Haku

FINE-051743

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-051743 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 01.09.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 14.7.2022 klo 12.21 rikollisten pankin nimissä lähettämän tekstiviestin, joka on tullut asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien viestien kanssa. Tekstiviestissä lukenut seuraavaa:
”Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa [pankki]-Web.com
Asiakas asioi viestissä olleen linkin kautta avautuneilla sivuilla.

Pankin tunnistussovellus on ladattu ja otettu käyttöön 14.7.2022 klo 12.27.02 laitteella iPhone.  Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua avaintunnuskortista sekä pankin asiakkaan puhelinnumeroon 14.7.2022 klo 12.26.28 tekstiviestitse lähettämää vahvistuskoodia. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Pankkitunnuksellasi ollaan ottamassa [pankki] Tunnistus -sovellusta käyttöön mobiililaitteelle. Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id AUBRY ja syötä vahvistuskoodi 723001 [pankki] Tunnistus -sovellukseen. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla 020 333."

Pankin tunnistussovelluksella vahvistaen on tehty lukuisia siirtoja asiakkaan tilien välillä ja maksuja ulkomaille. Ensimmäinen asiakkaan tilien välinen siirto on tehty 14.7.2022 klo 12.30 ja ensimmäinen maksu ulkomaille klo 12.36. Klo 12.43 on vahvistettu 30,00 euron maksu Suomeen. Viimeisin oikeudeton siirto asiakkaan tililtä on tehty klo 12.49.40. Saksaan on tehty seitsemän tilisiirtoa 10.600 euron arvosta.

Asiakas on ottanut yhteyttä pankin asiakaspalveluun ja asiakkaan verkkopankkisopimus on lukittu 14.7.2022 klo 14.15.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan kavalletut varat.

Pankilta tuli tekstiviesti 14.7.2022. Asiakas avasi viestissä olleen linkin, koska viesti tuli pankin numerosta, josta asiakkaalle tulee muutenkin paljon viestejä. Linkki vei normaalille pankin etusivulle ja asiakas kirjautui normaalisti tunnistussovelluksella. Kirjauduttuaan sivulla asiakkaalta kysyttiin jotain kortin numeroa, mutta asiakas oli kaverin luona käymässä eikä hänellä ollut lompakkoaan ja korttia mukana, joten hän sulki sivun. Jonkin ajan päästä asiakkaan ystävä soitti ja kysyi, miksi asiakas on laittanut hänelle 30 euroa, ja samalla asiakas huomasi pankilta tulleen jonkun vahvistustekstiviestin. Asiakas meni heti katsomaan tililleen. Rahat olivat hävinneet. Asiakas soitti pankkiin, tilit suljettiin ja siirrot laitettiin peruutettaviksi, mutta se ei auttanut.

Asiakkaan mielestä huijausviestin sisältö oli niin hyvin muotoiltu, että huijaukseen olisi voinut mennä kuka tahansa, joka ei ole kuullut tämmöisistä huijauksista. Koko tapahtumasarjan ajan asiakas on luullut kirjautuvansa normaalille pankin sivuille.

Asiakas ei ole luovuttanut verkkopankkitunnuksia kenellekään eikä ole missään kohtaa hyväksynyt yhtään maksua kenellekään. Tapahtumahetkellä asiakkaalla ei ole edes ollut mukana avaintunnuskorttia, kun ei ole sitä tarvinnut maksamiseen tunnistussovelluksella. Kyseisellä huijaussivulla ei myöskään kysytty tunnuslukua, eikä aktivointikoodia. Huijareiden on täytynyt saada tunnistussovellus käyttöönsä jollain muulla keinolla (olisiko puhelin voitu saada hakkeroitua?).

Pankki kertoo, että väärinkäytöksistä on tiedotettu verkkopankkiviestein sekä herätteiden ja bannerien avulla, mutta asiakas ei ole omassa mobiilipankissaan huomannut herätteitä, bannereita tai mitään varoituksia kyseisistä huijauksista. Erikoiselta kyllä tuntuu, että kaikki muut viestit ovat säilyneet, mutta pelkästään nuo ryhmäviestit olisivat kadonneet. On mahdollista, että joitain viestejä on asiakkaalta jäänyt lukematta, koska hän on käyttänyt verkkopankkia/pankin sivua erittäin harvoin. Asiakas tutki pankin lähettämiä viestejä ja huomasi pankin lähettäneen viimeksi viestin nettipankkihuijauksista vuonna 2020. Pankki ei voi kuvitella kenenkään muistavan näin vanhoja viestejä. Suurin osa näistä huijauksista voitaisiin estää sillä, että pankki ilmoittaisi tasaisin väliajoin tekstiviesteillä näistä huijauksista, koska sitä kautta heidän nimissään nämä huijausviestit lähetetään ja heiltä tulee ihmisille paljon tekstiviestejä muutenkin. Pankin on aivan turha viitata sosiaalisen median linkkeihin, koska näiden asioiden uutisointi kuuluu pankille itselleen, eikä suuri osa ihmisistä mitään twitteriä yms. käytä. Pankin on myös turha julkaista näistä huijauksista tietoa heidän nettisivuillaan, koska iso osa ihmisistä maksaa kaiken mobiilisovelluksella, eikä pankin sivuilla ole tarvetta käydä. Pankin tehtäviin kuuluu informoida ihmisiä siinä määrin, että näitä huijauksia ei pääse tapahtumaan, ja pankin on aivan turha vedota mihinkään sopimuspykäliin tämmöisissä tapauksissa. Ihmisten rahojen pitäisi olla pankissa turvassa, eikä näin vakavista asioista tiedottaminen voi olla tällä tasolla. Mediaa tulee seurattua tosi vähän niin kuin moni nykynuori muutenkin ja asiakkaan mielestä olisi pankin tehtävä tiedottaa näistä huijauksista.

Asiakas katsoo myös, että pankin olisi pitänyt pystyä perumaan siirrot. Miten voi olla mahdollista vuonna 2022, että pankki ei pysty tekemään ulkomaansiirroille mitään noin 2-3 tuntia siirroista. Pankkiin soitettaessa sanottiin, että siirrot voidaan perua, mutta ei se sitten onnistunutkaan.

Pankin vastine

Maksut, joita asiakas ei ole kertomansa mukaan tehnyt, on vahvistettu mobiilipankkisovelluksessa tunnistussovelluksella, joka on rekisteröity 14.7.2022. Tunnistussovelluksen rekisteröinti edellyttää asiakkaalta verkkopankin käyttäjätunnuksen sekä salasanan, avaintunnuskortin kertakäyttöisen tunnusluvun ja SMS-vahvistuksella lähetettävän aktivointikoodin luovuttamista. Ilman edellä mainittuja toimenpiteitä ei tunnistussovelluksen rekisteröinti ja käyttöönotto onnistu. On mahdollista, että tunnistussovelluksen käyttöönoton on suorittanut väärinkäyttäjä, jolle asiakas on välittänyt käyttöönoton prosessissa vaadittavat tiedot.

14.7.2022 klo 12.21 asiakas on saanut tekstiviestin pankin nimissä otsikolla "Uusi maksunsaaja lisätty", viestissä on ollut linkki, joka on vienyt valesivustolle. Klo 12.26.28 asiakas on saanut tunnistussovelluksen aktivointikoodin sisältävän tekstiviestin pankille ilmoittamaan puhelinnumeroon. Klo 12.27.00 tunnistussovellus on rekisteröity. Avainlukukortista on pyydetty turvalukua ja klo 12.27.02 tunnistussovelluksen rekisteröinti tehty laitteelle Apple iPhone. Klo 12.36.04 on ensimmäinen 600,00 euron maksu vahvistettu ulkomaille ja 12.43.17 vahvistettu 30,00 euron maksu Suomeen. Yhteensä Saksaan on tehty seitsemän tilisiirtoa 10.600 euron arvosta.

Asiakkaan oikeudettomat maksut on vahvistettu tunnistussovelluksella, jota asiakas ei kertomansa mukaan ole itse rekisteröinyt käyttöönsä. Kaikki oikeudettomat maksut on lokitietojen perusteella tehty samasta IP-osoitteesta 185.108.xxx.xx ja samalla mainitulla laitteella. Pankki on toimittanut kaikista maksutapahtumista erillisen tapahtumalistauksen. Viimeisin oikeudeton siirto asiakkaan tililtä on tehty 14.7.2022 klo 12.49.40. Asiakas on ottanut yhteyttä pankin asiakaspalveluun 14.7.2022 klo 14.13 ja asiakkaan verkkopankkisopimus on lukittu klo 14.15.

Pankki kiistää korvausvastuunsa kaikelta osin. Pankki ei lähetä kirjautumislinkkejä tekstiviestillä eikä sähköpostilla. Pankki on tiedottanut väärinkäytöksiin liittyen niin verkkopankkiviestein kuin verkko- ja mobiilipankissa olevien herätteiden ja bannerien avulla. Lisäksi väärinkäytöstapauksiin liittyen eri medioissa on ollut uutisointia väärinkäytöksiin- ja kalastelukampanjoihin liittyen. Pankki on toimittanut esimerkkilistauksen julkisuuteen annetuista varoituksista. Lisäksi pankki on lähettänyt varoituksia tietojenkalastelusta asiakkaalle verkkoviesteinä.  

Pankki on pystynyt järjestelmästä todentamaan, että kyseiset ryhmäviestit ovat menneet silloin voimassaolleelle verkkopankkitunnukselle. Samoin on todennettu, että asiakas ei ole viestejä lukenut. Em. ryhmäviestejä ei näy asiakkaan nykyisellä verkkopankkitunnuksella, koska asiakkaan verkkopankkitunnus on vaihtunut näiden viestien lähettämisen ja vastaanottamisen jälkeen. Pankki viittaa pankkitunnusehtojen pankin ilmoituksia koskevaan kohtaan, jonka mukaan asiakas on velvollinen aktiivisesti seuraamaan pankin lähettämiä verkkopalveluiden viestejä. 

Pankin asiakkaalla on velvollisuus säilyttää verkkopankkitunnukset huolellisesti ja olla luovuttamatta niitä kolmannelle osapuolelle. Asiakkaan oma toiminta on mahdollistanut rikoksen onnistumisen. Hänen on tullut syöttää em. tiedot valesivustolle ja sieltä tekijä on saanut tiedot haltuunsa. Asiakas ei ole pankin mielestä säilyttänyt verkkopankkitunnuksiaan huolellisesti ja on luovuttanut ne kolmannelle osapuolelle. Pankilla ei ole siten asiassa korvausvelvollisuutta syntyneen vahingon osalta.

Kyseinen tapahtumaketju on jälleen yksi valitettava tapaus tässä valtavassa ammattimaisessa petosaallossa, jonka jäljet johtavat ammattimaiseen rikollisuuteen. Tähän tulee löytää Euroopan tasolla sekä yleismaailmallisesti tehokkaat keinot millä mukana olevat ulkomaiset rahalaitokset ja maksunvälittäjätahot asetetaan helpommin suoraan rikosperusteiseen vastuuseen. Maksuista on tehty petosperusteisen maksunpalautuspyyntö, joihin on saapunut ulkomaalaisista pankeista kieltäytyminen.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- kuvakaappaukset asiakkaan rikollisilta 14.7.2022 klo 12.21 saamasta tekstiviestistä samassa ketjussa pankin viestien kanssa sekä asiakkaan pankilta saamasta klo 12.26 pankin mobiilisovellusta koskevasta tekstiviestistä
- Kuva tiliotteesta
- Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Pankkitunnusten käyttäminen verkkopalveluissa -kohdan mukaan

[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Tunnuksilla avattua palveluyhteyttä ei saa antaa kenenkään muun käytettäväksi. […]

Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan

Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa niistä toimista, jotka kolmas hänen nimissään tekee.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.

Pankkitunnusehtojen Ilmoitus pankkitunnusten katoamisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan

Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon.

Pankkitunnusehtojen Pankin ilmoitukset -kohdan mukaan

Pankki lähettää ilmoitukset tätä sopimusta, sen ehtoja ja palvelumaksuja koskevista muutoksista asiakkaalle verkkopalveluun tai jos niin on erikseen nimenomaisesti asiakkaan kanssa sovittu, kirjallisesti.
Pankilla ja muilla palveluntarjoajilla on oikeus lähettää verkkopalveluasiakkaille maksupalveluja koskevat tiedot (kuten katteettomuusilmoitukset) sekä palvelukokonaisuuteen kuuluvia sopimuksia koskevat ilmoitukset (kuten ehtojen muutosilmoitukset, tiedonannot, tarjoukset, vastaukset, vahvistukset ja muut vastaavat viestit) asiakkaan saataville verkkopalveluihin.
Asiakkaan katsotaan vastaanottaneen ilmoituksen viimeistään seitsemäntenä (7) päivänä ilmoituksen lähettämisestä.
Asiakas on velvollinen aktiivisesti seuraamaan pankin lähettämiä verkkopalveluiden viestejä. Verkkopalveluihin lähetetystä viestistä voidaan lähettää Asiakkaalle erillinen heräte sähköpostilla tai tekstiviestillä.

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on asioinut luullessaan asioivansa pankkinsa kanssa. Edelleen lautakunta katsoo, että asiassa saadun selvityksen perusteella ei ole muuta mahdollisuutta kuin että asiakas on syöttänyt em. valesivuille verkkopankkitunnustietojaan. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone-laitteelleen. Tämän johdosta pankki on lähettänyt 14.7.2022 kello 12.26.28   asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Pankkitunnuksellasi ollaan ottamassa [pankki] Tunnistus -sovellusta käyttöön mobiililaitteelle, Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id AUBRY ja syötä vahvistuskoodi 723001 [pankki] Tunnistus -sovellukseen. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla 020 333."

Pankkilautakunta katsoo, että asiassa saadun selvityksen perusteella ei ole muuta mahdollisuutta kuin että asiakas on - asian kiistämisestään huolimatta -syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen klo 12.36-12.49 ja siten ennen kuin asiakas otti yhteyttä pankin asiakaspalveluun ja hänen verkkopankkitunnuksensa lukittiin klo 14.15.

Pankkitunnusten/maksuvälineen luovuttaminen

Pankki on tapauksessa katsonut, että asiakas luovuttanut verkkopankkitunnuksensa kolmannelle osapuolelle. Selvyyden vuoksi Pankkilautakunta toteaa tunnusten luovuttamisen osalta seuraavaa.

Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle, josta seuraa maksuvälineen haltijan täysimääräinen vastuu maksuvälineen oikeudettomasta käytöstä, tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan pankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja käyttävänsä tunnuksiaan niitä koskevien ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiinsa. Näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehtojen mukaan tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle eikä myöskään palvelulle, jota pankki ei ole hyväksynyt. Ehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan.

Tässä tapauksessa asiakas on päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille rikollisten asiakkaalle pankin nimissä lähettämässä tekstiviestissä olleen linkin kautta. Vaikka pankki on viestinnässään varoittanut asiakkaitaan tekstiviestihuijauksista ja asiakas on pankkitunnusehtojen mukaan velvollinen aktiivisesti seuraamaan pankin lähettämiä verkkopalveluiden viestejä, ei pankkitunnusehdoissa kielletä asiakasta kirjautumasta verkkopalveluun sähköisesti lähetetyn linkin kautta. Pankkilautakunta kiinnittää huomiota myös siihen, että asiakkaan puhelimessa rikollisten pankin nimissä lähettämä tekstiviesti on tullut samaan viestiketjuun pankin asiakkaalle lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä arviossaan huomiota lisäksi siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankkien kanssa samoihin yhtiöryhmiin kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi - erityisesti tekstiviestin sisältö huomioiden - tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja sulkenut tunnuksensa, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta koodia käytetään, ja toisaalta ohjeistetun sulkemaan tunnukset, jos ei ole itse tekemässä pankin tunnistussovelluksen käyttöönottoa. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä vahvistuskoodia sitä valesivuille laittaessaan.

Ratkaisukäytännössään Pankkilautakunta on jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan vastaavan siten täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä