Haku

FINE-051810

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-051810 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 03.05.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista siirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 22.7.2022 rikollisten pankin nimissä lähettämän tekstiviestin samaan viestiketjuun pankin lähettämien viestien kanssa. Viestissä on lukenut seuraavaa:
”Uusi maksunsaaja on lisätty tänään tilillesi. Jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: https://Tietosuoja-[pankin mobiilisovellus].com
Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla käyttänyt pankkitunnuksiaan kirjautuakseen pankin palveluun.

Pankin mobiilisovellus on ladattu laitteelle Samsung SM-A035G 22.07.2022 klo 19.29. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 22.7.2022 kello 19.28 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-mobiilisovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 3593 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki].

Pankin mobiilisovellusta käyttäen on asiakkaan tileiltä tehty 22.7.2022 klo 19.34-19.47 kolme tilisiirtoa yhteisarvoltaan 6.883,20 euroa.

Asiakas on sulkenut pankkitunnuksensa 22.07.2022 kello 20.37.

Asiakkaan tileiltä tehdyistä siirroista on saatu 3.10.2022 palautettua asiakkaan tilille 4.000,00 euroa ja takaisin saamatta on jäänyt näin ollen 2.883,20 euroa.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 2.883,20 euroa.

Asiakas sai perjantaina 22.7. tekstiviestin pankilta. Viesti tuli samasta puhelinnumerosta, mistä pankki laittaa aina viestejä. Pankki on lähettänyt asiakkaalle paljon tekstiviestejä, etenkin vahvistusviestejä. Viestissä luki "Uusi maksunsaaja on lisätty tänään tilillesi. Jos tämä ei ollut sinun, käy kiireellisesti osoitteessa ..." ja siinä oli linkki, joka meni verkkopankin tunnistautumissivulle, samalle mille aina. Sivusto oli täysin identtinen pankin tunnistautumissivun kanssa. Kaikki näytti asiakkaan suuntaan täysin normaalilta. Asiakas kirjautui sisään ja huomasi, että jotain epäilyttävää on meneillään. Asiakas yritti sitten päästä pankin mobiilisovellukseensa, muttei päässyt sovellukseen sisälle. Samalla, kun asiakas yritti kirjautua sovellukseen, vastaanotti hän pankilta toisenkin viestin, jossa kerrottiin, että asiakkaan numerolla oltiin ottamassa käyttöön pankin mobiilisovellusta. Viestissä oli vahvistuskoodi, jolla asiakas vahvistaisi, että kyseessä oli hän. Pankki siis vahvisti asiakkaalle, että hän yritti päästä pankin mobiilisovellukseensa ja se on jotenkin lukittuna. Asiakas yritti edelleen päästä vahvistuskoodilla pankin mobiilisovellukseensa, mutta se ei toiminut.

Asiakas huomasi hetken päästä, että hänen tililtään oli varastettu 6.883,20 euroa. Asiakas teki heti rikosilmoituksen ja sulki tunnukset.

Asiassa ei voida nähdä asiakkaan puolelta minkäänlaista törkeää huolimattomuutta, joka estäisi oikeuden korvauksiin.

Pankin viesti on todella harhaanjohtava, epäinformatiivinen ja huonosti kirjoitettu, ja antaa todella väärän kuvan tilanteesta. Pankin viestissä lukee selkeästi, että tällä numerolla ollaan ottamassa käyttöön pankin mobiilisovellusta. Ne ovat heti viestin ensimmäiset sanat. On täysin selvää, että "tällä numerolla" tarkoitetaan asiakkaan numeroa. Tosiasiassa toinen tuntematon puhelin (Samsungin puhelin, asiakkaalla on aina ollut iPhone) oli kirjautunut toisessa lokaatiossa asiakkaan pankin mobiilisovellukseen tai ottanut sen haltuun. Tästä ei tullut asiakkaalle mitään ilmoitusta. Viestin sisältö ei kertonut vahvistuskoodin liittyvän sovelluksen lataamiseen, vaan sen käyttöönottoon. Ja asiakas oli samaa aikaa yrittämässä kirjautua sisään omaan pankin mobiiIisovellukseensa, eikä sinne päässyt.

Todellisuus oli kuitenkin toinen. Pankki oli lähettänyt rikollisten puolesta tämän viestin. Tämän asiakas varmisti myös pankin asiakaspalvelusta, johon asiakas otti yhteyttä useaan otteeseen. Osa asiakaspalvelijoista ei tiennyt, oliko viesti heidän lähettämänsä vai rikollisten lähettämä. Lopulta yksi osasi sanoa, että kyseessä on tosiaan pankin rikollisten puolesta lähettämä viesti, ja hän myönsi, että viestissä pitäisi lukea se toinen puhelinnumero.

Pankin olisi ehdottomasti pitänyt ilmoittaa asiakkaalle, että joku Samsungin tuntematon puhelinmalli tuntemattomasta numerosta ja sijainnista on ottamassa haltuun asiakkaan mobiilisovellusta. Asiakkaalle pitäisi ilmoittaa, että hänen tietonsa ovat uhattuna, ja tili tulisi lukita. Oli kyseessä mikä tahansa sovellus, jos vieraassa lokaatiossa ja erityisesti vieraalla laitteella ja vieläpä eri numerolla ollaan ottamassa käyttöön tunnuksia, lukittautuu tili automaattisesti. Tätä ei tapahtunut pankissa, vaikka kyseessä on pankki, joka vakuuttaa rahojen pysyvän turvassa. Asiakas ei edes saanut ilmoitusta tällaisesta tapahtumasta. Tämä on aivan törkeän huolimatonta pankilta.

Sen lisäksi, että pankki lähettää rikollisten puolesta viestejä, ei lukitse tilejä, kun tuntemattomasta sijainnista, numerosta ja puhelimesta käytetään pankin mobiilisovellusta sekä kirjoittaa täysin hämääviä ja täysin väärää tietoa sisältäviä sekä hyvin epäinformatiivisia viestejä, niin tilin tyhjentämiseen riittää vain kirjautuminen. Ei tarvittu edes tunnuslukutaulukkoa tai tekstiviestivahvistusta.

Asiakas, jolla on runsas 10 tuhatta euroa tilillään, josta valtaosa on opintolainaa, ei varmaankaan halua perjantai-iltana tyhjentää lähes koko tiliään yhdellä kertaa vieläpä tuntemattomalla laitteella, tuntemattomasta numerosta ja tuntemattomasta sijainnista. Pankin olisi pitänyt tämänkin perusteella heti lukita tunnukset ja tilit, ja soittaa asiakkaalle. Jos tämä ei ole mahdollista, niin tuon kaltaisten tilisiirtojen ei pitäisi olla mahdollisia viikonloppuna.

Pankin tietosuoja ja -turva on tapahtuman perusteella yksi vitsi, mutta ei pelkästään tämän tapahtuman. Pankin tietosuojan pettämisestä, tietoturvaongelmista, vakavasta järjestelmähäiriöstä ja kuukausia kestäneestä tietosuojamurrosta uutisoitiin laajasti syksyllä. Pankilla on ollut valtavasti vakavia ongelmia, jotka ovat asettaneet asiakkaita järkyttävään tilanteeseen. Pankki on myöntänyt, että toukokuusta elokuuhun järjestelmässä on ollut merkittävää vikaa. Pankin toiminta on ollut hyvin vastuutonta. Murtoa ei edes huomattu lukuisista ilmoituksista huolimatta, ennen kuin "valkohattuhakkeri" siitä huomautti. Sen lisäksi, ettei pankki ottanut tosissaan koko kesän aikana tapahtuneita ryöstöjä, ei se reagoinut nopeasti myöskään asiakkaan tapaukseen.

Pankin viestintä on ollut kaikin puolin ontuvaa. On rikollisten puolesta lähetettyjä viestejä, harhaanjohtavia ja epäinformatiivisia viestejä ja hyvin viivästynyttä viestintää. Pankin väittää myös, että pankin oikeat viestit päättyvät "Terveisin [Pankki]" eikä niissä koskaan ole linkkiä. Heti rikollisten puolesta pankin lähettämän tekstiviestin jälkeen asiakkaan pankilta 22.7.2022 klo 22.45 saamassa tapaamisaikaa koskevassa tekstiviestissä on kuitenkin linkki.

Lisäksi pankki ei ole koskaan varoittanut näistä huijauksista selvästi viestinnässään, vaikka ne ovat ilmeisen laaja ja vakava ongelma ja koskettavat monia heidän asiakkaitaan. Pankki tykkää muuten lähetellä tekstiviestejä, mutta tästä ei ole tullut asiakkaalla yhtään varoitusta tekstiviestitse. Toinen mahdollisuus olisi lähettää viesti verkkopankissa ja lähettää viestin vastaanottamisesta tekstiviesti-ilmoitus. Kolmas vaihtoehto olisi soittaa asiakkaille, ja varoittaa heitä. Neljäs tapa olisi tiedottaa siitä pankin mobiilisovelluksessa, ja mielellään vielä etusivulla, hyvin näkyvästi ja näkyvällä paikalla.

On myös naurettavaa, että pidetään yleistietona sitä, että seuraa Iltalehteä. Ainoat paikat, missä asiakas huomasi tapahtuman jälkeen asiasta maininnan olivat pankin nettisivut ja puhelinnumero. Eli soittaessa pankkiin tai pankin nettisivuja pitkälle selatessa saattoi nähdä varoitukset.

Pankin mobiilisovellus toimii myös aivan ala-arvoisesti. Kirjautuminen ei toimi suurimman osan ajasta. Huonosti suunnitellut tai huonosti toimivat pankkisovellukset ovat myöskin suuri turvallisuusriski.

Pankin vastine

Rikollisen lataaman pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Asiakkaalle on toimitettu pankin mobiilisovelluksen lataamiseen tarvittu vahvistuskoodi tekstiviestillä 22.7.2022 kello 19.28.

Asiakas myöntää antaneensa tiedot huijausviestistä auenneeseen huijaussivustoon, vaikka tekstiviesti on sisällöltään huonoa suomea ja poikkeaa merkittävästi pankin aidoista viesteistä. Näin rikollinen on saanut käyttöönsä asiakkaan antamilla tiedoilla rikollisen laitteelle Samsung SM-A035G 22.7.2022 klo 19.29 ladatun pankin mobiilisovelluksen. Asiakas kertoo käyttävänsä itse iPhonea.

Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella. Pankin mobiilisovellusta käyttäessä vahvistamien tapahtuu sovelluksessa käyttäen sovelluksen PIN koodia tai käyttäen kasvojen tunnistusta/sormenjälkeä, kuten pankkien mobiilisovelluksissa yleensäkin, eikä tilisiirtojen hyväksyminen tällöin vaadi erillistä vahvistuskoodia.               

Lopputuloksen kannalta ei ole merkitystä, vaikka asiakas olisi luullut ottavansa pankin mobiilisovellusta käyttöön omassa puhelimessaan. Jos asiakas olisi noudattanut viestissä olleita selkeitä ohjeita, "anna vahvistuskoodi 3593 S-mobiilissa. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle.", rikollinen ei olisi saanut otettu pankin mobiilisovellusta käyttöönsä. Asiakas päätti kuitenkin menetellä nimenomaisen kiellon vastaisesti ja syöttää koodin rikollisen laatimalle huijaussivustolle. Ohjeita noudattaessaan asiakas olisi yrittänyt syöttää koodin omaan mobiilisovellukseensa ja havainnut, että sovellus ei pyydä koodia.

Asiakas on sulkenut pankkitunnuksensa 22.7.2022 kello 20.37. Reklamoidut tapahtumat on tehty ennen pankkitunnusten sulkuilmoitusta kello 19.34-19.47 välisenä aikana.

Asiakas myöntää syöttäneensä verkkopankkitunnuksensa huijaussivustolle. Pankki katsoo, että asiakkaan on täytynyt syöttää vahvistuskoodi huijaussivustolle, koska asiakkaan oma pankin mobiilisovellus ei ole voinut pyytää kyseistä koodia. Näin ollen asiakas on toiminut viestin nimenomaisen kiellon vastaisesti "Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle." Viestin koodia ei koskaan tulisi syöttää muualle kuin pankin mobiilisovellukseen. Lisäksi rikollisen lähettämän tekstiviestin sisällön olisi pitänyt herättää asiakkaan epäilykset, koska linkki on epämääräinen ja sisältö huonohkoa suomea.

Pankki ei koskaan kysy asiakkaan pankkitunnuksia, luottokorttitietoja tai muita arkaluonteisia tietoja tekstiviestillä, sähköpostiviestillä tai puhelimitse. Pankin sivuilla on kerrottu laajasti turvallisesta pankkiasioinnista. Asiakas on toiminut törkeän huolimattomasti verkkopankkitunnuksensa linkistä auenneelle internet sivustolle.

Rikolliset pystyvät lähettämään tekstiviestinsä niin että ne näyttävät tulevan samassa viestiketjussa, jossa pankin aidot tekstiviestit näkyvät. Tähän pankit eivät voi yksin vaikuttaa vaan tarvitsevat tämän harmillisen huijauksen ehkäisemiseen yhteistyötä teleoperaattoreiden kanssa. Teleoperaattorit yhdessä poliisin kanssa pyrkivät löytämään keinoja lähettäjätiedon väärentämisen estämiseksi. Erilaisista huijauksista ja erityisesti tekstiviestitse tapahtuvasta kalastelusta on uutisoitu laajalti kevään ja kesän aikana niin mediassa kuin pankin virallisissakin kanavissa, joten asiakkaan on täytynyt myös olla tietoinen tällaisen mahdollisuudesta. Lisäksi pankin mobiilisovelluksessa on varoitettu huijauksista. Näin ollen huolellisesti toimivan keskivertokuluttajan voidaan katsoa olevan tietoinen ilmiöstä.

Lisäksi viesti sisälsi epämääräisen linkin ja tekstiviesti poikkeaa olennaisesti pankin muun viestinnän sisällöstä. Asiakas pystyy kuitenkin helposti huomaamaan samassa viestiketjussa olevista viesteistä erot pankin oikeiden viestien ja rikollisen lähettämän hyvin poikkeuksellisen viestin välillä. Pankin oikeat viestit päättyvät "Terveisin [Pankki]" eikä niissä koskaan ole linkkiä. Asiakas on oikeassa siinä, että ajanvarauksen osalta pankin tekstiviesteissä on linkkejä. Niiden poistaminen on työn alla. On kuitenkin huomattava, että linkkistä aukeaa vain ajanvaraukseen liittyvä sivusto, johon asiakas ei voi syöttää verkkopankkitunnuksiaan, vaan ainoastaan varaustunnuksen.

Lisäksi mainittakoon, että huijauksista on uutisoitu laajasti kevään ja kesän aikana. Esimerkiksi Varo huijausviestiä — kohteena S-Pankin ja OP:n asiakkaat (iltalehti.fi). Näin ollen voidaan todeta, että keskivertokuluttajan voidaan olettaa tietävän liikkeellä olevista huijausviesteistä ja huijaussivuista.

Asiakas on myös kokenut pankin mobiilisovelluksen käyttäjä, joten hänen olisi tullut ymmärtää, ettei sen normaaliin käyttämiseen tarvita vahvistuskoodeja.

Asiakas on vedonnut sivuston olleen identtinen pankin sivuston kanssa. Pankki ymmärtää, että nykyisin rikollisten laatimia huijaussivuja on lähes mahdotonta erottaa pankin aidoista verkkopankkisivuista. Tältä osin pankki ei pidä asiakkaan menettelyä huolimattomana.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas on luovuttanut verkkopankkitunnuksensa ehtojen nimenomaisen kiellon vastaisesti verkkosivulle, johon sai linkin tekstiviestillä. Pankki katsoo asiakkaan toimineen törkeän huolimattomasti käyttäessään pankin lähettämän tekstiviestin koodia, vaikka linkki tuli tekstiviestitse ja oli muodoltaan epämääräinen, ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella tehdyistä tilisiirroista.

Pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi kesällä järjestelmähäiriö. Pankki on ollut yhteydessä kaikkiin niihin asiakkaisiin, joita häiriö on koskettanut ja korvannut näille asiakkaille häiriön mahdollistamat oikeudettomat maksut. Kyseinen häiriö ei ole vaikuttanut asiakkaaseen, eikä tällä tapauksella ole mitään tekemistä järjestelmähäiriön kanssa.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
  • Kuvakaappaus rikollisten pankin nimissä asiakkaalle lähettämästä tekstiviestistä samassa ketjussa pankin asiakkaalle lähettämien viestien kanssa.
  • Linkkejä uutisartikkeleihin

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, joka on tullut asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien viestien kanssa. Viestissä olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle Samsung SM-A035G -laitteelleen. Tämän johdosta pankki on lähettänyt 22.7.2022 kello 19.28 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-mobiilisovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 3593 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki].”

Pankkilautakunta katsoo selvitetyksi, että asiakas on syöttänyt myös tekstiviestitse saamansa koodin valesivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien oikeiden viestien kanssa.

Pankkilautakunta katsoo, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuuluneen tietoa tämänkaltaisista verkkourkinta-tapauksista ja erityisesti siitä, että rikolliset voivat lähettää pankin nimissä tekstiviestejä, jotka näkyvät uhrien puhelimissa samassa viestiketjussa pankin lähettämien aitojen tekstiviestien kanssa. Tämän lisäksi lautakunta katsoo, ettei asiakkaan voida tässä tapauksessa edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä, ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta etenkään, jos viesti tulee asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien aitojen viestien kanssa.

Edelleen Pankkilautakunnan tiedossa on, että – toisin kuin pankki on asiassa väittänyt – myös pankki on lähettänyt asiakkailleen linkin sisältäviä tekstiviestejä ja tekstiviestejä, jotka eivät pääty "Terveisin [Pankki]". Myös tässä tapauksessa pankki on myös itse heti tapahtumien jälkeen samana iltana lähettänyt asiakkaalle ajanvarausta koskeneen tekstiviestin, jossa on linkki pankin sivuille. Vaikka pankin lähettämän linkin kautta avautuvilla sivuilla ei edellytettäisi pankkitunnusten käyttämistä, voi tämä pankin toimintatapa lähettää asiakkailleen linkkejä sisältäviä viestejä osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle.

Ottaen edellä todetun lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, kielletään syöttämästä koodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa pankin mobiilisovellusta käyttöön. Mikäli asiakas olisi tuossa vaiheessa viestissä olleen ohjeen mukaisesti jättänyt koodin syöttämättä verkkosivuille ja/tai olisi ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Tämän vuoksi lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakas on tässä tapauksessa lukenut saamansa viestin, mutta on kertomansa mukaan edellisessä viestissä olleen linkin kautta kirjautumisen jälkeen ja ennen jälkimmäisen viestin saamista yrittänyt päästä pankin mobiilisovellukseensa siinä onnistumatta. Asiakas on kertomansa mukaan luullut mobiilisovelluksensa olevan lukittuna ja viestissä olleen vahvistuskoodin liittyvän lukitukseen, ja hän on yrittänyt viestissä olleella koodilla päästä mobiilisovellukseensa. Tähän on asiakkaan mukaan osaltaan vaikuttanut se, että pankin viesti on harhaanjohtava ja epäinformatiivinen, ja erityisesti ”tällä numerolla”-muotoilulla asiakas on ymmärtänyt pankin viittaavan asiakkaan numeroon, vaikka tosiasiassa uusi pankin mobiilisovellus oli ladattu asiakkaalle tuntemattomaan Samsung-puhelimeen, josta ei viestissä mainittu.  

Pankkilautakunta on jo edellä katsonut, että pankin mobiilisovelluksen vahvistuskoodin on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Näin ollen asiakas ei tosiasiassa ole avannut puhelimessaan ollutta pankin mobiilisovellusta, vaan on pankin mobiilisovelluksen vahvistuskoodin saatuaan asioinut edelleen valesivuilla.

Pankkilautakunta pitää kuitenkin mahdollisena, että asioituaan ensin puhelimensa selaimessa pankin verkkopankilta näyttäneillä valesivuilla ja käytettyään siellä pankkitunnuksiaan asiakas on luullut itse avanneensa puhelimessaan olevan pankin mobiilisovelluksen, mutta on tosiasiassa päätynyt puhelimensa selaimessa valesivujen kautta toisille valesivuille, jotka ovat ulkonäöltään näyttäneet pankin mobiilisovellukselta, ja joilla rikolliset ovat voineet esittää asiakkaalle näkymän, jonka mukaan hänen oma lukittu mobiilisovelluksensa olisi aktivoitava uudelleen käyttöön. Tältä osin lautakunta katsoo, että huolellisesti toimivan pankin mobiilisovelluksen käyttäjän tulisi huomata, jos hän ei tosiasiassa ole avannut sovellusta, vaan asioi edelleen selaimessa. Edelleen lautakunta kuitenkin katsoo, että jos asiakas on puhelimensa näytön näkymän perusteella luullut olevansa pankin mobiilisovelluksessa, joka on lukkiutunut ja joka on tämän vuoksi pitänyt ottaa uudelleen käyttöön, on hänen tällöin pankilta saamansa vahvistuskoodin sisältänyt tekstiviesti ollut juuri se, jota asiakas on tuossa tilanteessa perustellusti voinut odottaa saavansa.

Asiassa saadun selvityksen perusteella jää osin epäselväksi, miten asiakkaan asioinnin vaiheet ovat näyttäneet asiakkaan puhelimen näytöllä etenevän. Ottaen kuitenkin huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt pankin tekstiviestissä olleen vahvistuskoodin olleen hänen omassa puhelimessaan olleen ja lukituksi tulleen pankin mobiilisovelluksen uudelleen käyttöönottoa varten pankin lähettämä koodi, lautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä