Tapahtumatiedot
Asiakas on saanut 8.8.2022 klo 20.29 tekstiviestin, joka on näyttänyt tulleen pankin puhelinnumerosta ja jossa on lukenut: ”Uusi maksunsaaja on lisätty tänään tilillesi. Jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: https://online[pankin nimi]-fin.com”. Asiakas on avannut linkin ja yrittänyt kirjautua pankkitunnuksillaan.
Asiakas on saanut klo 20.32 pankilta pankin mobiilisovelluksen käyttöönottoon vaadittavan vahvistuskoodin sisältäneen tekstiviestin, jossa on todettu seuraavaa:
”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 1796 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki].”
Asiakkaan pankkitunnuksilla ja hänelle em. tekstiviestissä olleella vahvistuskoodilla on otettu käyttöön asiakkaan nimiin pankin mobiilisovellus uudella laitteella (iPhone 14,2) klo 20.33.
Asiakkaan laitteella (Samsung SM-A715F) käytössä ollut pankin mobiilisovellus on poistettu käytöstä klo 20.36 ja otettu uudelleen käyttöön klo 20.45, jota varten asiakas on saanut toisen samanlaisen pankin mobiilisovelluksen käyttöönottoon vaadittavan tekstiviestin. Asiakkaan laitteella olevalla pankin mobiilisovelluksella on hyväksytty klo 20.45 asiakkaan korttitiedoilla tehty 5.838,80 euron maksu Farfetch Europe Trading B -maksunsaajalle.
Pankin monitorointi on estänyt tämän maksun ja asiakkaalle on lähetetty klo 20.49 verkkopankkiviesti, jossa on todettu seuraavaa:
”Hei [asiakas]!
Korttitapahtumiesi perusteella [korttitietosi] ovat saattaneet päätyä vääriin käsiin. Turvallisuussyistä suljemme korttisi väliaikaisesti. Väliaikainen sulku tulee voimaan viimeistään seuraavana arkipäivänä.
Pyydämme sinua soittamaan meille pikaisesti ja vahvistamaan, oletko itse tehnyt alla olevan oston. Päivämäärä: 8.8.2022 20:45:13
Veloittaja: Farfetch Europe Trading B
Summa: 5838,80 €
[…]”
Uudella laitteella (iPhone) käyttöön otetulla pankin mobiilisovelluksella on hyväksytty neljä oikeudetonta asiakkaan korttitiedoilla (korttinumero, kortin voimassaoloaika ja turvakoodi) tehtyä maksua:
Maksunsaaja | Summa | Vahvistettu klo |
Wise | 2.008,20 euroa | 20.48 |
Wise | 2.008,20 euroa | 20.52 |
Wise | 2.008,20 euroa | 20.55 |
Wise | 349,43 euroa | 20.57 |
Yhteensä | 6.374,03 euroa |
Asiakkaan pankkitunnukset on suljettu 9.8.2022 klo 05.18 ja asiakkaan kortti on suljettu klo 05.23 asiakkaan soitettua sulkupalveluun. Asiakkaan kortti on suljettu asiakkaan ilmoituksen perusteella ennen kuin se olisi suljettu monitoroinnin perusteella.
Asiakkaalle on pankin monitoroinnista lähetetty tekstiviesti 9.8.2022 klo 08.00, jossa on todettu seuraavaa:
”Hei! [Asiakkaan kortille] on tullut seuraava tapahtuma: 08-08-2022 20:45:13, Farfetch Europe Trading B, 5838,80 euroa. Haluamme varmistaa, oletko itse tehnyt tapahtuman. Turvallisuussyistä olemme väliaikaisesti sulkeneet korttisi. Soitathan meille pikaisesti asian selvittämiseksi. […]”
Asiakkaan valitus
Asiakas on valituksessaan todennut tehneensä tilisiirron pankin mobiilisovelluksessa uudelle maksunsaajalle 8.8.2022 noin klo 19.45. Hän sai klo 20.29 pankin numerosta samaan ketjuun pankin aiempien viestien kanssa tekstiviestin, jossa on ilmoitettu uuden maksusaajan lisäämisestä ja annettu linkki. Asiakkaalla ei ollut syytä epäillä, ettei pyyntö ollut oikea. Asiakas avasi linkin ja päätyi pankin verkkopankin kirjautumissivulta näyttävälle sivulle. Asiakas normaalisti kirjautui pankkitunnuksillaan verkkopankkiin ja syötti sivustolle myös tekstiviestitse saamansa koodin. Pankki lähettää aina vahvistuskoodin, joka täytyy antaa. Tapahtumat etenivät kuten aina. Asiakas ei hyväksynyt mitään maksuja.
Pankin klo 20.32 lähettämällä vahvistuskoodin sisältäneellä tekstiviestillä pankki vain vahvisti, että tunnistautuminen menee oikein. Asiakas ajatteli sen olevan osa tunnistautumisprosessia. Viestissä ei ollut mitään varoituksia, sillä siinä ei pyydetä vahvistamaan tapahtumia/maksuja/veloituksia tililtä.
Aamulla herättyään asiakas tarkasti pankkitilinsä saldon ja huomasi, että hänen kaikki rahansa olivat kadonneet tililtä. Asiakas sulki tämän jälkeen korttinsa ja pankkitunnuksensa.
Pankista tuli 9.8.2022 klo 8.00 eri numerosta tekstiviesti, jossa häntä kehotettiin tarkistamaan rahasiirto 5.830 euron summasta. Viestin tapahtuman kellonaika oli 20.45, mutta se lähetettiin asiakkaalle vasta klo 8.00 seuraavana aamuna. Asiakas tiedustelee, miksi pankki ei informoinut asiakasta heti, vaan vasta tilin tyhjentämisen jälkeen. Pankki ei myöskään puuttunut mitenkään asiakkaan reklamoimiin tilisiirtoihin, vaikka oli tietoinen epätavallisista rahansiirroista. Asiakkaalle ei myöskään ilmoitettu pankin 8.8.2022 klo 20.49 verkkopankkiviestistä eikä hän siten voinut huomata kyseistä viestiä ajoissa.
Pankki ei ole ennakolta varoittanut asiakkaita tällaisen rikollisen toiminnan olemassaolosta.
Pankin järjestelmässä on jokin tietoturvavika, jonka vuoksi rikolliset ovat päässeet helposti hyökkäämään pankin mobiilisovelluksen kautta pankin asiakkaiden tileille ja tyhjentäneet ne rahoista.
FINE on pyytänyt asiakkaalta lisäselvitystä mm. korttitietojen päätymisestä ulkopuolisen tietoon. Asiakas on ilmoittanut, että hänellä ei ole mitään lisättävää aiemmin antamiinsa tietoihin. Uhrin on vaikea antaa jäljestäpäin oikeat vastaukset hänelle esitettyihin kysymyksiin, että miksi uhri toimi näin ja niin silloin. Uhri voi pelkästään jälkikäteen antaa faktat tapahtuneesta ja analysoiden olettaa, miksi hän toimi näin. Asiakkaalla ei ollut silloin aikaa miettimiseen. Hän oli peloissaan ja teki kirjaimellisesti sen, minkä pankki pyysi tekemään luottaen pankilta tulleisiin viesteihin ja ohjeisiin. Asiakkaalle ei tullut mieleen alkaa lukea sopimuksia pankin ja asiakkaan välillä, kun hän ajatteli, että häntä uhkaa vaara. Asiakas ei halua enää käsitellä asiaa enempää, sillä se ahdistaa häntä ja heikentää elämänlaatua, vaan pyytää asiassa ratkaisusuositusta.
Asiakas vaatii pankkia korvaamaan 6.374,03 euroa.
Pankin vastine
Pankki on vastineessaan todennut, että rikolliset pystyvät valitettavasti näyttämään viestit samassa viestiketjussa kuin pankin aidot viestit. Tätä pankit eivät pysty estämään ilman yhteistyötä tekstiviestejä tarjoavien teleoperaattoreiden kanssa. Toisaalta samassa viestiketjussa olevien viestien osalta asiakkaan olisi ollut helppo huomata huijausviestien poikkeuksellisuus pankin aitoihin viesteihin verrattuna. Aidoissa viesteissä ei ole linkkejä internetsivuille ja aidot viestit loppuvat ”Terveisin [pankki].” Rikollisen lähettämä viesti poikkesi huomattavasti pankin normaalista viestinnästä.
Pankin lokitietojen mukaan kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu rikollisen käyttämään laitteeseen iPhone 8.8.2022 klo 20.33. Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.
Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä 8.8.2022 klo 20.33 asiakkaan numeroon. Tämän jälkeen asiakkaan reklamoimat oikeudettomat tapahtumat tehtiin 8.8.2022 klo 20.48–20.57 välisenä aikana. Asiakas on sulkenut pankkitunnuksensa soittamalla sulkupalveluun 9.8.2022 klo 05.18. Kortin asiakas on sulkenut klo 05.23. Oikeudettomat tapahtumat on siis toteutettu hyvissä ajoin ennen asiakkaan yhteydenottoa sulkupalveluun.
Asiakas on edellä kuvatun mukaisesti antanut verkkopankkitunnuksensa, korttitietonsa sekä pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin huijaussivustolle ja hän oli mielestään kirjautumassa pankin verkkopankkiin tarkistamaan lisättyä maksunsaajaa. Tästä huolimatta hän antoi pankin tekstiviestinä lähettämän vahvistuskoodin ”1796”, vaikka tekstiviestin selkeän sanamuodon mukaan se oli tarkoitettu pankin mobiilisovelluksen käyttöönottoon ja siinä yksiselitteisesti varoitettiin antamasta koodia toiseen sovellukseen tai verkkosivulle. Viimeistään tässä vaiheessa asiakkaan olisi tullut ymmärtää, että kyse on huijauksesta. Asiakas antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin pankkitunnusten ehtojen nimenomaista kieltoa.
Asiakas on myöntänyt reklamaatiossaan, että on antanut korttitiedot. Asiakkaan reklamoimiin tapahtumiin on tarvittu kokonainen korttinumero, turvakoodi sekä kortin voimassaoloaika. Edellä mainitut tiedot löytyvät ainoastaan fyysisesti kortista. Näitä ei siis näy verkkopankissa eikä pankin mobiilisovelluksessa.
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Pankki katsoo asiakkaan toimineen törkeän huolimattomasti käyttäessään pankin lähettämän tekstiviestin koodia, vaikka ei ollut ottamassa käyttöön pankin mobiilisovellusta, ja vastaavan korttiehtojen mukaan täysimääräisesti hänen korttinsa tiedoilla tehdyistä ja hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella vahvistetuista oikeudettomista maksutapahtumista.
Pankki pyrkii turvaamaan asiakkaittensa varat mahdollisten petosten ja huijausten varalta. Sääntely vaatii maksujen välitykseltä nopeutta ja samaa aikaan eri petos- ja huijaustyypit lisääntyvät huomattavasti. Petoksista onkin tullut arkipäivää. Pankilla on vain rajalliset mahdollisuudet havaita kaikkia epäasiallisia toimijoita ja oikeudettomia maksuja, vaikka pankki tekeekin jatkuvasti töitä erilaisten huijausten tunnistamiseksi ja estämiseksi.
Asiakkaan Samsung-puhelimessa vuodesta 2020 asti käytössä ollut pankin mobiilisovellus poistettiin käytöstä 8.8.2022 klo 20.36 ja otettiin uudelleen käyttöön klo 20.45. Kirjautumistiedoista päätellen on mahdollisesti käynyt niin, että huijari on ottanut käyttöön pankin mobiilisovelluksen omalla iPhone-puhelimellaan klo 20.33. Tämän jälkeen huijari on ottanut asiakkaan Samsung-puhelimella olleen pankin mobiilisovelluksen pois käytöstä klo 20.36. Kun asiakas on tämän huomannut, on asiakas itse ladannut pankin mobiilisovelluksen uudelleen omalle Samsung-puhelimelleen.
Asiakkaan mainitsema korttitapahtuma (Farfetch Europe Trading B, 5.838,80 euroa) on hyväksytty asiakkaan Samsung-puhelimella 8.8.2022 klo 20.45. Kirjautumistiedot viittaisivat siihen, että asiakas on itse hyväksynyt tämän maksun, mahdollisesti huomaamattaan esimerkiksi kirjautuessaan pankin mobiilisovellukseen.
Edellä mainittu korttitapahtuma on jäänyt kiinni pankin monitoroinnissa ja siitä on lähetetty asiakkaalle verkkoviesti 8.8.2022 klo 20.49. Asiakkaalle on lähetetty tekstiviesti 9.8.2022 klo 8.00, mutta tällöin asiakkaan kortti ja verkkopankkitunnukset oli jo suljettu pankin sulkupalvelussa. Valitettavasti reklamoidut tapahtumat ehdittiin kuitenkin tehdä ennen tätä.
Tässä tapauksessa ei ole kyse siitä, että pankin verkkopankin tai mobiilisovelluksen turvallisuus olisi pettänyt, vaan asiakas on ehtojen ja ohjeistuksen vastaisesti antanut verkkopankkitunnuksensa tekstiviestin linkistä avautuneelle sivustolle.
Selvitykset
Asiakkaan poliisille 9.8.2022 tekemässä tutkintailmoituksessa on todettu asiakkaan avanneen tekstiviestitse saamansa linkin. Seuraavassa asiakkaan saamassa viestissä kerrottiin, että tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellusta] ja taas kehotettiin tarkastamaan asiaa. Asiakas oli antanut linkin takaa avautuneelle, täysin pankin oikeilta sivuilta vaikuttaville sivuille henkilökohtaiset verkkopankkitunnuksensa, mobiilipankin tunnukset sekä myös pankkikortin numeron varmistuslukuineen. Aamulla asiakas oli mennyt verkkopankkiinsa hoitamaan pankkisasioita ja oli huomannut, että tilillä oli rahaa ainoastaan noin kolme euroa.
Asiassa on Pankkilautakunnalle toimitettu lisäksi kuvankaappauksia asiakkaan saamista tekstiviesteistä sekä pankin pankkitunnusten ehdot sekä korttiehdot.
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnus- ja korttiehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Lisäksi lautakunnan on arvioitava, olisiko pankin tullut valvoa asiakkaan kortin käyttöä tarkemmin ja mahdollisesti estää korttimaksut.
Sovellettavat lainkohdat ja sopimusehdot
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan:
”Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.”
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan:
”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.”
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:
”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa.
Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) ja korttiehtojen kohdat, jotka koskevat asiakkaan vastuuta tunnistusvälineiden ja kortin oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
”Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tnnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].”
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
”Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.”
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone-laitteelleen. Tämän johdosta pankki on lähettänyt 8.8.2022 klo 20.32 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 1796 [pankin mobiilisovelluksessa}. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki].”
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen.
Poliisille tekemässään tutkintailmoituksessa asiakas on kertonut antaneensa linkistä auenneelle verkkosivulle myös pankkikortin numeron varmistuslukuineen. Pankin selvityksen mukaan korttitapahtumiin on tarvittu kokonainen korttinumero, turvakoodi sekä kortin voimassaoloaika. Asiakas ei ole kiistänyt syöttäneensä korttitietoja linkistä avautuneille sivuille. Lautakunta katsoo asiakkaan syöttäneen verkkosivuille maksujen tekemiseen tarvittavat korttitiedot.
Pankkilautakunta katsoo, että em. rikollisten iPhone-puhelimella olevalla pankin mobiilisovelluksella on suljettu asiakkaan Samsung-puhelimella oleva pankin mobiilisovellus klo 20.36. Edelleen lautakunta katsoo, että asiakas on ottanut Samsung-puhelimellaan olevan pankin mobiilisovelluksen käyttöön uudelleen klo 20.45. Asiakkaalle on tämän vuoksi lähetetty pankista uusi tekstiviesti, jossa olevalla vahvistuskoodilla on otettu uudelleen käyttöön asiakkaan puhelimella oleva pankin mobiilisovellus. Tällä asiakkaan puhelimella olevalla pankin mobiilisovelluksella on hyväksytty asiakkaan korttitiedoilla tehty 5.838,80 euron maksu Farfetch Europe Trading B -maksunsaajalle klo 20.45. Pankin monitorointi on estänyt tämän maksun, eikä siitä ole siten aiheutunut asiakkaalle vahinkoa.
Asiakkaan reklamoimat oikeudettomat maksutapahtumat on tehty asiakkaan korttitiedoilla, ja ne on hyväksytty klo 20.48–20.57 rikollisten iPhone-puhelimelle käyttöön otetulla pankin mobiilisovelluksella vahvistaen. Pankkilautakunta katsoo, että maksut on siten tehty ja hyväksytty edellä mainitulla tavalla, eikä asiassa ole näyttöä siitä, että kyseessä olisi asiakkaan esittämällä tavalla pankin järjestelmässä olevasta tietoturvapuutteesta.
Asiakkaan pankkitunnukset on suljettu 9.8.2022 klo 05.18 ja asiakkaan kortti on suljettu klo 05.23 asiakkaan soitettua sulkupalveluun.
Sovellettavasta laista
Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Edelleen Pankkilautakunnan tiedossa on, että – toisin kuin pankki on asiassa väittänyt – myös pankki on lähettänyt asiakkailleen linkin sisältäviä tekstiviestejä ja tekstiviestejä, jotka eivät pääty "Terveisin [Pankki]". Vaikka pankin lähettämän linkin kautta avautuvilla sivuilla ei edellytettäisi pankkitunnusten käyttämistä, voi tämä pankin toimintatapa lähettää asiakkailleen linkkejä sisältäviä viestejä osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle.
Asiakkaan mukaan tekstiviestissä olleesta linkistä avautuneet verkkosivut ovat olleet pankin verkkosivujen näköiset. Asiakas on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan. Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Asiakas on kuitenkin syöttänyt valesivustolle myös korttitietonsa. Asiakas ei ole esittänyt perustetta sille, minkä vuoksi korttitietojen syöttäminen olisi ollut tarpeen uuden maksunsaajan lisäämiseksi asiakkaan tilille. Pankkilautakunta katsoo, että asiakas on siten laiminlyönyt maksupalvelulain mukaisen korttitietojen huolellisen säilyttämisen velvollisuuden. Pankkilautakunta katsoo lisäksi, että asiakkaan olisi huolellisesti toimiessaan tullut jo tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta.
Pankkilautakunta katsoo lisäksi, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi syöttämättä verkkosivuille. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Aiemmassa ratkaisukäytännössään Pankkilautakunta on katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Em. pankin tekstiviestissä on kerrottu koodia käytettävän pankin mobiilisovelluksen käyttöönottoon. Viestissä on lisäksi todettu seuraavaa: ”Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin].”
Asiakkaan syötettyä pankin tekstiviestitse lähettämän koodin linkin kautta avautuneille sivuille huomioimatta tekstiviestin sisältöä Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.
Ottaen huomioon korttitietojen antamisen ja erityisesti pankin lähettämän aktivointikoodin sisältäneen tekstiviestin sisällön Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.
Pankkilautakunta katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Pankin velvollisuus estää maksutapahtumia
Asiakas on lisäksi vedonnut siihen, että pankin olisi pitänyt valvoa asiakkaan kortin käyttöä ja estää asiakkaan reklamoimat korttimaksut, kun pankki oli jo näitä ennen estänyt yhden asiakkaan kortilla tehdyn maksun.
Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.
Lopputulos
Pankkilautakunta ei siten suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Heino
Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen