan varautua nyt tapahtuneen kaltaisten väärinkäytösten
mahdollisuuteen. Kun pankki on järjestänyt toimintansa siten, että sovelluksen
kautta maksutapahtumia on mahdollista tehdä asiakkaan kannalta täysin
yllätyksellisesti ilman tekstivistivahvistusta tai muuta myötävaikutusta
asiakkaan puolelta, pankki on toiminut huolimattomasti.
3.4 Pankki on vedonnut 22.3.2022 klo 17.44 X:lle lähetettyyn tekstiviestiin, joka
on jo lähtökohtaisesti vaikeasti ymmärrettävä ja "kapulakielinen" erityisesti,
jos ei lainkaan tiedä, mikä pankin mobiilisovellus ylipäätään on. On täysin
mahdollista ja inhimillistä, että henkilö kuvittelee, että mobiilisovellus, josta
viestissä puhutaan, liittyy turvasähköpostiviestin lukemiseen tarvittavaan
tunnistautumiseen. X luki sähköpostejaan matkapuhelimensa näytöltä eikä
siten mieltänyt, että tekstiviestin mukaista turvakoodia oltaisiin kysytty
tietokoneen web-selaimessa. Asiakas viittaa myös pankki Z:n vastaavaan
tekstiviestiin, joka osoittaa, millä tavalla pankin olisi huolellisesti toimiakseen
tullut varoittaa X:ää pankin mobiilisovellukseen liittyvistä huijaus- ja
väärinkäytösriskeistä. Kun pankki ei ole varoittanut X:ää samalla tavalla kuin
pankki Z omia asiakkaitaan, pankki on toiminut asiassa huolimattomasti.
Pankki on edelleen vedonnut em. viestin lähettämisen jälkeen X:lle klo 17.44
lähetettyyn toiseen tekstiviestiin, joka sekin on vaikeasti ymmärrettävä.
Viestissä kehotetaan asiakasta kirjautumaan verkkopankkiin internet-selaimen
kautta, mistä seuraa että asiakas, joka kuvittelee olevansa pankin internet-
sivustolla tunnistautumassa, syöttää huijaussivustolle kirjautumiseen
tarvittavat tunnukset.
3.5 On hyvin epätavanomaista, että kukaan pankin asiakas, joka on ottamassa
rehellisin aikein käyttöönsä pankin mobiilisovellusta, olisi yhden tunnin sisällä
yhteydessä pankkiin kolmesta eri IP-osoitteesta eri maista. On käsittämätöntä,
että pankilla ei ole ollut käytössään mitään järjestelmiä, jotka olisivat
hälyttäneet IP-osoitteisiin liittyneistä epäilyttävyyksistä ja estäneet
transaktioiden toteutumisen. Kun pankki on laiminlyönyt puuttua
epäilyttävyyksiin IP-osoitteissa, pankki on toiminut huolimattomasti.
3.6 Y:n siihenastiseen pankkiasiointiin nähden täysin poikkeukselliset erittäin
lyhyen ajan sisällä tehdyt tilisiirrot ulkomaille ovat epäilyttäviä liiketoimia,
joiden osalta pankilla on ollut rahanpesulain 4 luvun 1 §:n 1 momentin
mukainen ilmoitusvelvollisuus ja lain 4 luvun 5 §:n 1 momentin mukainen
keskeyttämis- tai kieltäytymisvelvollisuus. Pankin velvoitteiden laiminlyöminen
on otettava huomioon arvioitaessa pankin menettelyä ja Y:n/X:n
huolimattomuuden astetta.
3.7 Myös muita pankin asiakkaita on huijattu onnistuneesti samalla tavoin,
mikä osoittaa, että pankin mobiilisovellus oli suunniteltu ja toteutettu
huolimattomasti ja väärinkäytöksille alttiilla tavalla ja että huijauksen
onnistuminen ei ole johtunut asiakkaiden poikkeuksellisesta
huolimattomuudesta. Pankki itsekin toteaa, että mobiilisovelluksen lataaminen
sovelluskaupasta estettiin väliaikaisesti uusien huijausten estämiseksi.
3.8 Kun pankki oli aamupäivällä 23.3.2022 X:ään yhteydessä, pankki lupasi, että
myös Å:lle soitetaan mahdollisimman nopeasti, mutta Å:lle soitettiin vasta noin
klo 16.15. Lopulta meni useampi viikko ennen kuin pankki oli seuraavan kerran
yhteydessä ja ilmoitti, että rahoja ei saadakaan palautetuksi, vaikka alun perin
oli ilmoitettu, että keskuspankki kykenee reagoimaan tapahtuneeseen
nopeasti.
4. Pankki on viitannut yritysverkkopankin ehtojen asiakkaan vastuuta
koskevaan kohtaan. Y katsoo, että kyseisen sopimuskohdan soveltaminen
johtaisi kohtuuttomuuteen siten kuin OikTL 36 §:n 1 momentissa on
tarkoitettu. Y ei harjoita elinkeinotoimintaa, vaan urheiluseuratoimintaa. Y:n
asioita hoitavat harrastavien lasten ja nuorten vanhemmat vapaaehtois- ja
talkoovoimin ilman palkkaa. Näin ollen Y:n ja pankin välinen suhde rinnastuu
vastaaviin pankin ja kuluttajan välisiin suhteisiin ja tilanteisiin.
Yritysverkkopankin ehtojen asiakkaan vastuuta koskeva ehto on jätettävä
huomioon ottamatta arvioitaessa Y:n vastuuta oikeudettomasta käytöstä. Y:n
vastuuta on arvioitava maksupalvelulain mukaan.
5. Pankki ei ole kiinnittänyt Y:n huomiota euromääräiseen maksurajaan ja sen
asettamiseen sellaiseksi, että rajan suuruus soveltuisi Y:n tavanomaiseen
toimintaan ja maksuliikenteeseen. Y:lle on selvinnyt vasta jälkeenpäin myös,
että maksuille olisi ollut mahdollisuus asettaa nk. maarajoitus. Huolellisesti
toimiakseen pankin olisi jo verkkopankkiasiakkuutta perustettaessa pitänyt
kiinnittää Y:n huomiota siihen, että tilille asetetaan mahdollisimman turvallisen
asioinnin varmistamiseksi asianmukaiset rajoitukset. Pankin yllä kuvattu
huolimaton menettely on otettava huomioon Y:n vastuuta ja
huolimattomuutta arvioitaessa.
6. Jos pankki olisi reagoinut kyseisiin varojensiirtoihin vielä saman päivän
aikana, varojen siirtyminen rikoksentekijöille oltaisiin pankin sivuilla SEPAmaksuista
kerrotun perusteella voitu estää. Y:n näkemyksen mukaan pankki on
toiminut huolimattomasti, kun pankki on reagoinut varojen siirtoihin vasta
seuraavana päivänä 23.3.2022. Huolellisesti toimiakseen pankin olisi tullut heti
havaita Y:n siihenastiseen asiointiin nähden täysin poikkeukselliset ja
euromääriltään huomattavat varojen siirrot ulkomaille.
7. Pankki väittää, että pankin sovellus ei ole ollut uusi asiointitapa, ja
perustelee väitettään viittaamallaan 8.8.2017 lähetetyllä ryhmäviestillä. X ei
ole 8.8.2017 vielä ollut rahastonhoitajan tehtävässään eikä siten ole saanut
tietoa ryhmäviestistä. Y ei saa pankilta erikseen tietoa siitä — saati että Y:ltä
kysyttäisiin lupaa — jos joku Y:n tilin käyttöön oikeutettu lataa sovelluksen
omalle mobiililaitteelleen. Tämä ominaisuus tekee sovelluksesta alttiin
tapahtuneenkaltaisille väärinkäytöksille.
8. Pankilla ei ole ollut minkäänlaista seurantaa sitä koskien, mistä eri puolilta
maailmaa yhteydenottoja verkkopankkiin tulee ja mihin sovellus asennetaan.
Tämä osoittaa huolimattomuutta pankin puolella.
Pankin vastine
Å on Y ry:n puheenjohtaja. Valituksen kohteena olevat varat ovat Y:n varoja,
jotka ovat joutuneet ulkopuolisen haltuun hyödyntäen yhdistyksen tilien
käyttöoikeutetun verkkopankkitunnuksia. Tässä verkkopankkitunnusten
haltijasta/tilin käyttöoikeutetusta käytetään nimitystä asiakas ja
tilinomistajasta Y.
Pankin kuvaus tapahtumista
22.03.2022
Asiakas oli vastaanottanut sähköpostin, jonka sisältävän linkin oli avannut.
Linkin takaa löytyi väärennetty pankin verkkopankkisivusto, jonne asiakas
syötti omat verkkopankkitunnukset, salasanan sekä avainlukukortin vaihtuvan
turvaluvun. Sivusto oli pyytänyt tämän jälkeen asentamaan mobiilivarmenteen,
minkä seurauksena asiakas oli syöttänyt puhelimeensa vastaanotetusta
tekstiviestistä vahvistussovelluksen aktivointikoodin. Tämä mahdollisti pankin
vahvistussovelluksen asentamisen rikollisen omalle mobiililaitteelle.
Pankin tietojen mukaan asiakkaan verkkopankkitunnukseen liittyvä
vahvistussovelluksen lataukseen (22.03.2022 klo 17.44) liittyvä
tietoturvavaroitus on lähetetty asiakkaan verkkopankkisopimuksella olevaan
puhelinnumeroon. Tekstiviestin sisältö on ollut seuraava:
"Tietoturvavaroitus: Seuraava koodi syötetään aina mobiililaitteessa olevaan
[pankin vahvistussovellus] -sovellukseen, sitä ei ikinä kysytä tietokoneen webselaimessa.
Jos et ole tekemässä käyttöönottoa itse mobiililaitteessa, soita
asiakaspalveluumme xxx xxxx xxx. Viesti-id: N6KTU. Vahvista [pankin
vahvistussovellus] -sovelluksen käyttöönotto vahvistuskoodilla: 901446.
[pankki]."
Asiakas on tämän jälkeen syöttänyt saamansa tekstiviestikoodin
huijaussivustolle viestissä olevan tietoturvavaroituksen vastaisesti, jonka
jälkeen hän on vastaanottanut seuraavan viestin 22.3.2022 klo 17.44:
"Melkein valmista. Turvallisuussyistä [pankin vahvistussovellus] -sovellus ei
ole heti käytettävissä. Kirjaudu verkkopankin selainversioon kirjoittamalla
www.[pankki].fi selaimen osoitekenttään ja kirjaudu avaintunnuskortilla ja
tekstiviestillä. Ethän käytä hakukoneita, esim. Google, kun kirjaudut
verkkopankkiin. Avaa oman nimesi alta [pankin vahvistussovellus] -
sovelluksen asetukset, ja avaa käyttäjäprofiilin lukitus. Tämän jälkeen
sovellus on käytettävissäsi.
Tarvittaessa voit myös olla yhteydessä asiakaspalveluumme chatilla tai
soittamalla numeroon xxx xxxx xxx. Terveisin, [pankki]".
Pankin vahvistussovellus aukeaa turvallisuussyistä aina lukittu-tilaan uudessa
mobiililaitteessa, minkä jälkeen asiakas on pankin näkemyksen mukaan itse
käynyt avaamassa verkkopankissa vahvistussovelluksen lukituksen. Lukituksen
avaamiseen tarvitaan verkkopankin käyttäjätunnus, salasana,
avaintunnuskortin turvaluku, ja asiakkaalle tekstiviestitse lähetetty
vahvistuskoodi. Lisäksi avaamiseen tarvitaan vielä yksi avainlukukortin
turvaluku. Pankki on lähettänyt asiakkaalle tekstiviestin verkkopankkiin
sisäänkirjautumisesta 22.3.2022 klo 17.44.44. Viestin sisältö on ollut seuraava:
"Viesti-id 3HFC8. Vahvista sisään kirjaus palveluun. Vahvista vahvistuskoodilla
034237. [pankki]", jonka jälkeen lukituksen avaaminen on tapahtunut klo
17.47.03. Tämän jälkeen rikollinen on saanut vahvistussovelluksen käyttöönsä
ja kirjautunut sen avulla verkkopankkiin 22.03.2022 klo 18.42.51 (IP osoitteesta
185.xx.xxx.25) ja päässyt näin asiakkaan verkkopankkiin liitettyihin tileihin
käsiksi.
23.03.2022
Tapahtuneet rikollisen tekemät tilisiirrot Y:n tililtä huomattiin pankin
maksuliikeseurannassa, jolloin asiakkaaseen oltiin välittömästi yhteydessä
siirtojen oikeellisuuden varmistamiseksi. Toimihenkilö pyrki varmistamaan,
onko asiakkaan tunnuksilla ladattu vahvistussovellus asiakkaan omalle
laitteelle vai jonkun muun. Samalla varmistettiin, että epäilyttävältä näyttäneet
maksut eivät olleet asiakkaan itsensä tekemiä.
Pankin toimesta maksuja pyrittiin estämään välittömästi asiakkaalta saatujen
vahvistusten jälkeen, kuitenkaan siinä onnistumatta. Pankin toimesta estettiin
myös välittömästi lisävahinkojen välttämiseksi asiakkaalta kaapattujen
pankkitunnusten sekä vahvistussovelluksen käyttö.
Y:n edustaja esittää väitteen, että pankin vahvistussovellus olisi ollut jotenkin
haavoittuneessa tilassa tapahtuma-aikaan, mutta tämä ei pidä paikkaansa.
Pankki on verkkosivuillaan julkaissut 16.3.2022 tiedotteen, jossa pankki
muistuttaa tietoturvasta ja huijausviesteistä asiakkaita, koska pankin nimissä
oli kyseisenä ajankohtana liikkeellä huijaussähköposteja. Vahvistussovelluksen
lataaminen sovelluskaupasta estettiin väliaikaisesti, mutta tämä ei johtunut
vahvistussovelluksesta vaan siitä, että haluttiin estää uusia huijauksia.
Pankin vahvistussovelluksen käyttöönotto
Asiakkaan luovuttamien pankkitunnusten ja vahvistussovelluksen
käyttöönoton vahvistuskoodin avulla oletettu rikollinen on ottanut sovelluksen
käyttöön laitteessaan klo 18.42.51 (IP osoite 185.xx.xxx.25). Tapahtumakuvaus
vahvistuksineen 22.03.2022:
17:44 Kirjautuminen verkkopankkiin avainlukulistalla
17:44 Vahvistussovelluksen aktivointikoodin vastaanotto tekstiviestillä
17:44 Vahvistussovelluksen rekisteröinti
17:47 Vahvistussovellusprofiilin lukituksen avaus
18:42 Kirjautuminen verkkopankkiin vahvistussovelluksella
18:44 Sepa-maksun vahvistus tunnuslukusovelluksella 9.400€
18:45 Sepa-maksun vahvistus tunnuslukusovelluksella 9.300€
Pankki painottaa, ettei pankin vahvistussovellus ole uusi asiointitapa, vaan
kyseinen palvelu on ollut käytössä syksystä 2017 alkaen. Asiakkaille ja
yritysverkkopankin käyttäjille on sopimusehtojen mukaisesti lähetetty asiasta
8.8.2017 ryhmäviesti. Pankin tietojärjestelmistä käy ilmi, että useat Y:n
verkkopankin käyttöön oikeutetut käyttävät pankin vahvistussovellusta, eikä Y
ole puuttunut /rajoittanut sovelluksen käyttöä mitenkään tai epäillyt
sovelluksen toiminnallisuuksia.
Pankin yleinen asiakasneuvonta verkkopankkiturvallisuuteen liittyen
Pankki viittaa mediatiedotteeseensa 16.3.2022. Vastaavaa informaatiota
pankki on tiivistetysti välittänyt myös sosiaalisen median kanavissaan sekä
suoraan tekstiviestitse asiakkailleen.
Kuinka asiakas toimii käyttäessään verkkopankkia tai vahvistussovellusta
yleisesti
Pankin verkkopankkiin kirjautuminen edellyttää henkilökohtaisen
käyttäjätunnuksen, salasanan ja tunnuslukukortin kertakäyttöisen koodin sekä
puhelimeen saapuvan tekstiviestikoodin asiakkaalta tai vaihtoehtoisesti
henkilökohtaisen käyttäjätunnuksen ja vahvistussovelluksella tehdyn
hyväksynnän.
Vahvistussovelluksen käyttöönoton yhteydessä asiakkaalle lähetetään
turvallisuussyistä vahvistuskoodi ja tietoturvavaroitus. Vahvistussovellukseen
kirjautuminen edellyttää henkilökohtaisen PIN-koodin tai biometrisen
tunnisteen, jonka asiakas on määritellyt ottaessaan vahvistussovelluksen
käyttöönsä. PIN-koodilla/biometrisellä tunnisteella asiakas vahvistaa
tapahtumat maksu- ja korttitapahtumat sovelluksessa.
Käyttäjän toiminnan arviointi
Asiakas on syöttänyt huijaussivustolle henkilökohtaiset
verkkopankkitunnukset, avainkortin tunnusluvun sekä asiakkaan numeroon
lähetetyn vahvistussovelluksen vahvistuskoodin tietoturvavaroituksesta
huolimatta. Vahvistussovelluksen käyttöönoton jälkeen asiakkaan
puhelinnumeroon 22.3.2022 klo 17.44 lähetettiin vielä toinen viesti. Tästäkään
varoitusviestistä asiakas ei itse ollut asiasta pankkiin yhteydessä, vaan kävi
verkkopankissa avaamassa vahvistussovelluksen lukituksen rikollisen hallussa
olevalta laitteelta.
Käyttäjä toimi omankin kertomansa mukaisesti kiireellä, eikä välittänyt
varoituksista tai omista epäilyistään, eikä huomioinut sitä, että kysymyksessä
oli Y:n rahavarat. Alkuperäisen valituksen tapahtumakuvauksessa käy ilmi, että
käyttäjä ei epäilyttävässä tilanteessa ollut yhteydessä pankkiin, kun 1) käyttäjä
ei ollut itse tekemässä sovelluksen käyttöönottoa tai 2) kun hän ei ymmärtänyt
mikä sovellus oli ja 3) ohitti pankin viestit. Pankin käsityksen mukaan hänen
olisi vastuullisena ja huolellisena Y:n yritysverkkopankin käyttäjänä tullut
tuossa vaiheessa olla heti yhteydessä pankkiin, eikä siirtää asiaa seuraavaan
päivään.
Pankki on arvioinut asiakkaan toimia kokonaisuutena, huomioiden vielä sen,
että asiakas ei ole tilivarojen omistaja vaan ainoastaan varojen
käyttöoikeutettu, joka pankin käsityksen mukaan nostaa vielä hänen
huolellisuusvelvoitettaan ja katsoo selvitetyksi, että asiakkaan luovuttamat
verkkopankkitunnukset sekä tietoturvavaroituksesta huolimatta annettu
vahvistussovelluksen vahvistuskoodi käyttöönottoa varten mahdollistivat
valituksen kohteena olevat tilisiirrot Y:n tililtä. Pankki katsoo, että asiakkaan
toiminta on kokonaisuutena ollut poikkeavaa ja törkeän huolimatonta, hänen
olisi pitänyt huolellisesti lukea saamansa tekstiviesti liittyen
vahvistussovelluksen käyttöönottoon sekä viestiin sisältyvä tietoturvavaroitus
ja olla välittömästi yhteydessä pankkiin.
Asiakas ei ollut myöskään reagoinut vahvistussovelluksen käyttöönoton jälkeen
tulleeseen tekstiviestiin, joka sisälsi myös ohjeistuksen ottaa pankkiin
välittömästi yhteyttä, mikäli ei omalle laitteelleen sovellusta ollut asentamassa.
Asiakas ei ole riittävän huolellisella tasolla huomioinut saamiensa tekstiviestien
sisältöä.
Pankki viittaa yritysverkkopankin ehtojen Verkkopankkitunnusten
säilyttäminen ja asiakkaan sekä käyttäjän vastuu -kohtaan. Pankki
huomauttaa, että urheiluseuratoiminta on muuttunut koko ajan entistä
ammattimaisemmaksi. Seurojen varainhankinta on monipuolistunut, seuroilla
on palkattua henkilökuntaa, jota kautta niitä sitovat mm. erilaiset
työnantajavelvoitteet, seuroilla on erilaisia yhteistyösopimuksia, jotka
edellyttävät seuroilta entistä yritysmuotoisempaa toimintaa.
Vaikka seuroissa on paljon vapaaehtoistyötä, niin isot urheiluseuraorganisaatiot,
joihin myös Y kuuluu, eivät ole yksityisiä elinkeinonharjoittajia vaan
lähempänä yrityksiä. Y:n toimintaa säätelee yhdistyslaki ja yhdistyksen
säännöt, joiden mukaan sitä hallinnoidaan ja joissa on määritelty eri
toimielinten vastuut ja velvoitteet. Lainsäädäntö määrittää myös yhdistyksen
hallituksen ja sen toimijoiden vastuut yhdistykselle sekä korvausvelvoitteet
toiminnastaan yhdistykselle. Yhdistyksen varoja hallinnoivien on noudatettava
erityistä huolellisuutta. Rahastonhoitajan on aina tarkistettava tehtäviinsä
kuuluvien tapahtumien oikeellisuus. Pankki katsoo, ettei yhdistystä voida
rinnastaa elinkeinonharjoittajaan, joiden osalta pankin yritysverkkopankin
ehdoissa on huomioitu henkilötunnuksella toimivat esimerkiksi maanviljelijät,
jotka voidaan tunnistaa tunnistuslain mukaisesti.
Pankki muistuttaa, että rahastonhoitaja on syöttänyt huijaussivustolle
käyttäjätunnuksensa, salasanansa sekä avainlukulistan turvaluku sekä SMSvahvistuskoodin.
Avainlukulista on vain asiakkaan hallussa, eikä kellään muulla
ole tietoa tämän avainlukulistan sisältämistä turvaluvuista. Pankki on
toimittanut selvityksen lokitiedoista, josta nähdään yksiselitteisesti, että pankki
on lähettänyt sekä pankin mobiilisovelluksen aktivointikoodin että
varoitusviestit rahastonhoitajan puhelinnumeroon. Viestien lähettämiseksi
asiakkaan on tullut jo syöttää myös avainlukulistalta pyydetty turvaluku.
Pankki noudattaa maksujen välityksen yleisiä ehtoja ja välittää maksut muihin
Sepa-alueen pankkeihin yhden pankkipäivän kuluessa, mahdollisesti jo saman
päivän aikana riippuen maksun tekoajasta. Pankilla ei ole mahdollisuutta
peruuttaa yksittäistä tapahtumaa, jonka toteuttamiseen maksaja on antanut
suostumuksensa maksupalvelulain mukaisesti. Jotta yksittäinen
maksutapahtuma voidaan pyytää palautettavaksi, on asiakkaan tehtävä
petosperusteinen maksunpalautuspyyntö sekä rikosilmoitus, jonka pankki
keskuspankkinsa välityksellä toimittaa edelleen maksunsaajan pankkiin.
Edellä kuvatusta asiakkaan käyttäytymisen kokonaisarviosta johtuen, mukaan
lukien hänen roolinsa Y:n tilin käyttöoikeutettuna, pankki ei korvaa valituksen
kohteena olevia menetyksiä, vaan ne jäävät Y:n vahingoksi.
Verkkopankin/tilin käyttöön liittyvät rajoitukset
Yritysasiakkaaseen ja käyttäjään sovelletaan yritysverkkopankin ehtoja. Sekä Y
että käyttäjä ovat allekirjoittaneet yritysverkko-pankkisopimuksen ja saaneet
kappaleensa sopimuksesta ja ehdoista. Ehdoissa määritellään
yritysverkkopankkiasiakkaan vastuut yritysverkkopankissa tehdyistä
tapahtumista.
Asiakkaan ja käyttäjän sopiessa yritysverkkopankin käytöstä, sovitaan samalla
yksittäisen maksun yläraja, jonka käyttäjä voi verkkopankissa maksaa. Tämän
maksurajan suositellaan olevan sellainen, että käyttäjä pystyy maksamaan
tavanomaiset maksunsa päivittäin. Tämä yksittäisen maksun yläraja voidaan
muuttaa ainoastaan pankissa, käyttäjä ei voi sitä verkkopankissa muuttaa ja
yritysten/yhdistysten osalta edellytetään muutospyynnön esittäjältä
asianmukaista valtuutusta. Yrityksillä tämä sovittu maksuraja on yleensä
suurempi, koska myös yritysten maksut ovat suuremmat. Yritys/yhdistys
valtuuttaa itse yritysverkkopankin käyttäjät ja käyttäjä voi käyttää ainoastaan
tilejä tai maksaa maksukohtaisen maksurajan sisällä olevia maksuja, joihin
hänellä on valtuutus yritykseltä, minkä vuoksi pankki ei tarjoa rajatonta pääsyä
yrityksen tileille missään kanavassa.
Pankin hidastelu asian selvittämisessä
Y:n asiamies epäilee vastineessaan, että pankin toiminta asiassa on vaikuttanut
vahingon suuruuteen. Pankin maksujärjestelmän seuranta hälytti pankille
poikkeavista suorituksista Y:n tilillä ja huolellisena toimijana pankki oli
yhteydessä verkkopankin käyttäjään pyytäen selvitystä sekä lukitsi
verkkopankin. Y tai käyttäjä eivät itse olleet maksutapahtumia huomanneet.
Käyttäjään saatiin yhteys puhelimitse 23.3.2022 klo 11.33. Pankki sai Y:n
vastuuhenkilön kiinni vasta 23.3.2022 klo 15.59, jotta hänelle voitiin lähettää
petosperusteinen maksunpalautuspyyntö allekirjoitettavaksi.
Maksunpalautuspyyntö lähti eteenpäin normaalisti, mutta asianmukaisesti
vahvistettuja maksuja ei saatu enää palautettua. Pankki ei hidastellut
palautuspyynnön tekemisessä. Palautuspyynnön epäonnistuminen ilmoitettiin
asiakkaalle, kun se varmistui.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu
seuraavat asiakirjat:
- Kuvakaappaus X:n saamasta pankin nimissä lähetetystä sähköpostista
- kuvakaappaus pankin Z mobiilisovelluksen käyttöönoton edellyttämän
vahvistuskoodin sisältävästä tekstiviestistä
- Kopio sähköisestä rikosilmoituksesta (23.3.2022)
- Otteita pankin, pankin B ja pankin Z verkkosivuilta
- Paikannustulokset kolmesta IP-osoitteesta
- Yritysverkkopankin ja verkkopankkitunnusten käyttöä koskevat yleiset ehdot
- Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleiset ehdot
- Euromaksualueella välitettävien euromaksujen yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on
arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön
katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt
pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan
mahdollinen huolimattomuus on. Mikäli asiakkaan katsotaan sovellettavien
ehtojen perusteella vastaavan täysimääräisesti aiheutuneesta vahingosta, on
lautakunnan lisäksi arvioitava, johtaako sopimusehtojen soveltaminen
asiakkaan kannalta kohtuuttomuuteen.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin
mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja
käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin
toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä
henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä
koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen
liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava
palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan
maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun
tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta
käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen
palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen
haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen
oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän
tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset
velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai
sen nimeämälle muulle taholle havaitsemastaan maksuvälineen
katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai
oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1
momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa.
Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu
maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun
palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu
maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun
tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen
haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu
ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti
varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on
vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu
maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut
muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta
maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta
johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty
maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään
seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille
ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä
asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi
ollut ilman veloitusta.
Yritysverkkopankin ja verkkopankkitunnusten käyttöä koskevien yleisten
ehtojen (Yritysverkkopankkitunnusehdot) Verkkopankkitunnusten käyttäminen
-kohdan mukaan
Verkkopankkitunnusten käyttäminen edellyttää, että asiakas ja pankki ovat
sopineet tunnuksista yritysverkkopankkisopimuksella.
Kun asiakas ja pankki ovat sopineet tunnuksista, käyttäjä on tunnistettu ja
yritysverkkopankkisopimus on allekirjoitettu asiakkaan sekä käyttäjän
toimesta pankin hyväksymällä tavalla, pankki luovuttaa käyttäjäkohtaiset
tunnukset, joiden avulla asiakkaan valtuuttama käyttäjä tunnistautuu
asiakkaan edustajana palvelussa edellytetyllä tavalla.
Yritysverkkopankin käyttäjäkohtaisista käyttövaltuuksista sovitaan erikseen
yritysverkkopankkisopimuksella, asiakas voi muuttaa näitä käyttövaltuuksia.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä
tavalla, vastaa asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot,
hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit sitovat
palvelussa tunnistettua asiakasta sen jälkeen, kun ne on lähetetty pankille
palvelussa edellytetyllä tavalla.
[…]
Yritysverkkopankkitunnusehtojen Verkkopankkitunnusten säilyttäminen ja
asiakkaan sekä käyttäjän vastuu -kohdan mukaan
Asiakas vastaavaa tunnusten käytöstä ja käyttäjä sitoutuu säilyttämään
verkkopankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan ja
huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon.
Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua
sivullisen haltuun tai tietoon, sekä asiakas että käyttäjä ovat velvollisia
ilmoittamaan tästä välittömästi pankille.
Muun kuin pankin myöntämän varmenteen tai tunnistusvälineen
katoamisilmoitus on tehtävä varmennetta tai tunnistusvälinettä koskevien
käyttöehtojen mukaisesti. Asiakas vastaa pankin asiakkaan valtuuttamalle
käyttäjälle myöntämien tunnusten oikeudettomasta käytöstä, jos
· asiakas tai käyttäjä on luovuttanut tunnukset sivulliselle;
· tunnusten katoaminen, joutuminen oikeudettomasti sivullisen haltuun tai
oikeudeton käyttö johtuu asiakkaan tai käyttäjän huolimattomuudesta; tai
· asiakas tai käyttäjä on laiminlyönyt ilmoittaa ehtojen mukaisesti pankille
tunnusten katoamisesta, joutumisesta oikeudettomasti sivullisen haltuun tai
oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan.
Asiakas voi kuitenkin käyttää omalla suostumuksellaan tunnisteita
maksupalvelulaissa tarkoitettujen rekisteröityneiden maksutoimeksianto- ja
tilitietopalvelun tarjoajien tuottamien palveluiden toteuttamiseksi, mikäli
pankinpalvelut tämän mahdollistavat. Asiakas ei vastaa tunnusten
oikeudettomasta käytöstä, jos tunnuksia on käytetty sen jälkeen, kun ilmoitus
niiden hallinnan menettämisestä tai niiden joutumisesta sivullisen haltuun tai
tietoon on saapunut pankille tai pankin ilmoittamaan sulkupalveluun ja
pankilla on ollut kohtuullinen aika estää palvelun käyttö. Asiakkaan tai
käyttäjän on tehtävä katoamisilmoitus pankin konttoriin tai pankin
ilmoittamaan asiakaspalveluun näiden aukioloaikoina tai pankin
sulkupalveluun (puhelinnumero 020 333 tai ulkomailta +358 20 333).
Asiakkaan vastuu muun kuin pankin myöntämän varmenteen tai
tunnistusvälineen oikeudettomasta käytöstä ja ilmoitusvelvollisuudesta
määräytyy varmenteen tai tunnistusvälineen käyttöehtojen mukaisesti.
Jos muun kuin pankin myöntämän varmenteen tai tunnistusvälineen
käyttöehdot ovat ristiriidassa näiden ehtojen kanssa, sovelletaan ensisijaisesti
näitä ehtoja. Asiakas vastaa siitä, että sillä on käyttäjän suostumus ennen
kuin tämän henkilötunnus ja muut henkilötiedot toimitetaan pankille ja että
käyttövaltuuksien sisältö vastaa asiakkaan pankille ilmoittamaa. Asiakkaan
on varmistettava, että käyttäjät tuntevat yritysverkkopankin ja
verkkopankkitunnusten käyttöä koskevat yleiset ehdot ja toimivat niiden
mukaisesti.
Asiakas vastaa kaikista toimeksiannoista ja muista toimenpiteistä, joita
tehdään käyttäen asiakkaan asiakaskohtaisia tai asiakkaan valtuuttamien
käyttäjien käyttäjäkohtaisia pankkitunnuksia.
Yritysverkkopankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Pankilla on oikeus määritellä yritysverkkopalveluissa suoritettavissa olevat
maksutyypit ja rajat maksutoimeksiannoille. Maksut välitetään
Euromaksualueella välitettävien euromaksujen yleisten ehtojen tai Lähtevien
ja saapuvien valuuttamaksujen yleisten ehtojen mukaisesti. Asiakas ja pankki
voivat erikseen sopia tunnusten käyttöä koskevista käyttörajoituksista sekä
asiakas- että käyttäjäkohtaisesti.
Yritysverkkopankkitunnusehtojen Pankin oikeus estää verkkopalveluiden tai
verkkopankkitunnusten käyttö -kohdan mukaan
Pankilla on oikeus, mutta ei velvollisuutta, keskeyttää verkkopalveluiden
käyttö tai rajoittaa verkkopalveluihin pääsyä:
[…]
· jos asiakas tai käyttäjä tai asiakkaan tai käyttäjän laitteet, ohjelmistot tai
tietoliikenneyhteydet aiheuttavat häiriöitä tai vaarantavat verkkopalveluiden
turvallisuuden;
· suojellakseen asiakkaita ja käyttäjiä tietoturva- tai muilta turvallisuusuhilta;
· pankilla on perusteltu syy epäillä, että verkkopalveluita käytetään
lainvastaiseen toimintaan tai tavalla, joka saattaa aiheuttaa vahinkoa tai
vahingonvaaraa pankille, asiakkaalle, käyttäjälle tai kolmannelle osapuolelle
· jos asiakas tai käyttäjä toimii lain tai hyvän tavan vastaisesti taikka rikkoo
olennaisesti sopimuksen ehtoja tai palveluun liittyviä ehtoja tai käyttöohjeita
tai ei toimita pankille yritystilin tai käyttötilin yleisten ehtojen mukaisia tietoja
tai lain tai viranomaisen määräyksen perusteella pyytämiä tietoja
[..]
Yritysverkkopankkitunnusehtojen Pankin ilmoitukset petolliseen toimintaan tai
turvallisuuteen liittyvistä uhista -kohdan mukaan
Pankki ilmoittaa asiakkaalle ja käyttäjälle tietoonsa tulleesta epäillystä tai
todetusta petolliseen toimintaan tai turvallisuuteen liittyvästä uhasta.
Ilmoitus annetaan pankin verkkosivuilla tai pankin tarjoaman suojatun
sähköisen palvelun välityksellä. Esimerkki tämän kaltaisesta uhasta ovat
pankin asiakkaalle lähetetyt petolliset sähköposti- tai muut viestit, joissa
pankin nimissä esiintyen koetetaan saada asiakkaat luovuttamaan
pankkitunnuksensa viestin lähettäjälle.
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa riidattomaksi, että X on saanut pankin
nimissä lähetetyn sähköpostin, jossa olevan linkin kautta avautuneilla
rikollisten luomilla valesivuilla X on syöttänyt verkkopankkitunnuksiaan
luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä
pankkitunnustiedoilla aloittaneet pankin tunnistussovelluksen asentamisen
omalle laitteelleen.
Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on
lähettänyt X:lle 22.3.2022 klo 17.44 sovelluksensa käyttöönottoa koskevan
vahvistuskoodin sisältäneen tekstiviestin:
"Tietoturvavaroitus: Seuraava koodi syötetään aina mobiililaitteessa olevaan
[pankin mobiilisovellus] -sovellukseen, sitä ei ikinä kysytä tietokoneen webselaimessa.
Jos et ole tekemässä käyttöönottoa itse mobiililaitteessa, soita
asiakaspalveluumme xxx xxxx xxx. Viesti-id: N6KTU. Vahvista [pankin
mobiilisovellus] -sovelluksen käyttöönotto vahvistuskoodilla: 901446.
[pankki]."
Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em.
tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja
tämä on tapahtunut siten, että X on syöttänyt tekstiviestitse saamansa koodin
em. linkistä avautuneille sivuille. Vahvistuskoodin saatuaan rikolliset ovat
voineet aktivoida käyttöönsä pankin tunnistussovelluksen omalle laitteelleen.
Tämän seurauksena pankki on lähettänyt X:lle vielä seuraavan vahvistusviestin
klo 17.44:
"Melkein valmista. Turvallisuussyistä [pankin mobiilisovellus] -sovellus ei ole
heti käytettävissä. Kirjaudu verkkopankin selainversioon kirjoittamalla www.
[pankki].fi selaimen osoitekenttään ja kirjaudu avaintunnuskortilla ja
tekstiviestillä. Ethän käytä hakukoneita, esim. Google, kun kirjaudut
verkkopankkiin. Avaa oman nimesi alta [pankin mobiilisovellus] -sovelluksen
asetukset, ja avaa käyttäjäprofiilin lukitus. Tämän jälkeen sovellus on
käytettävissäsi. Tarvittaessa voit myös olla yhteydessä asiakaspalveluumme
chatilla tai soittamalla numeroon xxx xxxx xxx. Terveisin, [pankki]."
Asiakkaan verkkopankkiin on tämän jälkeen kirjauduttu. Verkkopankkiin
kirjautuminen on edellyttänyt X:n avainlukukortin käyttöä sekä pankin X:lle klo
17.44 lähettämässä tekstiviestissä ollut koodia:
”Viesti-id 3HFC8. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla
xxxxxx. [pankki]”
Pankkilautakunta katsoo, että myös viimeksi mainitussa tekstiviestissä ollut ja
verkkopankkiin kirjautumisen mahdollistanut vahvistuskoodi on päätynyt
rikollisten tietoon siten, että X on syöttänyt koodin rikollisten luomille
valesivuille. Rikollisten laitteelleen käyttöön ottama pankin
tunnistussovelluksen profiilin lukitus on avattu asiakkaan verkkopankissa klo 17.47.
Asiakkaan verkkopankkiin on tämän jälkeen kirjauduttu klo 18.42 pankin
tunnistussovelluksella vahvistaen ja verkkopankissa on luotu kyseessä olevat
ulkomaanmaksut, jotka on vahvistettu pankin tunnistussovelluksella 22.3.2022
klo 18.44 ja 18.45.
X:n menettelyn arviointi
Yrityspankkitunnusehtojen mukaan pankki luovuttaa käyttäjäkohtaiset
tunnukset, joiden avulla asiakkaan valtuuttama käyttäjä tunnistautuu
asiakkaan edustajana palvelussa edellytetyllä tavalla. Ehtojen mukaan asiakas
vastaa tunnusten käytöstä ja käyttäjä sitoutuu säilyttämään
verkkopankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan ja
huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon. Ehdoissa
ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin
verkkopalveluun hakeutuessaan taikka niille kirjautuessaan.
Tässä tapauksessa X on päätynyt rikollisten luomille pankin verkkosivuilta
näyttäville valesivuille rikollisten Y:lle pankin nimissä lähettämässä
sähköpostissa olleen linkin kautta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että pankit ja pankkien
kanssa samoihin yhtiöryhmiin kuuluvat toimijat voivat lähettää asiakkailleen
asiointia koskevia ja linkkejä sivuilleen sisältäviä sähköposteja, mikä voi
osaltaan vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa
kyseenalaistaa pankin nimissä tulevan sähköpostin ja siinä olevan linkin
asianmukaisuutta. Edelleen lautakunta kiinnittää huomiota siihen, että
asiakkaan toimittaman kuvakauppauksen perusteella asiakkaan puhelimessa
rikollisten lähettämä sähköposti näyttää tulleen pankilta. Pankkilautakunta
katsoo myös, ettei asiakkaan voida edellyttää ymmärtäneen myöskään
sähköpostin muotoilun ja sisällön taikka viestissä olleen linkin perusteella, ettei
sähköposti ollut pankin lähettämä. Ottaen vielä huomioon, ettei
yrityspankkitunnusehdoissa kielletä asiakasta kirjautumasta verkkopalveluun
sähköisesti lähetetyn linkin kautta ja että tässä tapauksessa sähköpostissa
olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja X on
verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja
on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo,
ettei X ole näin menetellessään huolimattomuudestaan laiminlyönyt
pankkitunnusehtojen mukaisia velvollisuuksiaan.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta
verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla
pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin
asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää
kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää
saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun
sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen
kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen
menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten
oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen
sisällöltään yksityiskohtainen ja informatiivinen, ja siinä kerrotun
asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää. Viestissä
myös kielletään antamasta koodia web-selaimessa ja kehotetaan ottamaan
yhteyttä pankkiin, jos ei ole ottamassa pankin tunnistussovellusta käyttöön. X
ei Y:n kertoman mukaan ole tiennyt, mikä pankin tunnistussovellus on, mutta
muutoin asiassa on jäänyt epäselväksi, onko X lukenut pankilta saamansa
tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen
tarkkaan ottaen ymmärtänyt käyttävänsä vahvistuskoodia sitä valesivuille
syöttäessään.
Edelleen Pankkilautakunta kiinnittää huomiota siihen, että pankin
tunnistussovelluksen käyttäminen on vielä em. viestissä olleen koodin lisäksi
edellyttänyt sovelluksen turvallisuussyistä asetetun lukituksen avaamista ja
pankki on lähettänyt asiakkaalle klo 17.44 asiaa koskevan tekstiviestin, jossa
kerrotaan ettei pankin mobiilisovellus ole turvallisuussyistä heti käytettävissä
ja miten sen lukituksen voi avata verkkopankin selainversiossa. Y:n kertoman
perusteella on tämänkin viestin osalta jäänyt epäselväksi, onko X lukenut
saamansa tekstiviestin sisältöä, ja jos on, niin mitä hän ymmärtänyt viestin
tarkoittaneen. Joka tapauksessa asiakas on saadun selvityksen mukaan tämän
viestin jälkeen klo 17.44 saanut pankilta uuden verkkopankkiin kirjautumista
koskevan viestin, jossa olleen vahvistuskoodin asiakas on syöttänyt valesivuille,
minkä seurauksena rikolliset ovat päässeet asiakkaan verkkopankkiin,
avanneet verkkopankissa pankin tunnistussovelluksen lukituksen ja tehneet
sovellusta oikeudetta käyttäen ko. tilisiirrot ulkomaille.
Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut
huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin
kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa
toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä
tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämien
pankin tunnistussovelluksen aktivoimisen edellyttämän vahvistuskoodin
sisältäneen tekstiviestin sekä tunnistussovelluksen lukittu-tilasta kertovan
tekstiviestin yksityiskohtaiset sisällöt huomioiden Pankkilautakunta katsoo X:n
menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti (myös
maksuvälineenä käytettävien) pankkitunnustensa hallintaan ja käyttöön
liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä
pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen
Pankkilautakunta katsoo X:n menettelyn osoittavan maksupalvelulaissa
tarkoitettu törkeää huolimattomuutta.
Sovellettavien ehtojen kohtuuttomuudesta
Asiakas on vedonnut tapauksessa siihen, että yritysverkkopankkitunnusehtojen
soveltaminen johtaisi tapauksessa asiakkaan kannalta kohtuuttomuuteen.
Edellä Pankkilautakunta on katsonut X:n menetelleen törkeän huolimattomasti
ja näin ollen asiakas vastaisi pankkitunnusten oikeudettomasta käytöstä
aiheutuneesta vahingosta myös siinä tilanteessa, että asiakkaan ja pankin
välillä pankkitunnusten käytöstä olisi sovittu henkilöasiakkaita koskevin ja
maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä vastaavin
ehdoin. Näin ollen Pankkilautakunta katsoo, ettei asiassa ole tarpeen arvioida
yrityspankkitunnusehtojen mahdollista kohtuuttomuutta.
Maksutapahtumien estäminen
Asiakas on vedonnut tapauksessa myös siihen, että pankin olisi huolellisesti
toimiakseen tullut heti havaita Y:n siihenastiseen asiointiin nähden täysin
poikkeukselliset ja euromääriltään huomattavat varojen siirrot ulkomaille ja
puuttua niihin.
Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään
maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita
oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei
kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon
maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että
pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa
sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.
Lopputulos
Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet
Ahlroth
Atrila
Laine
Tervonen