Tapahtumatiedot
Asiakas on saanut 6.7.2022 klo 9.30 pankin nimissä lähetetyn tekstiviestin:
”Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa https://arvostelu-[pankki].com/tuki/”
Em. tekstiviesti on tullut asiakkaan puhelimessa samaan ketjuun pankin aiemmin lähettämien aitojen viestien kanssa. Tekstiviestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla asiakas on käyttänyt pankkitunnuksiaan.
Asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja luku tunnuslukutaulukosta) sekä pankin asiakkaan puhelinnumeroon 6.7.2022 klo 10.08 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen rikolliset ovat ladanneet ja ottaneet käyttöönsä laitteelle iPhone 8 asiakkaan nimissä olevan pankin mobiilisovelluksen 6.7.2022 klo 10.10. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 5038 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]".
Em. mobiilisovelluksella vahvistaen asiakkaan tililtä on tehty 6.7.2022 kello 10.23-11.26 kuusi oikeudetonta tilisiirtoa yhteisarvoltaan 9.600,00 euroa. Asiakkaan pankkitunnukset on suljettu 11.07.2022 kello 06.54.
Asiakkaan valitus
Asiakas vaatii pankkia korvamaan varastetut 9.600 euroa.
Asiakas matkusti yksin ulkomaille Sveitsiin, ja siellä ollessaan sai tekstiviestin, jossa luki "Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa ....". Viesti oli hyvin aidonoloinen, ja koska asiakas oli ulkomailla, vaikutti myös mahdolliselta, että jotain epänormaalia on tapahtunut ja asiakkaan tulisi toimia nopeasti. Viestiä säikähtäneenä ensimmäinen ajatus oli, että viestin ohjeita tulee totella, joten asiakas meni viestin ohjeiden mukaan linkin sivulle. Tämä vei pankin kirjautumissivulta erehdyttävästi näyttävään paikkaan, jossa piti kirjautua sisään verkkopankkitunnuksilla. Sivusta ei voinut päätellä kyseessä olevan huijaussivusto. Asiakas syötti sisään verkkopankkitunnuksensa, jonka jälkeen sai pankilta viestinä vahvistuskoodin, joka piti syöttää verkkosivulle. Vahvistuskoodi oli ilmeisesti pankin mobiilisovelluksen rekisteröimistä varten. Tämä ei kuitenkaan ollut selvää, joten asiakas ei osannut epäillä huijausta.
Tässä kohtaa asiakas ajatteli asian olevan kunnossa, ja vietti loppulomansa rauhassa. Suomeen palatessaan asiakas huomasi, että tili oli tyhjentynyt. Heti seuraavana aamuna pankin asiakaspalvelun avautuessa asiakas soitti kortin sulkupalveluun.
Asiakkaan mielestä pankin päätös on väärä. Asiakas ei ollut tunnusten kanssa törkeän huolimaton, ja pankilla on osavastuu tapahtumista. Tämä erityisesti seuraavista syistä:
Asiakas on muuttanut maaliskuussa Suomeen, ja monet pankkeihin liittyvät käytännöt ovat asiakkaalle vieraita. Erityisen tärkeänä asiakas pitää sitä, että hän ei puhu juurikaan suomea. Kaikki pankin tiedotus, mukaan lukien asiakkaan saamat tekstiviestit ja mahdolliset varoitukset huijausyrityksistä, ovat suomen kielellä. Myös verkkopankki on kokonaan suomen kielellä. Viestien kääntäminen johtaa helposti epäselviin lauseisiin ja väärinymmärryksiin. Monilla muilla pankeilla verkkopankki ja tiedotus on myös englannin kielellä, mikä helpottaa huomattavasti asiakkaan toimimista. Verkkopankissa asioiminen ja sen käyttäminen on hyvin sekavaa, kun kaikki pitää erikseen kääntää. Tämän johdosta on sekavaa myös se, mitkä ovat verkkopankkiin liittyen ns. normaaleja käytäntöjä. Suomea ymmärtämättömänä myös suomenkielisen median seuraaminen on hyvin rajoitettua. On siis selvää, miksi asiakas ei ole ollut tietoinen huijausyrityksistä.
Pankin ei myöskään pitäisi edellyttää, että asiakas ymmärtää heidän viestinsä täydellisesti. Suomea tai ruotsia puhumaton henkilö tekee parhaansa saatavilla olevin keinoin, mutta jos se epäonnistuu, ei se johdu hänen törkeästä huolimattomuudestaan. Kääntäjän palkkaaminen tai pankkiin soittaminen jokaisen pankin viestin jälkeen ei ole realistinen mahdollisuus. Muut pankit kyllä tarjoavat palveluitaan englanniksi.
Koska pankki on tietoinen siitä, että rikolliset esiintyvät pankkina viesteissään, olisi perusteltua, että pankki pitäisi huolta, että kaikki asiakkaat - myös suomea a tai ruotsia puhumattomat – pystyvät tunnistamaan, milloin viesti on huijausta ja milloin ei. Muutoin pankki ottaa riskin, että asiakas tekee ymmärrettävän virheen.
Suomen kieltä osaavalle pankin mobiilisovellusta koskeva viesti on selkeä. Suomea osaamattomalle viestistä ei selkeästi pysty päättelemään kyseessä olevan huijaus. Pankilta on tullut aikaisemminkin vahvistuskoodeja tekstiviestinä, joten pelkästään tällaisen viestin saaminen ei herätä epäilyksiä. Toisaalta kääntäessä viestiä kääntäjällä, viestin yksityiskohdat jäävät tulkinnanvaraisiksi, mikä huomattavasti vaikeuttaa mahdollisuutta arvioida, onko kyseessä huijaus vai ei. Arviointia vaikeuttaa myös se, että tilanteessa on joutunut toimimaan nopeasti ja säikähtäneenä. Käännettäessä viesti kääntäjällä äidinkielelle, todetaan viestissä oleellisesti:
"[Pankin mobiilisovellus] applikaatio on annettu tällä numerolla. Jos käytät [pankin mobiilisovellusta], syötä vahvistuskoodi xxxx [pankin mobiilisovelluksessa]. Älä kommunikoi tätä koodia toiseen applikaatioon tai *toiselle* internet-sivulle. *Jos et käytä [pankin mobiilisovellusta] *, ota yhteys [pankkiin]."
Tästä käännetystä viestistä ei tule millään tavoin esille, että pankin mobiilisovellusta ollaan ottamassa käyttöön toisessa puhelimessa. Viimeinen lause ei herätä epäilystä, koska asiakkaallahan on käytössä pankin mobiilisovellus. Toisaalta toisessa lauseessa todetaan, ettei annettua koodia pidä toimittaa "toiselle" internetsivulle. Käännetystä viestistä on pääteltävissä, että on OK syöttää koodi sille sivulle, josta tämä pankin viesti on aktivoitunut, mutta ei muille sivuille. Huijaussivustolla kysyttiin koodia, joten käyttäjänä on ilmeistä, että asiakas odottaa pankin lähettävän asiakkaalle koodin, joka pitää syöttää internet-sivulle. Näillä tiedoilla ja tulkinnanvaraisilla käännetyillä pankin viesteillä on ollut hyvin hankala kyseenalaistaa sivuston aitoutta. Asiakas ymmärtää, että pankki ei ole velvollinen tarjoamaan palvelua englanniksi, mutta hän ei voi katsoa toimineensa edes huolimattomasti.
Mobiilisovellus on rekisteröity iPhone 8 -laitteelle, mutta tämä yksityiskohta ei tule kuitenkaan ilmi mistään viesteistä. Asiakas kuuli asiasta ensimmäisen kerran ilmoittaessaan tapahtumaa pankille. Asiakas ei ole siis voinut olla tietoinen, että sovellus on yritetty rekisteröidä iPhone 8 -puhelimeen.
Asiakas on tätä tehdessä joutunut toimimaan säikähtäneenä parhaan tietonsa mukaan käännösten pohjalta, jotka on tulkittavissa vaarattomiksi. Toisaalta käännetty viesti on ollut riittävän hyvä siihen, että asiakas on ymmärtänyt kyseessä olevan tarvittu vahvistuskoodi, jota pankkia imitoinut sivu on kysynyt, eikä asiakkaalle ole ollut syytä ottaa pankkiin yhteyttä. Mikään käännetyn viestin yksityiskohdista ei anna selkeästi ymmärtää, että kyseessä on huijaus, tai että pankin mobiilisovellusta yritetään ottaa käyttöön vieraassa laitteessa. Kyseessä ei ole asiakkaan törkeä huolimattomuus, vaan ikävä seuraus siitä, että pankki ei tarjoa asiakkaalle englanninkielistä kanavaa, vaan olettaa asiakkaan osaavan suomea tai ruotsia.
Pankin vastine
Reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella. Mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu 6.7.2022 klo 10.10 laitteelle iPhone 8. Asiakas käyttää laitetta Samsung SM-G991B. Reklamoidut tapahtumat on tehty 6.7.2022 kello 10.23-11.26 ja asiakkaan pankkitunnukset on suljettu 11.07.2022 kello 06.54. Näin ollen kaikki reklamoidut tapahtumat on tehty ennen pankkitunnusten sulkemista.
Asiakkaan syötettyä verkkopankkitunnuksensa huijaussivustolle pankki lähetti asiakkaalle pankin mobiilisovelluksen lataamiseen tarvittavan vahvistusviestin. Vahvistusviesti on lähetetty tekstiviestillä 6.7.2022 klo 10.08 asiakkaan numeroon. Viesti on sisällöltään hyvin yksiselitteinen ja siinä tuodaan selkeästi ilmi se, että kyseessä on pankin mobiilisovelluksen käyttöönottoon tarvittava koodi. Asiakas kertoo selvittäneensä google-kääntäjällä viestin sisältöä, mutta pankki ei ole vastuussa toisen palveluntarjoajan käännöksen laadukkuudesta.
Pankki tarjoaa palveluja suomen ja ruotsin kielellä. Pankin digitaalisia palveluja koskevien asiakasehtojen Asiointikieli-kohdan mukaan
Sopimus tehdään suomeksi tai ruotsiksi. Voit käyttää asioidessasi suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista.
Mikäli asiakas ei ole ymmärtänyt täysin viestin sisältöä, olisi hänen tullut itse huolehtia viestin kääntämisestä tai tiedustella asiaa pankin asiakaspalvelusta. On asiakkaan omalla vastuulla, mikäli hän luottaa google-kääntäjän tarjoamiin käännöspalveluihin asioidensa hoidossa. Pankilla ei ole velvollisuutta tarjota palveluita muilla kielillä kuin suomi ja ruotsi. Asiakas toteaakin, että "Suomen kieltä osaavalle viesti on selkeä."
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen kaikesta oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Asiakas myöntää syöttäneensä verkkopankkitunnuksensa ja pankin mobiilisovelluksen lataamista varten tarkoitetun vahvistuskoodin huijaussivustolle. Pankki katsoo asiakkaan toimineen törkeän huolimattomasti. Asiakas vastaa täysimääräisesti tunnistuslain 27 §:n mukaisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hänen tileiltään tehdyistä tilisiirroista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kaksi kuvakaappausta asiakkaan pankilta ja rikollisilta vastaanottamista tekstiviesteistä samassa ketjussa asiakkaan puhelimessa
- kuvakaappaus pankin sivuilta näyttäviltä sivuilta: Tunnuslukutaulukolla tunnistautuminen
- Google Translate -käännös pankin lähettämän pankin mobiilisovelluksen vahvistuskoodin sisältämästä tekstiviestistä
- Tutkintailmoitus (11.7.2022)
- Asiakkaan sähköposti poliisille ja poliisin sähköposti asiakkaalle
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 9 §:n (Yleissäännös annettavista tiedoista ja ilmoituksista.) 1 momentin mukaan
Palveluntarjoajan on annettava tässä laissa tarkoitetut tiedot ja ilmoitukset maksupalvelun käyttäjälle selkeässä ja helposti ymmärrettävässä muodossa. Jolleivät osapuolet sovi muun kielen käyttämisestä, tiedot ja ilmoitukset on annettava suomeksi tai ruotsiksi taikka, jos maksupalvelua tarjotaan muualla kuin Suomessa, kyseisen valtion virallisella kielellä.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Asiointikieli -kohdan mukaan
Sopimus tehdään suomeksi tai ruotsiksi. Voit käyttää asioidessasi suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista.
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone 8 -laitteelleen. Tämän johdosta pankki on lähettänyt 6.7.2022 klo 10.08 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 5038 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]".
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee tunnusten väärinkäyttöä. Asiakkaan mukaan suomen kieltä osaavalle pankin mobiilisovellusta koskeva viesti on selkeä, mutta asiakas on vedonnut mm. siihen, että hän ei ymmärrä suomen kieltä, mikä on vaikeuttanut huomattavasti hänen mahdollisuuttaan ymmärtää pankin viesti oikein ja minkä vuoksi hän ei myöskään ole ollut tietoinen huijauksista.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta katsoo, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään. Mikäli asiakas ei kuitenkaan ymmärrä asiakkaan ja pankin välillä sovittua asiointikieltä, on lautakunnan näkemyksen mukaan huolellisen asiakkaan vastuulla, että hän varmistuu siitä, mitä pankki hänelle pankkitunnusten käyttämistä edellyttävän asioinnin yhteydessä viestii. Viime kädessä, mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, olisi hänen lautakunnan näkemyksen mukaan huolellisesti toimiessaan keskeytettävä asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.
Edellä todettuun viitaten lautakunta katsoo, että asiakkaan olisi tässä tapauksessa vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta.
Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheejontaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen