Tapahtumatiedot
Rikolliset ovat asiakkaan verkkopankkitunnuksia ja pankin asiakkaalle 8.8.2022 klo 11.00 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen ladanneet ja aktivoineet omalle laitteelleen asiakkaan nimissä olleen pankin tunnistussovelluksen. Turvallisuussyistä pankin tunnistussovellus on sen käyttöönoton jälkeen asetettu lukittuun tilaan, mistä pankki on ilmoittanut asiakkaalle tekstiviestitse klo 11.01. Tämän jälkeen asiakkaan verkkopankkiin on kirjauduttu asiakkaan avainlukukorttia ja pankin asiakkaalle klo 11.01 lähettämässä palveluun sisään kirjautumista koskevassa tekstiviestissä ollutta koodia käyttäen, ja verkkopankissa pankin tunnistussovelluksen profiili on avattu klo 11.04.
Rikolliset ovat kirjautuneet asiakkaan verkkopankkiin em. pankin tunnistussovelluksella tunnistautuen 8.8.2022 klo 11.05 ja tehneet klo 11.07 ja 11.09 tunnistussovelluksella vahvistaen asiakkaan tililtä 20.000 ja 8.000 euron tilisiirrot Saksaan.
Asiakas on soittanut sulkupalveluun 8.8.2022 klo 11.28, puheluun on vastattu 11.29 ja puhelu on päättynyt 11.36. Pankki on lukinnut pankin tunnistussovelluksen klo 12.42. Menetetyistä varoista on saatu 10.8.2022 palautettua 20.000 euroa ja näin ollen vahingoksi on jäänyt 8.000 euroa.
Asiakkaan valitus
Asiakas vaatii huijattujen varojen täysimääräistä palauttamista eli 8.000 euroa ja varaa mahdollisuuden myös huijauksesta aiheutuneiden kulujen esittämiseen prosessin jatkuessa.
Asiakas kirjautui pankin pahvitunnuksilla verkkopankkiin samoin kuten aikaisemminkin tietokoneella tutusta selaimen kirjanmerkistä. Asiakas käyttää pankin verkkopankkiin kirjautuessaan henkilökohtaista käyttäjätunnusta, salasanaa ja tunnuslukukortin kertakäyttöistä koodia sekä puhelimeen saapuvaa tekstiviestikoodia eikä asiakas käytä tai ottaisi käyttöön vahvistussovellusta. Suojatun yhteyden lukko oli selaimessa. Kirjautuessa ei ollut ongelmia ja kirjautuminen vahvistui tavanomaisesti eli tuli tekstiviesti puhelimeen, jonka koodilla asiakas pääsi etenemään verkkopankkiin pääsyssä.
Asiakas ei ole maksuja hyväksynyt ja maksuista puuttuu asiakkaan tekstiviestihyväksyntä. Asiakas ei ole myöskään saanut varoitustekstiviestiä vahvistussovelluksen käyttöönotosta eikä ole ollut vahvistussovellusta käyttöönottamassa tai toisella luvittamassa vaan kirjautumassa verkkopankkiin pankin turvallisten kotisivujen kautta suojatussa yhteydessä tarkistaakseen, onko uusia laskuja saapunut. Mikäli asiakas olisi varoitusviestejä saanut, olisi hän välittömästi soittanut pankin asiakaspalveluun. Asiakas on toiminut kokonaisuutena vilpittömässä mielessä eikä ymmärrä, miten koko vahvistussovellus liittyy tapaukseen. Asiakkaan laitteesta ei löytynyt pankin puheena olevia viestejä. Siten ei voida todentaa viestien saapumista asiakkaalle tai niiden sisältöä. Asiakkaan puhelimen tutkimiseksi on siihen asennettu sovellus tekstiviestien palauttamiseksi, eikä tapahtumapäivältä löytynyt kuin sulkupalveluun liittyvä tyytyväisyyskysely.
Pankki ei ole osoittanut mitään luotettavaa näyttöä mainitsemiensa viestien saapumisesta asiakkaan puhelimeen. Pankin lokitieto on pankin sisäistä dataa eikä todista datan liikkuneen pankista eteenpäin. Pankilla ole takaisinkuittausjärjestelmää, joka todistaisi viestien saapumisen asiakkaan puhelimeen eikä pankin palveluntarjoajalta ei ole myöskään saatu näyttöä. Asiakkaan palveluntarjoajan mukaan saapuneita viestejä ei ole saatavissa. Pankki on väittänyt, ettei se ole saanut tapahtuma-aikana muilta asiakkailta ilmoituksia saapumattomista viesteistä, mutta väite ei todista, etteikö kyseisenä ajankohtana olisi voinut olla hetkellisiä häiriöitä. Pankin taulukon mukaiset aikaleimat toimenpiteineen ovat epärealistiset ottaen huomioon 84-vuotiaan asiakkaan yleinen toiminnan hidastuminen, motoriikan heikentyminen, ruudun ja puhelimen yhteiskäyttö jne.
Pankin mukaan asiakas on kertonut pankin toimihenkilölle poistaneensa paniikissa saamansa tekstiviestit. Asiakas ei muista saaneensa ko. tekstiviestejä tai niiden poistamista. Myös pankissa mukana ollut asiakkaan puoliso ihmettelee toimihenkilön väitettä viestien poistamisesta.
Asiakas ei tietoisesti ole siirtynyt huijaussivustolle eikä myöskään ole avannut vahvistussovelluksen lukitusta. Tässä tapauksessa rikollisen toiminta peittyi asiakkaalta. Asiakas on ollut asioimassa vilpittömässä mielessä verkkopankissa ja on ilmeistä, että huijari on pystynyt osoittamaan asiakkaan suuntaan kaiken olevan normaalia verkkopankkikirjautumista.
Vasta kirjautumisen jälkeen verkkosivun näkymä oli tavanomaisesta poikkeava. Tilitiedot ja uloskirjautumispainike olivat peitettynä eli käytännössä näkymä oli rikollisen toimesta estetty. Tilisivun eteen ilmestyi outoa tekstiä, joka piti estettynä "kirjaudu ulos" -kohdan. Yhtäkkiä tilinäkymä paljastui ja tilit oli tyhjennetty, kaikkiaan 28.000 euroa. Asiakas oli kaikkien rahavarojensa yllättäen hävittyä hätääntynyt, sulki heti koneen ja soitti pankin sulkupalveluun, jonne jonotti kauan. Pankki sulki verkkopankkitunnukset klo 11.34, mutta vahvistussovelluksen vasta klo 12.42. Viive pankin toiminnassa on kestämätön.
Asiakas on kokenut verkkopankin käytön turvalliseksi vain avainlukutunnuskortin kautta, mikä lienee 84-vuotiaalla tavanomaista käyttäytymistä, eikä hän ole muita vaihtoehtoja osannut eikä voinut odottaa. Asiakas ei ole IT-alan ammattilainen eikä häneltä siten voida edellyttää alan termistöä. Lautakuntaa pyydetään huomioimaan asiakkaan ikä, tilanteen arvaamattomuus, poikkeuksellisuus, asiakkaan vilpitön toiminta sekä aktiivisuus asian jälkihoidossa.
Asiakkaan tietokone oli ajantasainen järjestelmältään sekä F-Securen virusturva selaimessa ja selausturvan lisäosa kunnossa. Asiakas on tietokoneensa sivuhistorian mukaan kirjautunut oikeasta validista osoitteesta. Tietokoneen historiasta käy ilmi myös F-Securen ”turvallinen sivusto” -merkintä liittyen asiakkaan näkyvissä oleviin valideihin verkkopankinosoitteisiin.
Pankki ei ole tiedottanut oma-aloitteisesti asiakkailleen sen järjestelmiin päässeistä rikollisista. Mikäli pankki huomaa tietojärjestelmissään yksittäisen asiakkaan käyttäjäprofiilissa poikkeavaa toimintaa, luulisi pankin ottavan yhteyttä asiakkaaseen. Myös eri IP-osoitteesta toteutettuna huijaus ei pankissa herättänyt toimenpiteitä. Ulkomaanmaksut lähtivät Saksaan eikä maksusta tai poikkeavan suurista summista tullut mitään yhteydenottoa pankin taholta.
Pankin olisi pitänyt varoittaa yleisessä asiakasneuvonnassaan verkkopankkiturvallisuuteen liittyen sekä pankin sopimusehdoissa asiakkaitaan, että vahvistussovellus on käyttöönotettavissa ja luvitettavissa kolmannen osapuolen laitteeseen. Vahvistussovelluksen toiminta tulisi perustua myös siihen, että asiakas ja vahvistussovellus ovat samassa sijainnissa aukottomasti.
Finanssivalvonta korostaa tietoturvallisuudesta sivuillaan, että luottolaitoksella on oltava riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Luottolaitokselta edellytetään myös häiriötilanteissa aiheutuvien vahinkojen rajoittamista. Tietoturvallisuuteen kuuluu myös tiedon luottamuksellisuus.
Luottolaitoslaki edellyttää, että luottolaitoksella on oltava menetelmät operatiivisten riskien tunnistamiseksi, arvioimiseksi ja hallitsemiseksi sekä riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Tapauksessa näin ei ole ollut ja pankki kaataa oman valvonnan puutteet sekä heikon tietoturvan asiakkaan vastuulle. Pankin olisi pitänyt reagoida vieraan tahon tilille tunkeutumiseen ja tilillä virka-aikana tehtyihin siirtoihin. Myös maksujen suuruus vs. päivittäisasiointi sekä maksut ulkomaille olisi pitänyt herättää toimenpiteitä pankissa ja pankin ottaa yhteyttä asiakkaaseen. Myös rikollisen käyttämä kieliasetus päätelaitteessaan herättää kysymyksiä viesteihin liittyen.
Mahdollisuus käyttöönottaa ja aktivoida vahvistussovellus ulkopuoliselle sekä suorittaa laittomia maksuja on osoitus pankin riittämättömistä valvontamenetelmistä operatiivisessa toiminnassa sekä tietoturvassa. Pankki vetoaa vastineessaan vahvistussovelluksen käyttöönotossa vahvaan sähköiseen tunnistautumiseen. Tapauksessa asiakas ja huijari ovat kuitenkin eri henkilöt eli pankin vahvaksi muistuttama tunnistautuminen ei osoittautunut aukottomaksi. Pankin järjestelmien olisi tullut ristiin varmistaa, että vahvistussovelluksen käyttäjä on sama kuin pankin kanssa sopimuksen tehnyt henkilö. Asiamiehen tiedon mukaan pankilla ei ollut tapahtuma-aikaan vahvistussovelluksen käyttöönotossa vahvaa tunnistautumista käytössä. Tapauksessa heikko tunnistautumismenettely mahdollisti ja lopulta johti varojen huijaukseen.
Törkeä huolimattomuus tarkoittaa, että henkilö mieltää tekonsa aiheuttamat seuraukset, mutta suhtautuu niihin välinpitämättömästi. Asiakas on kuitenkin välittömästi pyrkinyt selvittämään asian, kun on huomannut rahojen katoamisen. Näin ollen kysymys ei voi olla törkeästä tai lievästäkään huolimattomuudesta.
Pankin vastine
Pankin kuvaus tapahtumista:
8.8.2022 asiakas on yrittänyt kirjautua verkkopankkiinsa hakukoneen kautta ajautuen kuitenkin huijaussivustolle. Asiakas on syöttänyt verkkopankkitunnuksensa (sis. käyttäjätunnus, salasana sekä avaintunnuslukukortin numeron) ja lisäksi pankin vahvistussovelluksen asentamiseen vaadittavat avaintunnuslukukortin numerot sekä tekstiviestitse saapuneen vahvistuskoodin. Tämän jälkeen huijari on päässyt tekemään asiakkaan verkkopankissa tilisiirtoja vahvistussovelluksen avulla vapaasti.
Pankin tietojen mukaan pankin asiakastietojärjestelmässä olevaan asiakkaan puhelinnumeroon on lähetetty varoitusviesti vahvistussovelluksen käyttöönotosta klo 11.00.01. Viestin sisältö:
"Tietoturvavaroitus: Seuraava koodi syötetään aina mobiililaitteessa olevaan tunnuslukusovellukseen, sitä ei ikinä kysytä tietokoneen web-selaimessa. Jos et ole tekemässä käyttöönottoa itse mobiililaitteessa, soita asiakaspalveluumme xxx xxxx xxx. Viesti-id: BCSEY. Vahvista tunnuslukusovelluksen käyttöönotto vahvistuskoodilla: 439232. [pankki]."
Asiakas on tämän jälkeen syöttänyt saamansa tekstiviestikoodin web-selaimessa huijaussivustolle tekstiviestissä olevan tietoturvavaroituksen vastaisesti, minkä jälkeen pankin sovelluksen profiilin asennus on vahvistettu klo 11.01.04. Tämän jälkeen asiakas on vastaanottanut seuraavan pankin viestin, joka on lähetetty 11.01.36:
"Tunnuslukusovellus on aktivoitu, mutta vielä lukittu-tilassa. Kirjaudu avaintunnuskortilla verkkopankkiin ja vapauta tunnuslukusovellus kohdasta Oma nimi, Muuta tunnuslukusovelluksen asetuksia. Klikkaa lukittu-kohtaan 'ei' ja vahvista. Jos et ole itse tekemässä tätä aktivointia, soita heti pankkiisi tai sulkupalveluun 020333."
Pankin vahvistussovellus avautuu turvallisuussyistä aina lukittu-tilaan uudessa mobiililaitteessa. Pankin näkemyksen mukaan asiakas on antanut tässä kohdin vielä yhden avaintunnuslukukortin turvaluvun huijaussivustolle, jonka jälkeen rikollinen on avannut vahvistussovelluksen lukituksen ja saanut vahvistussovelluksen käyttöönsä klo 11.04.33 ja kirjautunut sen avulla verkkopankkiin: 08.08.2022 Klo 11.05.10.
Pankki on lähettänyt asiakkaalle kaksikin (klo 11.01.31 ja 11.06.55) tekstiviestiä, jossa pyydetään vahvistamaan sisään kirjaus: ”Viesti-id xxxxx. Vahvista sisäänkirjaus palveluun. Vahvista koodilla xxxxxx. [Pankki]”. Toinen on todennäköisesti huijarin ja toinen hänen oma sisään kirjauksesta.
Pankissa ei ollut tapahtuma-aikana mitään häiriötilannetta ja sen kaikki järjestelmät toimivat moitteettomasti. Pankin lokitietojen mukaan asiakkaalle on lähetetty pankin vahvistussovellusta koskevat varoitus- ja käyttöönottoviestit. Ilman viestien sisältämää vahvistuskoodia vahvistussovellusta ei ole mahdollista saada käyttöön. Varoitusviesteissä oli kehotettu ottamaan yhteyttä pankkiin, mikäli ei itse ole ottamassa vahvistussovellusta käyttöön.
Pankki on pyytänyt palveluntarjoajaltaan 15.12.2022 lisäksi selvitystä nk. SMS gatewaystä, joka osoittaa, että viestit on vastaanotettu puhelinnumerossa, jonne ne on lähetetty, mutta palveluntarjoaja on ilmoittanut, ettei elokuussa lähetettyjä viestejä löydy enää heidän lokeiltaan. Pankki ei ole tapahtuma-aikana saanut muilta asiakkailta väitteitä, etteivät pankin lähettämät viestit ole tulleet perille asiakkaiden puhelimeen.
Asiakas kertoi pankin konttorissa palveluneuvojalle poistaneensa paniikissa nämä pankin lähettämät viestit, kun oli havainnut rahojensa hävinneen tililtä. Tämä siis paljastaa syyn siihen, miksi viestejä ei enää löydy asiakkaan puhelimesta. Lisäksi asiakas kertoi syöttäneensä nämä tekstiviestillä tulleet koodit "verkkopankkiin", joka paljastui myöhemmin huijaussivustoksi.
Oletettu huijari ei olisi mitenkään muutoin saanut pankin mobiilisovelluksen profiilia ladattua itselleen asiakkaan nimissä, ellei olisi saanut asiakkaalta kalasteltua pankin varoitusviestissä olevaa koodia, joka on pankin lokitietojen mukaisesti lähetetty asiakkaalle. Tekstiviestin vastaanottamista puoltaa se tosiasia, että uusi profiili on vahvistettu heti tuon tekstiviestin lähettämisen jälkeen.
Asiakas oli pankin sulkupalveluun yhteydessä, jolloin asiakkaan verkkopankkitunnukset suljettiin klo 11.34 ja tämän jälkeen asiakas kävi konttorissa tekemässä petosperusteisen maksunpalautuspyynnön. Verkkopankin sulkemisen jälkeen huijari ei ole pystynyt käyttämään verkkopankkia. Tämän jälkeen asiakas kävi vielä tekemässä asiasta rikosilmoituksen, jonka toimitti konttorille, että petosperusteinen maksunpalautuspyyntö saatiin lähetettyä. Konttorissa asiakas kertoi toimihenkilölle, että hän on paniikissa poistanut pankin lähettämät tekstiviestit. Asiakkaan vahvistussovellus on lukittu pankin toimihenkilön toimesta klo 12.42. Sulkupalvelulta saadun selvityksen mukaan asiakkaan puhelu saapui klo 11.28.28, puheluun vastattiin klo 11.29.34 ja puhelu päättyi klo 11.36.33.
Asiakas tuli pankin konttorille myöhemmin tietokoneensa kanssa, jossa kaksi toimihenkilöä varmisti asiakkaan asioineen oma-mobiili.com sivustolla, eikä pankin virallisella sivustolla. Sivuhistoriasta otettiin näyttökuva talteen. Mitenkään muutoin pankki ei ole "tutkinut" asiakkaan tietokonetta, vaan ainoastaan varmisti sen, mille huijaussivustolle hän oli tarkalleen päätynyt. Menettely on poikkeuksellinen, mutta tarkoituksena oli auttaa asiakasta katsomalla yhdessä asiakkaan luvalla hänen konettaan. Kun pankki sai tiedon kyseisestä kalastelusivustosta 9.8.2022, se on välittömästi tehty sivuston sulkemispyyntö.
10.8.2022 asiakkaan petoksella menetetyistä varoista saatiin palautettua 20.000 euroa, mutta lopuille menetetyille varoille saatiin vastaanottajapankilta kielteinen päätös.
Pankin yleinen asiakasneuvonta verkkopankkiturvallisuuteen liittyen
Pankki viittaa mediatiedotteeseensa 16.3.2022 ”Huijausyrityksiä liikkeellä - Tutustu Tietoturva ja huijausviestit -ohjeisiimme”. Vastaavaa informaatiota pankki on tiivistetysti välittänyt myös sosiaalisen median kanavissaan sekä suoraan tekstiviestitse asiakkailleen.
Kuinka asiakas toimii käyttäessään verkkopankkia tai vahvistussovellusta yleisesti
Pankin verkkopankkiin kirjautuminen edellyttää henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukukortin kertakäyttöisen koodin sekä puhelimeen saapuvan tekstiviestikoodin asiakkaalta tai vaihtoehtoisesti henkilökohtaisen käyttäjätunnuksen ja vahvistussovelluksella tehdyn hyväksynnän.
Vahvistussovelluksen käyttöönoton yhteydessä asiakkaalle lähetetään turvallisuussyistä vahvistuskoodi ja tietoturvavaroitus. Vahvistussovellukseen kirjautuminen edellyttää henkilökohtaisen PIN-koodin tai biometrisen tunnisteen, jonka asiakas on määritellyt ottaessaan vahvistussovelluksen käyttöönsä.
PIN-koodilla/biometrisellä tunnisteella asiakas vahvistaa tapahtumat maksu- ja korttitapahtumat sovelluksessa, joka toimii vaihtoehtoisena vahvistustapana avaintunnuskortin turvaluvuille sekä tekstiviestikoodille.
Käyttäjän toiminnan arviointi
Asiakas on syöttänyt tälle huijaussivustolle henkilökohtaiset verkkopankkitunnukset, salasanan, useamman avainkortin tunnusluvun sekä asiakkaan puhelinnumeroon lähetetyn vahvistussovelluksen aktivointikoodin tietoturvavaroituksesta huolimatta. Vahvistussovelluksen käyttöönoton jälkeen asiakkaan puhelinnumeroon lähetettiin vielä toinen viesti, jossa kerrottiin sovelluksen aktivoinnista ja sen lukittu-tilasta. Tästäkään varoitusviestistä asiakas ei itse ollut asiasta pankkiin yhteydessä, vaan kävi itse verkkopankissa avaamassa vahvistussovelluksen lukituksen rikollisen hallussa olevalta laitteelta.
Voidaan pitää mahdollisena, että asiakkaan DroydKit-sovellus ei ole onnistunut palauttamaan pankin toimittamia tekstiviestejä, jotka on poistettu niiden vastaanottamisen jälkeen. Pankin maksut on mahdollista vahvistaa avaintunnuskortin koodilla + SMS-lisävahvistusviestillä tai vaihtoehtoisesti ottamalla käyttöön pankin mobiilisovelluksen. Pankki ei valvo sitä, kumpaa näistä vahvistuskeinoista kukin asiakas käyttää, sillä molemmat ovat yhtä käypiä. Asiakas on luovuttanut verkkopankkitunnuksensa sekä tekstiviestillä tulleen vahvistuskoodin pankin verkkopankkia muistuttavalle valesivustolle viestin varoituksista huolimatta.
Pankin verkkopankkisopimus yleisine ehtoineen on yhtenäinen käyttipä asiakas tunnuslukutaulukkoa ja SMS-lisävahvistusta tai pankin mobiilisovellusta maksutapahtumien vahvistamiseen sekä tunnistautumiseen. Pankkitunnukset määritellään sopimuksen yleisissä ehdoissa seuraavasti: Pankkitunnukset (tunnukset) ovat pankin kulloinkin määrittelemät ja asiakkaalle osin tai kokonaan toimittamaa todentamistekijät, kuten käyttäjätunnus, avaintunnuskortti, tunnuslukusovellus, tunnuslukulaite, PIN-koodi tai muu pankin hyväksymä tunnistusväline.
Pankki huomauttaa, että pankin mobiilisovelluksen käyttöönotto vaatii aina vahvan sähköisen tunnistautumisen. Asiakkaan tapauksessa vahva sähköinen tunnistautuminen on suoritettu käyttäen verkkopankin käyttäjätunnusta, salasanaa, avainlukulistan koodia sekä SMS-lisävahvistuskoodia. Menettely täyttää vahvan tunnistautumisen kriteerit.
Pankin sopimusehdot
Pankki viittaa keskeisiin sopimusehtoihin liittyen pankin myöntämien verkkopankkitunnusten käyttöön. Verkkopankkiehtoja sovelletaan myös mobiilipankin sekä vahvistussovelluksen käyttöön. Asiakkaan valituksen kohteena olleet kaikki tapahtumat on vahvistettu vahvasti tunnistautuneena asiakkaan puhelinlaitteella. Sopimusehtojen mukaan asiakas vastaa käyttämiensä laitteiden, kuten vaikka puhelimen, tietoturvasta.
Pankki on arvioinut kaikkia edellä kerrottuja asiakkaan toimia kokonaisuutena ja katsoo selvitetyksi, että asiakkaan luovuttamat verkkopankkitunnukset sekä tietoturvavaroituksesta huolimatta annettu vahvistussovelluksen vahvistuskoodi käyttöönottoa varten mahdollistivat valituksen kohteena olevat tilisiirrot. Pankki katsoo, että asiakkaan toiminta on kokonaisuutena ollut poikkeavaa ja törkeän huolimatonta, hänen olisi pitänyt huolellisesti lukea saamansa tekstiviesti liittyen vahvistussovelluksen käyttöönottoon sekä viestiin sisältyvä tietoturvavaroitus.
Asiakas ei ollut myöskään reagoinut vahvistussovelluksen käyttöönoton jälkeen tulleeseen tekstiviestiin, joka sisälsi myös ohjeistuksen ottaa pankkiin yhteyttä, mikäli ei omalle laitteelleen sovellusta ollut asentamassa. Asiakas ei ole riittävän huolellisella tasolla huomioinut saamiensa tekstiviestien sisältöä.
Edellä kuvatusta asiakkaan käyttäytymisen kokonaisarviosta johtuen pankki ei korvaa valituksen kohteena olevia menetyksiä tai asiakkaalle asian selvittämisestä aiheutuneita kuluja, vaan ne jäävät asiakkaan vastuulle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Asiakkaan verkkosivuhistoria-listaus
- Kuva asiakkaan tietokoneen näytöltä, jossa näkyy selaimen käytössä olevat lisäosat
- Kuva asiakkaan tietokoneen näytöltä, jossa näkyy tietoturvaohjelmiston varoitus sivuhistoriassa esitetystä osoitteesta
- Kuva asiakkaan tietokoneen näytöltä, jossa näkyy asiakkaan puhelimen viestejä
- Henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin Henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten käyttämisestä verkkopalveluissa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Soveltamisala -kohdan mukaan
Asiakas sitoutuu noudattamaan näiden yleisten sopimusehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. Pankkitunnuksilla käytettävät palvelut ja pankkitunnukset on tarkoitettu Suomessa asuville pankin asiakkaille ja käytettäväksi pääasiallisesti Suomessa.
Pankkitunnusehtojen Pankkitunnusten käyttäminen -kohdan mukaan
[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Tunnuksilla avattua palveluyhteyttä ei saa antaa kenenkään muun käytettäväksi. […]
Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa niistä toimista, jotka kolmas hänen nimissään tekee.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.
Pankkitunnusehtojen Ilmoitus pankkitunnusten katoamisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]
Pankkitunnusehtojen Laitteet, ohjelmat ja tietoliikenneyhteydet -kohdan mukaan
Asiakas vastaa siitä, että hänellä on palveluiden käytön edellyttämät sekä tietoturvan kannalta tarpeelliset ja riittävät laitteet, ohjelmat ja tietoliikenneyhteydet. Asiakas vastaa ohjelmisto- ja tietoturvapäivityksistä ja niihin liittyvistä kuluista ja kustannuksista. […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena 8.8.2022 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Tavanomaiseen verkkopankkiin kirjautumisen tapaan asiakas on käyttänyt verkkopankkiin kirjautuakseen käyttäjätunnustaan, salasanaansa, valesivuilla kirjautumista varten pyydettyä avaintunnuslukukortin numeroa sekä pankin asiakkaan puhelinnumeroon tekstiviestitse lähettämässä tekstiviestissä ollutta vahvistuskoodia.
Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 8.8.2022 klo 11.00 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
"Tietoturvavaroitus: Seuraava koodi syötetään aina mobiililaitteessa olevaan tunnuslukusovellukseen, sitä ei ikinä kysytä tietokoneen web-selaimessa. Jos et ole tekemässä käyttöönottoa itse mobiililaitteessa, soita asiakaspalveluumme xxx xxxx xxx. Viesti-id: BCSEY. Vahvista tunnuslukusovelluksen käyttöönotto vahvistuskoodilla: 439232. [pankki]."
Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen. Tämän seurauksena pankki on lähettänyt asiakkaalle vielä seuraavan vahvistusviestin klo 11.01:
"Tunnuslukusovellus on aktivoitu, mutta vielä lukittu-tilassa. Kirjaudu avaintunnuskortilla verkkopankkiin ja vapauta tunnuslukusovellus kohdasta Oma nimi, Muuta tunnuslukusovelluksen asetuksia. Klikkaa lukittu-kohtaan 'ei' ja vahvista. Jos et ole itse tekemässä tätä aktivointia, soita heti pankkiisi tai sulkupalveluun 020333."
Asiakkaan verkkopankkiin on tämän jälkeen kirjauduttu ja tämä on edellyttänyt asiakkaan avainlukukortin käyttöä sekä pankin asiakkaalle klo 11.01 lähettämässä tekstiviestissä ollut koodia:
”Viesti-id 6OBRP. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla xxxxxx. [pankki]”
Pankkilautakunta katsoo, että myös viimeksi mainitussa tekstiviestissä ollut ja verkkopankkiin kirjautumisen mahdollistanut vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Rikollisten laitteelleen käyttöön ottama pankin tunnissovelluksen profiili on avattu asiakkaan verkkopankissa klo 11.04.
Rikolliset ovat tämän jälkeen klo 11.05 kirjautuneet asiakkaan verkkopankkiin pankin tunnistussovelluksella vahvistaen, luoneet verkkopankissa kyseessä olevat ulkomaanmaksut ja vahvistaneet ne pankin mobiilisovelluksella klo 11.07 ja 11.09.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten sopimusehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia.
Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.
Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on huomaamattaan päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille hakukonetta käyttäen. Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla 8.8.2022 klo 11.00 pankin tunnistussovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta koodia käytetään, ja toisaalta ohjeistetun ottamaan yhteyttä pankin asiakaspalveluun, jos ei ole itse tekemässä sovelluksen käyttöönottoa mobiililaitteessa. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä vahvistuskoodia sitä valesivuille laittaessaan.
Edelleen Pankkilautakunta kiinnittää huomiota siihen, että pankin mobiilisovelluksen käyttäminen on vielä em. viestissä olleen koodin lisäksi edellyttänyt sovelluksen turvallisuussyistä asetetun lukituksen avaamista ja pankki on lähettänyt asiakkaalle klo 11.01 asiaa koskevan tekstiviestin, jossa kerrotaan pankin mobiilisovelluksen käyttöönotosta ja sen asettamisesta lukittuun tilaan. Asiakkaan kertoman perusteella on tämänkin viestin osalta jäänyt epäselväksi, onko asiakas lukenut saamansa tekstiviestin sisältöä, ja jos on, niin mitä hän ymmärtänyt viestin tarkoittaneen. Joka tapauksessa asiakas on saadun selvityksen mukaan em. viestin kanssa lähes samanaikaisesti klo 11.01 saanut pankilta uuden verkkopankkiin kirjautumista koskevan viestin, jossa olleen vahvistuskoodin asiakas on syöttänyt valesivuille, minkä seurauksena rikolliset ovat päässeet asiakkaan verkkopankkiin, avanneet verkkopankissa pankin mobiilisovelluksen lukituksen ja tehneet sovellusta oikeudetta käyttäen ko. tilisiirrot ulkomaille.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämien pankin tunnistussovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sekä tunnistussovelluksen lukittu-tilasta kertovan tekstiviestin yksityiskohtaiset sisällöt huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen