Tapahtumatiedot
Asiakas on vastaanottanut 14.6.2022 klo 10.56 pankin nimissä lähetetyn ja samassa viestiketjussa pankin lähettämien viestien kanssa tekstiviestin, jossa on lukenut seuraavaa:
"Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa [pankki]-[pankin mobiilisovellus].com"
Asiakas on asioinut viestissä olleen linkin kautta avautuneilla sivuilla.
Asiakkaan kortin luottopuolelta on tehty 14.6.2022 klo 11.14 10.000 euron siirto asiakkaan käyttötilille ja käyttötililtä on tehty asiakkaan korttitietoja käyttäen klo 11.16 ja 11.18 kaksi korttimaksua yhteisarvoltaan 9.583,91 euroa.
Korttimaksut on vahvistettu pankin mobiilisovelluksella, joka on ladattu iPhone XR -laitteelle 14.6.2022 klo 11.02. Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 11.02 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 2452 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan, ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]"
Asiakas sulki pankkitunnuksensa 14.6.2022 klo 12.05 ja pankki sulki asiakkaan kortin 9.8.2022.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan 10.000 euroa.
Tekstiviesti tuli pankin numerosta ja asiakas painoi viestissä ollutta linkkiä, josta avautui todella aidon näköinen pankin sivu. Asiakas laittoi korttinsa tiedot kyseisiin kenttiin, koska viesti antoi ymmärtää, että asiakkaan tilille on lisätty maksunsaaja. Vähän ajan päästä asiakas tajusi, että jokin on pielessä. Asiakas kirjautui pankin mobiilisovellukseen ja juuri sillä hetkellä hän näki rahansa lähtevän luottotililtä omalle tililleen ja sieltä edelleen Binance-sivustolle.
Asiakas on saanut ennenkin viestejä ja pankin takia maksut ovat asiakkaan vastuulla, koska pankki ei osaa turvata omaa numeroaan tai estämään tämänlaisia huijauksia.
Pankin vastine
Tapahtumankulku
Asiakas on vastaanottanut pankin nimissä lähetetyn huijaustekstiviestin 14.6.2022 klo 10.56. Pankille tekemässään reklamaatiossa sekä FINEIle tehdyssä valituksessa asiakas kertoo syöttäneensä tekstiviestin linkin takaa avautuneille huijaussivustolle ainoastaan korttitietonsa. Poliisille tehtyyn rikosilmoitukseen on kuitenkin kirjattu: "[Asiakas] klikkasi viestissä ollutta linkkiä ja hän antoi sinne pankkitunnukset ja luottokorttinsa tiedot."
Tekstiviestin saatuaan asiakas on kertomansa mukaan klikannut huijaussivustolle johtavaa linkkiä ja syöttänyt pankkitunnuksensa ja korttitietonsa linkin takaa avautuneelle huijaussivustolle. Tämän jälkeen 14.6.2022 klo 11.02 pankki on lähettänyt asiakkaan puhelinnumeroon pankin mobiilisovelluksen käyttöönotosta kertovan tekstiviestin.
Asiakas ei ole antanut selvitystä, mitä teki 14.6.2022 vastaanottamalleen pankin mobiilisovelluksen lataukseen tarvittavan koodin sisältämälle tekstiviestille. Kuitenkin, jotta pankin mobiilisovellus on saatu otettua käyttöön roiston iPhone XR -laitteella 14.6., on roiston täytynyt saada asiakkaan puhelinnumeroon toimitettu vahvistuskoodi tietoonsa. Pankki ei siten pidä muuta mahdollisena, kuin että asiakas on antanut myös tekstiviestitse tulleen vahvistuskoodin huijaussivustolle.
Asiakkaan oikeudettomaksi ilmoittamat tapahtumat ovat korttimaksuja, jotka on tehty kortin tiedoilla ja vahvistettu Visa Secure -tunnistuspalvelussa pankin mobiilisovelluksen tunnistamisella. Mobiilisovellus on ladattu iPhone XR laitteelle 14.6.2022 klo 11.02. Oikeudettomat tapahtumat tehtiin aikavälillä 11.16–11.18. Asiakas sulki pankkitunnuksensa 14.6.2022 klo 12.05 ja pankki sulki asiakkaan kortin 9.8.2022. Asiakas on kertonut, että tajusi nopeasti haksahtaneensa huijaukseen ja katsoneensa omasta pankin mobiilisovelluksestaan reaaliajassa rahojensa siirtymistä.
Lopuksi
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Asiakas on luovuttanut verkkopankkitunnuksensa pankin digitaalisia palveluja koskevien ehtojen nimenomaisen kiellon vastaisesti verkkosivulle, johon sai linkin tekstiviestillä. Pankki katsoo myös, että asiakkaan on täytynyt antaa pankin testiviestillä lähettämän vahvistuskoodin pankin sivuja muistuttavalle huijaussivulle. Asiakas oli mielestään kirjautumassa verkkopankkiin estääkseen uuden maksunsaajan lisäämisen, mutta silti käytti koodia, joka selkeän sanamuotonsa mukaan tarvittiin pankin mobiilisovelluksen käyttöönottoon ja jota viestin mukaan ei voi käyttää verkkopankkiin kirjautumiseen. Näillä perusteilla pankki katsoo, että asiakkaan on täytynyt toimia törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 15.6.2022)
- Kuvakaappaus asiakkaan saamista (rikollisten 14.6.2022 klo 10.56 lähettämästä sekä pankin lähettämistä) tekstiviesteistä samassa viestiketjussa
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]
Oikeudenkäymiskaaren 24 luvun 3 §:n 2 momentin mukaan
Asiassa, jossa sovinto on sallittu, tuomiota ei saa perustaa seikkaan, johon asianosainen ei ole vaatimuksensa tai vastustamisensa tueksi vedonnut.
FINEn ohjesääntöä täydentävien FINEn riidanratkaisun käytännesääntöjen 2.2 (Aktiivinen rooli ja väitetaakka) kohdan mukaan
[…]
Finanssialan palveluntarjoajat ovat oman alansa asiantuntijaorganisaatioita. Palveluntarjoajan on vastineessaan ja muissa kirjelmissään esitettävä kaikki asian ratkaisemisen kannalta tarpeelliseksi katsomansa seikat. FINEn toimisto tai lautakunnat eivät käsittelyssään ota huomioon mahdollisia muita palveluntarjoajan kantaa tukevia seikkoja, ellei asiakkaan vaatimus ole ilmeisen perusteeton.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt korttitietojaan ja verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone XR -laitteelleen. Tämän johdosta pankki on lähettänyt 14.6.2022 klo 11.02 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 2452 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan, ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]"
Pankkilautakunta katsoo, että asiassa saadun selvityksen perusteella ei ole muuta mahdollisuutta kuin että asiakas on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet asiakkaalta saatuja korttietoja oikeudetta käyttäen ja em. pankin mobiilisovelluksella vahvistaen.
Sovellettavasta laista
Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on ratkaisussaan FINE-050512 (30.11.2022) arvioinut tämän tapauksen kaltaista rikollisten pankin nimissä lähettämästä tekstiviestistä alkanutta maksuvälineen oikeudetonta käyttöä koskevaa tapausta, jossa pankki on lähettänyt asiakkaalle samansisältöisen mobiilisovelluksen käyttöönottoviestin kuin tässä tapauksessa. Em. tapauksessa lautakunta katsoi huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakkaan syötettyä pankin tekstiviestitse lähettämän koodin linkin kautta avautuneille sivuille huomioimatta tekstiviestin sisältöä Pankkilautakunta katsoi asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Lautakunta kuitenkin kiinnitti erityistä huomiota pankin asiakkaalle lähettämän mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja verraten vähäiseen informaatioarvoon ja katsoi ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas oli sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Ottaen vielä huomioon, että asiakkaan pankilta saama tekstiviesti ei ollut pituudeltaan merkittävästi poikennut tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä ja myös vahvistuskoodi oli ollut samanpituinen kuin verkkopankkiin kirjautuessa, lautakunta piti ymmärrettävänä, ettei asiakkaan huomio ollut rutiininomaisessa kirjautumistilanteessa kiinnittynyt tekstiviestin sanalliseen sisältöön. Pankkilautakunta katsoi asiassa saadun kokonaisselvityksen perusteella, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta osoittanut hänen suhtautuvan selvästi piittaamattomasti pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin ja ettei hänen menettelynsä näin ollen myöskään osoittanut maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Nyt ratkaistavana oleva asia kuitenkin poikkeaa edellä mainitusta, sillä tässä tapauksessa on kyse oikeudettomien tilisiirtojen sijaan oikeudettomista korttimaksuista, joihin on tarvittu myös asiakkaan kortin tiedot. Pankki ei ole kuitenkaan lautakunnalle antamissaan vastauksissa vedonnut kortin käyttöä koskevaan huolimattomuuteen tai korttiehtojen rikkomiseen. Pankki on perustanut kiistämisensä siihen, että asiakas on luovuttanut pankkitunnuksensa ja pankin tekstiviestitse lähettämän vahvistuskoodin pankkitunnusehtojen vastaisesti verkkosivulle, jolle on päätynyt sähköisesti lähetetyn linkin kautta.
Riita-asioissa yleisesti noudatetun väittämistaakan mukaan ne seikat, joihin ratkaisu perustuu, eivät saa poiketa niistä seikoista, joihin asianosaiset ovat vaatimustensa tueksi vedonneet. FINEn riidanratkaisun käytännesääntöjen 2.2 kohdassa on määrätty FINEn toimiston ja lautakuntien noudattamasta taakkasäännöstä. Sen mukaan palveluntarjoajan on esitettävä kaikki asian ratkaisemisen kannalta tarpeelliseksi katsomansa seikat eikä käsittelyssä oteta huomioon mahdollisia muita palveluntarjoajan kantaa tukevia seikkoja, ellei asiakkaan vaatimus ole ilmeisen perusteeton. Edellä mainitun perusteella Pankkilautakunta huomioi asiassa pankkitunnusehtojen rikkomisen, mutta ei mahdollista korttiehtojen rikkomista, johon pankki ei ole lautakunnalle antamissaan vastauksissa vedonnut.
Pankkilautakunta katsoo aiemman ratkaisunsa mukaisesti, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Asiakkaan vastuu maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Lopputulos
Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet
Ahlroth
Atrila
Piilo
Tervonen