Haku

FINE-051519

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-051519 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 24.05.2023

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin mobiilisovelluksella vahvistetuista maksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus. Yksinkertaistettu menettely.

Tapahtumatiedot

Asiakas on ollut verkossa myymässä saappaita, kun hän on joutunut petoksen uhriksi. Rikolliset ovat ladanneet ja aktivoineet käyttöönsä Samsung SM-A217F -laitteelle asiakkaan nimissä olevan pankin mobiilisovelluksen 11.6.2022 klo 17.36. Mobiilisovelluksen käyttöönotto on edellyttänyt asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle 11.6.2022 klo 17.37 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 9393 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]"

Asiakkaan korttitiedoilla ja em. pankin mobiilisovelluksella vahvistaen on verkossa tehty 11.6.2022 kello 17.43-19.24 kolme korttimaksua yhteisarvoltaan 5.632,71 euroa. Korttimaksujen lisäksi rikolliset ovat tehneet pankin mobiilisovellusta käyttäen asiakkaan käyttötililtä yhteensä 4.646,00 euron siirrot hän korttiluottotililleen, jolta em. korttimaksut on tehty.

Poikkeukselliset maksut huomattiin pankin maksujen monitoroinnissa ja pankki sulki asiakkaan kortin 11.6.2022 klo 19.52.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 5.298,71 euroa.

Asiakas myi Tori.fi:ssä mp-ajosaappaita. Asiakkaaseen otettiin yhteyttä WhatsApp-viestillä, että voisi ostaa saappaat ja hänellä on ilmainen kuljetuspalvelu. Torin nimissä olevassa linkistä aukesi lomake, joka asiakkaan piti täyttää (nimi, osoite, puhelin, pankkikorttitiedot). Lähetin piti sopia aika, koska saappaat noudetaan, kun lomake on vastaanottajalla. Soittoa ei kuulunut.

Muutaman kerran asiakas kävi mobiilipankissa katsomassa, näkyykö tilillä saappaista raha. Asiakkaasta huijaus tapahtui, kun asiakkaan puhelimeen tunkeuduttiin ja saatiin tilin kirjautumistunnus ja näin myös kaikki rahansiirrot päästiin tekemään. Asiakas ei osannut aavistaa tätä eikä käynyt tilillään. Kaiken lisäksi tapahtuma ajoittui viikonloppuun, jolloin pankkikaan ei ole auki. Sunnuntaina asiakas sulki kortin ja maanantai-aamuna soitti pankkiin. Asiakas meni itse pankkiin varmistamaan, mitä tilillä oltiin operoitu. Virkailija täytti asiakkaan puolesta korttireklamaation, tilasi uudet tunnukset ja sulkupalvelussa tilattiin uusi kortti. Virkailija myös sanoi, että tämä ei missään tapauksessa ole asiakkaan syy, ja asiakas peräänkuuluttaa näiden sanojen takana pysymistä. Asiakkaalle tuli muutamia pankin nimissä olevia tekstiviestejä, joihin asiakas ei uskaltanut reagoida. Ilmeisesti uusia tietojen kalasteluja, uhkauksia tilini sulkemisesta yms.

Pankissa katsotaan, että asiakas on luovuttanut salasanansa, tunnuslukutaulukkonsa yms. ja siksi vastuu on asiakkaan, vaikka näin asia ei ole. Asiakas ei ole antanut tunnuksiaan kenellekään ulkopuoliselle eikä vahvistanut mitään siirtoja tililtään.  Siirrot eivät myöskään ole asiakkaan puhelimesta.

Asiakas edellyttää, että pankissa on riittävät turvatoimet ja vahvat tunnistautumiset sekä maksujen vahvistukset. Kesän aikana tapahtui useita huijauksia pankissa ja myös hyödynnettiin mahdollisuutta kirjautua toisen asiakkaan verkkopankkiin. Pankin turvataso on ollut kesällä niin alhainen, että ulkopuolinen on päässyt tekemään siirtoja asiakkaan tililtä luotolle ja sitä kautta siirtämään rahat. Ainakin muissa pankeissa ulkomaille siirrettävät maksut vaativat tuplavahvistuksen.

Asiakas löysi jälkeenpäin puhelimestaan viestejä, jotka ovat sopivia noille ajankohdille. Asiakkaalle on tullut tekstiviestejä kahdesta eri pankin osoitteesta eikä asiakas tiedä, kummat ovat aitoja. Joka tapauksessa asiakas ei muistinsa mukaan ole antanut vahvistuskoodeja eteenpäin.

Pankin vastine

Pankille tekemässään reklamaatiossa asiakas kertoo, että "Ostaja olikin huijari, joka sai kalasteltua tietoonsa luottokorttini tiedot sekä verkkopankin tiedot". Myöhemmin asiakas kuitenkin kiistää luovuttaneensa verkkopankkitunnuksiaan rikolliselle.

Reklamoidut tapahtumat ovat korttimaksuja. Maksut on tehty maksukortin tiedoilla ja vahvistettu Visa Secure -tunnistuspalvelussa pankin mobiilisovelluksen tunnistamisella. Mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteella Samsung SM-A217F 11.6.2022 kello 17.36. Asiakas kertoo käytössään olevan Samsung Galaxy A71 -laite.

Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja yksi sattumanvaraisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä 11.6.2022 klo 17.37 asiakkaan numeroon.

Reklamoidut tapahtumat on tehty 11.6.2022 kello 17.43-19.24 välisenä aikana. Poikkeukselliset maksut huomattiin pankin maksujen monitoroinnissa ja pankki sulki asiakkaan kortin 11.6.2022 klo 19.52. Asiakas itse sulki kortin ja tilasi uuden maksukortin 12.6.2022 kello 22.43.

Asiakas on luovuttanut korttinsa maksutiedot huijaussivustolle, vaikka on itse ollut vastaanottamassa maksua. Rikosilmoituksessa asiakas kertoo olettaneensa, että kuljetusfirma tarvitsee hänen osoitetietonsa lisäksi myös hänen pankkikorttinsa tiedot. Huolellisesti toimivan keskivertokuluttajan voidaan olettaa ymmärtävän, että korttitietoja tai pankkitunnuksia ei tarvita maksun vastaanottamiseen tai kuljetusfirman ohjaamiseen oikeaan osoitteeseen. Näin ollen asiakkaan toimintaa voidaan pitää huolimattomana.

Tori.fi asiakaspalvelun etusivulla on varoitus:
"Hyvä torittaja! Varo tekstiviestitse/WhatsAppilla tulevia huijauksia! Torilla ei ole omaa maksujärjestelmää tai kuriiri- tai kuljetuspalvelua. Jos sinua kaupanteon yhteydessä pyydetään vahvistamaan maksu linkin kautta, antamaan maksutietosi tai sinut ohjataan Torin maksusivustolle, älä suorita maksua vaan ota yhteys Tori-tukeen."
Lisäksi tori.fi-huijauksista on ollut uutisointia mediassa jo pidemmän aikaa.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Maksujen vahvistamiseen käytetyn pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja tunnuslukutaulukon tunnusluku sekä tekstiviestillä asiakkaan omaan puhelinnumeroon lähetetty vahvistuskoodi. Pankki katsoo, että asiakkaan on täytynyt luovuttaa verkkopankkitunnuksensa ja pankin mobiilisovelluksen latauskoodin kolmannelle.

Asiakas on luovuttanut verkkopankkitunnuksensa pankin digitaalisia palveluja koskevien ehtojen nimenomaisen kiellon vastaisesti verkkosivulle, johon sai linkin tekstiviestillä. Asiakas oli mielestään vahvistamassa tietojaan kuriiripalvelua varten paketista, jota oli myymässä, mutta silti käytti pankin tekstiviestillä lähettämää koodia, joka selkeän sanamuotonsa mukaan tarvittiin pankin mobiilisovelluksen käyttöönottoon ja jota viestin mukaan ei voi käyttää verkkopankkiin kirjautumiseen.

Yllä todetusti, asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakkaan on täytynyt toimia törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan sekä tehdessään maksuvälineen katoamisilmoitusta ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Kopio verkossa tehdystä rikosilmoituksesta
  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
  • Pankin korttiehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin käyttötavat -kohdan mukaan
Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.

Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.

Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan
Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.

Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]

Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan
Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kolme korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön WhatsAppin kautta lähettämässä viestissä olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille tunnistautumistarkoituksessa taikka vahvistaakseen antamansa tiedot tai maksun vastaanottamisen.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka ostajaehdokas olisi ollut uskottava ja linkin kautta avautuneet sivut olisivat näyttäneet aidoilta tori.fi:n sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Mikäli asiakas olisi tuossa tilanteessa esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että vaikka em. tekstiviestissä ei esimerkiksi varoiteta väärinkäytöksistä, todetaan viestissä kuitenkin, että viestissä ollutta vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon ja ettei koodilla voi kirjautua verkkopankkiin.

Pankkilautakunta on antanut 30.11.2022 tapahtumatiedoiltaan vastaavanlaisessa tapauksessa FINE-049778 ratkaisun, jossa lautakunta ei suosittanut hyvitystä. Vastaavalla tavalla kuin em. tapauksessa Pankkilautakunta katsoo myös tässä tapauksessa, että asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Tämän päätöksen antoi puheenjohtaja Sillanpää sihteerin esittelystä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä