Tapahtumatiedot
Asiakas on ollut verkossa myymässä kankaita, kun hän on joutunut petoksen uhriksi ja asiakkaan korttitiedoilla on tehty verkossa 29.5.2022 klo 15.37 ja 15.44 kaksi korttimaksua yhteisarvoltaan 2.000,00 euroa. Korttimaksut on vahvistettu pankin tunnistussovelluksella, joka aktivoitu käyttöön 29.5.2022 klo 15.31. Tunnistussovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnusten käyttäjätunnusta ja salasanaa sekä pankin asiakkaalle klo 15.29 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"[Pankin tunnistussovellus] Activation Code
If you’re not trying to activate [pankin tunnistussovellus], please contact us immediately. Remember, we’ll never ask you for this code, but a fraudster would, so stay safe and don’t share this code with anyone. The code to complete your [pankin tunnistussovellus] activation is xxx.”] ".
Tunnistussovelluksen aktivoinnin jälkeen pankki on lähettänyt asiakkaalle klo 15.31 vielä seuraavanlaisen viestin:
”Great news, you´ve succesfully activated [pankin tunnistussovellus].
If you´re not the one trying to activate [pankin tunnistussovellus] and you have received this message, please contact us immediately.
Kind regards
[Pankki]”
Asiakas on ottanut klo 16.04 yhteyden sulkupalveluun, joka on sulkenut asiakkaan pankkitunnukset ja kortin.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan aiheutuneen 2.000 euron vahingon.
Asiakkaan pankki- ja henkilötiedot varastettiin tori.fi-palvelussa, jossa asiakas oli myymässä ompelukankaita. Tuotteen ostaja ilmoitti asiakkaalle WhatsAppilla, että haluaa ostaa myynnissä olevat kankaat. Ostaja kertoi olevansa ulkopaikkakuntalainen ja halusi, että ne lähetetään hänelle. Hän tiedusteli, kuinka paljon niiden lähettäminen maksaa, ja asiakas ilmoitti summan. Ostaja halusi vielä keskustella miehensä kanssa ja samalla hän painotti, ettei asiakas myisi tuotteita muille. Hetken kuluttua WhatsAppiin ilmestyi kuva, jossa luki että tilaus on maksettu ja odottaa vahvistusta. Viesti näytti tulevan Postin viralliselta sivulta ja siinä pyydettiin pankkikortin numeroa ja voimassaoloaikaa sekä CVC-koodia, jotta raha voitaisiin siirtää asiakkaan tilille. Asiakas kirjautui postin sivuille viestissä saamastaan linkistä. Asiakas ei osannut epäillä viestiä huijaukseksi, koska se tuli Postin sivulta. Asiakas ei kirjautunut pankkiohjelmaan eikä hänelle näkynyt pankin väittämää viestiä (”Kirjaudu [pankkiin]”).
Asiakas ei ole myöskään itse aktivoinut pankin tunnistussovellusta. Asiakas ei saanut pankin vastauksen mukaista tekstiviestiä puhelimeensa eikä ole laittanut puhelimestaan aktivointikoodia verkkopankkiin tai pankin sovellukseen. Viesti on tullut ainoastaan asiakkaan sähköpostiin ja sekin koski onnistunutta pankin sovelluksen latausta. Asiakkaan puhelimen asetukset ovat suomeksi, asiakas asuu Suomessa ja äidinkieli on suomi. Englanninkieliseen viestiin reagointi olisi ollut vaikeaa. Englanti ei ole asiakkaan äidinkieli.
Asiakas ei ole myöskään luovuttanut tekstiviestillä pankkitunnuksiaan kenellekään. Jos huijarilla on ollut pankkitunnukset, niin ne eivät ole olleet asiakkaan luovuttamia, vaan ilmeisesti pankin kautta saatuja. Aktivointikoodit pankin lokissa saattavat näkyä sen vuoksi, että asiakas kävi tietokoneella katsomassa tilin saldoa, koska huijari sanoi lähettäneensä sinne rahan.
Asiakas latasi pankin sovelluksen uudelleen ja vaihtoi salasanan, kun huomasi itse, että rikollinen oli saanut ladattua sovelluksen. Asiakkaan mielestä tämä jo osoittaa erityistä huolellisuutta ottaen lisäksi huomioon, kuinka hidasta oli saada pankkiin yhteyttä ja kuinka avuton virkailija oli asian suhteen. Kortti saatiin kyllä suljettua, mutta rikollinen olisi edelleen voinut toimia tilillä, jos asiakas ei olisi itse pikaisesti vaihtanut tunnuksia sovelluksessa ja pankkiohjelmassa.
Kuten pankki toteaa, asiakas ei ole vahvistanut pankin sovellutuksella rikollisen pääsyä verkkopankkiin. Asiakas ei myöskään ymmärrä, miten rikollinen on voinut saada ladattua pankin sovelluksen omaan puhelimeensa. Pankin hälytyskellojen olisi luullut jo soivan siinä vaiheessa, kun sitä yritetään ladata ulkomaalaiseen puhelimeen.
Asiakas otti välittömästi yhteyden pankkiin huomattuaan tulleensa huijatuksi. Asiakas katsoo noudattaneensa maksuvälineen suhteen erityistä varovaisuutta ja että pankki on korvausvelvollinen asiassa.
Pankin vastine
Asiakas on 29.5.2022 klo 15.31 kirjautunut ilmeisesti WhatsAppissa saamansa linkin kautta huijaussivulle pankkitunnuksillaan. Asiakkaan tililtä on suoritettu ensin klo 15.35 2.000 euroa asiakkaan toiselle tilille (ei siis aiheuttanut tappioita), jonka jälkeen suoritettu kaksi korttimaksua:
29.05.2022 klo 15.37 transak.com -1300 EUR
29.05.2022 klo 15.44 transak.com -700 EUR
Molemmat korttitapahtumat ovat olleet etämaksuja ja ne on vahvistettu asiakkaan pankin tunnistussovelluksella, mikä on vahva sähköinen tunnistusväline. Korttimaksut ovat edellyttäneet sitä, että asiakas on luovuttanut kortin tiedot huijarille ja maksut on hyväksytty asiakkaan pankkitunnuksilla, jotka ilmeisesti ovat olleet huijarin hallussa. Klo 16.04 asiakas ollut yhteydessä pankin korttien sulkupalveluun, jossa pankkitunnukset ja kortti on suljettu.
Pankin järjestelmätietojen perusteella pankin tunnistussovelluksen aktivoiminen rikollisen puhelimeen on edellyttänyt, että rikollisella on ollut tiedossaan asiakkaan käyttäjätunnuksen ja salasanan lisäksi tunnistussovelluksen aktivointikoodi, joka on lähetetty asiakkaan puhelimeen tekstiviestillä. Heti sovelluksen aktivoinnin hyväksymisen jälkeen asiakas on vielä saanut sovelluksen aktivoinnista kertovan viestin, joka on lähetetty myös asiakkaan sähköpostiin. Tekstiviestit on lähetetty tapahtumapäivänä pankin toimittaman luettelon mukaisesti.
Asiakas on väittänyt, ettei ole saanut yhtään tekstiviestiä pankilta. Pankin järjestelmätiedot kuitenkin osoittavat, että pankin tunnistussovelluksen aktivointikoodin sisältämiä tekstiviestejä on lähetetty tapahtumapäivänä yhteensä viisi, joista yksi on lähetetty asiakkaan itse tekemän sovelluksen latauksen perusteella. Järjestelmätietojen perusteella tekstiviestien lähetys on onnistunut. Lisäksi sovelluksen aktivointien jälkeen asiakas on saanut puhelimeensa myös tekstiviestit aktivointien onnistumisesta. Tekstiviestin kieli määräytyy sovellusta käyttävän puhelimen kielisasetusten perusteella, joten kielenä on ollut todennäköisesti englanti niiden tekstiviestien osalta, jotka on lähetetty rikollisen ladattua sovelluksen ja aktivoitua sen. Asiakas on ladannut ja aktivoinut pankin tunnistussovelluksen uudelleen puhelimeensa tämän jälkeen.
Pankki viittaa maksupalvelulain 52 ja 53 §:iin sekä onlinepalveluihinsa sovellettaviin sähköisen asioinnin ehtoihin ja yleisiin henkilöasiakkaiden korttiehtoihinsa. Pankin verkkosivuilla olevassa turvallisuusohjeessa on varoitettu mm. seuraavasti: "Älä koskaan luovuta pankkitunnuksiasi kenellekään tai syötä niiden tietoja tekstiviestillä, puhelinsoitolla tai sähköpostilla tulleen pyynnön perusteella."
Asiakas on saanut pankilta tekstiviestin liittyen pankin tunnistussovelluksen aktivointiin, jossa on varoitettu huijausmahdollisuudesta ja nimenomaisesti kielletty jakamasta koodia ulkopuolisille. Asiakkaan olisi tullut ymmärtää viimeistään siinä vaiheessa, kun hän on syöttänyt pankin tunnistussovelluksen aktivointikoodin, ettei kyse ole normaalista tunnistautumisesta. Aktivoinnin jälkeen asiakas on saanut toisen viestin, jossa on myös pyydetty ottamaan yhteyttä pankkiin, jos asiakas ei ole itse aktivoimassa sovellusta. Pankki katsoo, että asiakkaalla on käyttäessään pankin palveluita velvollisuus reagoida pankin lähettämiin viesteihin, sillä niiden avulla pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista. Jos asiakas ei ole ymmärtänyt viestin sisältöä, olisi hänen siinä vaiheessa tullut keskeyttää kirjautuminen ja varmistua tekemiensä toimien asianmukaisuudesta. Asiakas on antanut ulkopuoliselle myös korttitietonsa, vaikka niiden luovuttamista ei tarvita, jos tarkoitus on ollut siirtää varat asiakkaalle. Korttia käytetään siihen sovellettavien sopimusehtojenkin perusteella vain maksamiseen, ei maksujen vastaanottamiseen. Kortin tietojen luovuttaminen kolmannelle on ollut korttiehtojen vastaista ja katsottava joko tietojen tietoiseksi luovuttamiseksi kolmannelle tai selvästi piittaamattomaksi suhtautumiseksi maksuvälineen hallintaan ja sen käyttöön liittyviin turvallisuusriskeihin.
Pankin näkemyksen mukaan korttitietojen ja aktivointikoodin luovuttaminen WhatsAppissa tapahtuneen pyynnön perusteella osoittaa selkeää piittaamattomuutta kortin ja siihen liittyvien turvatunnusten turvalliseen käyttöön. Asiakkaan menettely on ollut kokonaisuutena arvioiden törkeän huolimatonta, minkä takia hän vastaa itse aiheutuneesta vahingosta.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkinnan päätös (2.6.2022)
- Pankin selvitys asiakkaalle 29.5.2022 lähetetyistä tekstiviesteistä
- Yleiset korttiehdot henkilöasiakkaille
- Sähköisen asioinnin ehdot - Onlinepalvelut
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]
Pankin henkilöasiakkaiden yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Määritelmät-kohdan mukaan:
Näissä korttiehdoissa tarkoitetaan:
[…]
Tunnisteella sähköisessä asioinnissa henkilön tunnistamisen ja allekirjoituksen välinettä, joka on pankin hyväksymä (esimerkiksi verkkopankkitunnukset tai kortin tunnusluku).
Korttiehtojen Kortin omistus- ja käyttöoikeus -kohdan mukaan
[…] Korttia saa käyttää vain luottotilissä olevan luottorajan tai pankkitilillä olevien varojen ja muiden sopimusehtojen puitteissa. […]
Korttiehtojen Korttien pääominaisuuksia ja käyttötapoja -kohdan MasterCard -kortit -alakohdan mukaan
Debit Mastercard-korttia ja Mastercard -luottokorttia voidaan käyttää maksuvälineenä niissä Suomessa ja ulkomailla sijaitsevissa maksunsaajan palvelupisteissä, jotka vastaanottavat kyseisellä Mastercard-kortilla tehtäviä maksuja. […]
Kortilla voi Suomessa nostaa käteistä rahaa käteisautomaateista ja ulkomailla Mastercard-järjestelmään kuuluvista automaateista.
Lisäksi kortilla voi nostaa rajoitetusti käteistä kauppojen kassalta. […]
Korttiehtojen Kortin käyttö -kohdan Kortin, tunnusluvun ja muun tunnisteen käyttö -alakohdan mukaan
[…] Maksamisen yhteydessä kortinhaltijan on luovutettava kortista tietoja
· joko asettamalla kortti fyysisesti maksupäätteen tai muun vastaavan kortinlukijan taikka laitteen luettavaksi tai
· antamalla etämaksamisen [esimerkiksi verkkomaksut, puhelinmyynti ja postimyynti) yhteydessä kortista tarkistetietoina sen numero, voimassaoloaika ja sitä kysyttäessä kortin kääntöpuolella oleva kolminumeroinen turvaluku. Etämaksamisessa ei välttämättä vaadita tunnusluvun käyttöä tai kortinhaltijan allekirjoitusta, vaan tunnisteella ja korttiin liitettyjä tarkisteita tai muita vastaavia menettelyjä käyttämällä tehty korttitapahtuma sitoo kortin haltijaa.
Pankki voi kortinhaltijan tunnistamiseksi edellyttää lisäksi erillistä vahvistamismenettelyä, joka saattaa vaihdella maksamistavasta riippuen.
[…]
Kortinhaltija hyväksyy tekemänsä sopimukset ja sitoutuu maksamaan korttitapahtumista ja varojen siirroista syntyneet saatavat pankille
· allekirjoittamalla maksu- tai myyntitositteen, joka vastaa tunnusluvun käyttöä,
· käyttämällä korttia yhdessä tunnusluvun tai muun tunnisteen kanssa,
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua [esimerkiksi paikoitusautomaatti tai käyttämällä lähimaksuominaisuutta) tai
· luovuttamalla kortin maksamis- ja/tai tarkistetiedot muulla vastaavalla tavalla (esimerkiksi etämaksamisessa).
Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltija voi käyttää Verified by Visa -palvelua ja Mastercard-kortinhaltija Mastercard Secure Code -palvelua Internetin välityksellä tehtävien ostojen maksamiseen. […]
Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortinhaltija sitoutuu säilyttämään ja käsittelemään korttia, siihen liittyvää tunnuslukua ja kortin käyttöön liittyvää muuta tunnistetta huolellisesti ja turvallisesti siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. […]
Korttiehtojen Ilmoitusvelvollisuus -kohdan mukaan
Kortinhaltijan ja/tai tilinomistajan on viipymättä ilmoitettava pankille, jos
· kortti tai siihen liittyvä tunnusluku tai muu tunniste katoaa tai
· on syytä epäillä, että jokin niistä on joutunut tai saattanut joutua sivullisen tietoon tai haltuun tai
· korttia on saatettu käyttää oikeudettomasti taikka
· kortti on esimerkiksi jäänyt automaattiin.
[…]
Pankin onlinepalveluja koskevien sähköisen asioinnin ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Sähköinen tunnistaminen ja sähköinen allekirjoitus -kohdan mukaan:
Online-palvelua voi käyttää Pankin hyväksymillä tunnisteilla, kuten pankkitunnuksilla. Tunniste on luonnollisen henkilön ja sähköisen allekirjoittamisen väline.
Kun asiakas tai käyttäjä ottaa yhteyttä Pankkiin, Pankki tunnistaa tunnisteella asiakkaan ja käyttäjän ja asiakas ja käyttäjä tunnistavat Pankin. Tunnisteen käyttö vastaa asiakkaan ja käyttäjän tunnistamista perinteisestä henkilöllisyyttä osoittavasta asiakirjasta (sähköinen tunnistaminen). […]
Pankkitunnusehtojen Tunnisteen säilyttäminen ja katoamisvastuu -kohdan mukaan:
Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. […]
Asiakas ja käyttäjä sitoutuvat säilyttämään Pankin hyväksymät tunnisteet niiden käyttöohjeiden mukaan huolellisesti ja siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. Pankkitunnusten salaista salasanaa on aina säilytettävä erillään muista tunnistautumisvälineistä, mieluiten vain muistissa. Kun asiakas tai käyttäjä saa uudet pankkitunnukset, Pankin antama salasana on heti vaihdettava.
Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä. Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
Asiakkaan tai käyttäjän on heti ilmoitettava Pankille, jos hän tietää tai epäilee, että pankkitunnusten salainen salasana, tunnistussovelluksella varustettu puhelin tai muu mobiililaite, tunnuslukulaite, pikatunnistuksella varustettu puhelin tai muu vastaava tunnistetieto, jota voi käyttää väärin, on joutunut sivullisen tietoon tai haltuun. […]
Pankkitunnusehtojen Turvallisuus ja tietoturva -kohdan mukaan
Pankin verkkosivuilla on tietoa online-asioinnin turvallisuudesta. Tietoja kulloinkin vallitsevien tietoturvauhkien edellyttämistä tarpeellisista laite- ja ohjelmistovaatimuksista löytyy myös Viestintäviraston Internet-sivuilta.
[…]
Turvallisen asioinnin varmistamiseksi Pankki suosittelee, että asiakas ja käyttäjä
- lukevat säännöllisesti Pankin ja Viestintäviraston Internet-sivujen turvallisuusohjeita
- pyrkivät kaikin kohtuullisin keinoin varmistamaan, että heidän käyttämänsä laitteet, ohjelmat, järjestelmät ja tarpeelliset tietoliikenneyhteydet ovat riittävät turvalliset sekä ne ja tarpeelliset tietoturvaohjelmat on päivitetty säännöllisesti.
Pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista joko asiakkaan tai käyttäjän antamien yhteystietojen perusteella asiakkaalle tai käyttäjälle tai yleisesti pankin sähköisissä kanavissa.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
[…]Pankkitunnukset = pankin tarjoamat tunnisteet, jotka koostuvat tunnistautumisvälineistä ja yksilöivistä tiedoista tai ominaisuuksista, ja jotka yhdessä käytettyinä muodostavat palvelussa tunnistautumiseen tarvittavat tunnisteet sekä tunnistamisen ja todentamisen välineet. Pankin eri jakelukanavissa voidaan käyttää kanavakohtaisia tunnistautumisvälineitä.[…]
Tunniste = pankkitunnukset tai muu Pankin hyväksymä tunnisti, jolla asiakas tai käyttäjä tunnistetaan sähköisesti ja jolla voi tehdä sähköisen allekirjoituksen.[…]
Tunnistuspalvelu = palvelu, jossa asiakas tai käyttäjä voi tunnisteella tunnistautua sähköisesti ja tehdä sähköisiä allekirjoituksia asioidessaan kolmannen osapuolen kanssa, kuten tunnistussovellus.[…]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kaksi korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin tunnistussovelluksella tehtyä vahvistusta.
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo riidattomaksi, että asiakas avannut hänelle lähetetyssä WhatsApp-viestissä olleen linkin, josta avautuneilla rikollisten luomilla postin sivuilta näyttävillä valesivuilla asiakas syöttänyt korttitietonsa ja on kertomansa mukaan kirjautunut. Pankkilautakunta katsoo todennäköiseksi, että asiakas on tunnistautumistarkoituksessaan syöttänyt pankkitunnustensa käyttäjätunnuksen ja salasanan valesivuille, joiden kautta tiedot ovat päätyneet rikollisille. Rikolliset ovat tiedot saatuaan syöttäneet ne omalle laitteelleen lataamalleen pankin tunnistussovellukseen, minkä seurauksena pankki on lähettänyt asiakkaalle tekstiviestitse 29.5.2022 klo 15.29 tunnistussovelluksen aktivointikoodin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"[Pankin tunnistussovellus] Activation Code
If you´re not trying to activate [pankin tunnistussovellus], please contact us immediately.
Remember, we´ll never ask for you for this code, but a fraudster would, so stay safe and don´t share this code with anyone.
The code to complete your [pankin tunnistussovellus] activation is xxxx]
Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on - asian kiistämisestään huolimatta - syöttänyt myös em. viestissä olleen aktivointikoodin valesivuille, joiden kautta koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä pankin tunnistussovelluksen. Pankki on tämän jälkeen vielä ilmoittanut sovelluksen aktivoimisesta asiakkaalle tekstiviestillään 15.31:
”Great news, you´ve succesfully activated [Pankin mobiilisovellus].
If you´re not the one trying to activate [pankin mobiilisovellus] and you have received this message, please contact us immediately.
Kind regards
[Pankki]”
Aktivoituaan pankin tunnistussovelluksen omalle laitteelleen rikolliset ovat asiakkaalta saatuja korttitietoja käyttäen ja pankin tunnistussovelluksella vahvistaen tehneet ko. korttimaksut klo 15.37 ja 15.44.
Asiakkaan menettelyn arviointi
Korttiehtojen mukaan korttia saa käyttää vain sopimusehtojen puitteissa. Edelleen korttiehtojen mukaan korttia voi käyttää maksuvälineenä maksunsaajan palvelupisteissä ja internetin välityksellä tehtävien ostojen maksamiseen. Lisäksi kortilla voi nostaa käteistä automaateista ja rajoitetusti kauppojen kassalta. Pankkitunnusehtojen mukaan pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä. Ehtojen mukaan tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
Pankkilautakunta toteaa, että korttiehtojen mukaan korttia voi siis käyttää internetin välityksellä tehtävien ostojen maksamiseen, mutta ehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille, ja pankkitunnusehtojen mukaan tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan maksun vastaanottamista varten hänelle WhatsApp-viestissä lähetetyn linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka WhatsApp-viestissä olleen linkin kautta avautuneet sivut olisivat näyttäneet aidoilta postin sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.
Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Lautakunta katsoo, että em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta varoitetaan huijauksista. Mikäli asiakas olisi tuossa tilanteessa ottanut viestissä olleen ohjeen mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Lautakunta katsoo myös, että vaikka asiakas ei olisi ymmärtänyt englanninkielisen tekstiviestin sisältöä ja siinä olleen koodin tarkoitusta, olisi hänen siinäkin tapauksessa tullut ymmärtää keskeyttää asiointinsa.
Asiakas on kiistänyt vastaanottaneensa em. tekstiviestiä, mutta lautakunta on jo edellä katsonut, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on viestin saanut ja on syöttänyt viestissä olleen koodin valesivuille. Asiakkaan kertoman perusteella jää epäselväksi, onko asiakas lukenut pankilta saamansa tekstiviestin sisältöä ja missä tarkoituksessa hän on ymmärtänyt käyttävänsä aktivointikoodia sitä valesivuille laittaessaan.
Aiemman ratkaisukäytäntönsä mukaisesti Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa – asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle WhatsApp-viestillä lähetetyn linkin kautta avautuneilla sivuilla – asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Ahlroth, Atrila, Piilo, Tervonen