Tapahtumatiedot
Asiakas on saanut 6.7.2022 klo 20.38 samassa ketjussa pankin lähettämien tekstiviestien kanssa pankin nimissä lähetetyn tekstiviestin, jossa on lukenut seuraavaa:
”Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa https://arvostelu.online/[Pankki]/”
Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla käyttänyt pankkitunnuksiaan kirjautuakseen pankin palveluun.
Pankin mobiilisovellus on ladattu ja otettu käyttöön 6.7.2022 klo 22.05 laitteelle iPhone 11. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 6.7.2022 klo 22.04 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 2959 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]"
Pankin mobiilisovellusta käyttäen on 6.7.2022 klo 22.09-22.44 välisenä aikana ensin siirretty asiakkaan luottokortilta yhteensä 4.240,00 euroa asiakkaan käyttötilille ja tämän jälkeen asiakkaan käyttötililtä on tehty kolme tilisiirtoa yhteismäärältään 5.534,00 euroa. Asiakkaan tilille on myös tullut 929,00 euron suoritus. Pankki on perinyt luottokortilta tehdyistä siirroista asiakkaalta yhteensä 132,20 euron palvelumaksut.
Asiakkaan kortti on suljettu 6.7.2022 kello 23.17 ja verkkopankkitunnukset 7.7.2022 klo 00.31.
Asiakkaan valitus
Asiakas vaatii, että pankki jättää perimättä Visa-luottoa, jotka rikollisen huijausviestin keinoin siirrettiin pois, ja että asiakkaan jo maksamat luotoltasiirtopalkkiot 132,20 euroa ja korot luotosta palautettaisiin asiakkaalle.
Asiakas oli juuri 6.7.2022 illalla palannut kotiin kolmen viikon Filippiinien matkalta. Filippiineillä ollessaan asiakas kävi 24.6.2022 pankkiautomaatilla nostaakseen rahaa ja kokeili Visa-korttiaan automaatissa, mutta se ei silloin toiminut. Asiakas sai kahdella yrityksellään vain saldotodistuksen, joista tiliotteella näkyy saldokyselypalkkiomaksut. Toisella automaatilla asiakas sai tehtyä noston toisen pankin kortilla. Asiakas ei käyttänyt sitten matkalla ollessaan Visa-korttiaan ollenkaan.
Asiakas oli väsynyt pitkästä lentomatkasta ja aikaerosta. Filippiineillä ei ollut kunnollisia nettiyhteyksiä, eikä asiakas ollut päässyt tarkistamaan pankin tilitapahtumia, saati mitään tiedotteita tai sähköposteja. Asiakas ei myöskään päässyt lukemaan kotimaisia lehtiä tai muita julkaisuja. Päästyään illalla noin klo 18.30 kotiin asiakas katsoi tietokoneelta sähköpostit ja pankkitilien tapahtumat. Koneella istuessaan hän sai tekstiviestin klo 20.38: "Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa osoitteessa https://arvostelu.online/[Pankki]/ . "
Viesti tuli pankin viestiketjuun ja näytti täysin aidolta pankin viestiltä, ja asiakas oletti sen tulleen pankilta. Asiakas yhdisti tämän "epänormaalin toiminnan" Filippiineillä pankkiautomaatilla käyntiin ja mietti, oliko silloin jotain kuitenkin tapahtunut tilillä, kun ei ollut päässyt tarkastamaan tiliä koko matkan aikana. Asiakas tietenkin huolestui ja alkoi tarkistamaan, mistä oli kyse. Asiakas oletti koko ajan toimivansa pankin kanssa. Asiakas painoi linkkiä ja siinä pyydettiin kirjautumaan mobiilipankkiin. Sen jälkeen asiakas sai vahvistuskoodit kahdella tekstiviestillä pankilta klo 21.56 ja klo 22.04. Viesteissä kerrottiin, että tällä numerolla ollaan ottamassa pankin mobiilisovellusta käyttöön. Asiakas ymmärsi aivan, että itse oli menossa sinne mobiilipankkiin ja itse on ottamassa sovellusta käyttöön. Sitä asiakas mietti, miksi varmennusviestejä tuli kaksin kappalein.
Asiakas kävi itse ensin verkkopankissa klo 23.11 katsomassa, mikä tämä tapahtuma oikein oli ja silloin hän havaitsi, että tili oli tyhjennetty ja Visa-luotto nostettu. Asiakas toimi väsymyksestä huolimatta välittömästi ja soitti pojalleen, joka kehotti heti soittamaan sulkupalveluun. Kortin asiakas saikin melko nopeasti suljettua, mutta pankkitunnusten sulkupalveluun piti odottaa todella kauan ennen kuin pääsi läpi ja asiakas joutui soittamaan kahdesti ennen kuin sieltä vastattiin. Asiakas toimi niin nopeasti kuin siinä tilanteessa oli mahdollista.
Pankki ei ota lainkaan vastuulleen näissä tekstiviestihuijauksissa tapahtuneita petoksia, vaan piiloutuu varoitustensa taakse. Asiakas ei ollut nähnyt tai päässyt lukemaan varoituksia juuri tällaisista huijauksista, sillä niitä oli tullut vasta asiakkaan matkalle lähdön 15.6.2022 jälkeen, ulkomailla oli olemattomat nettiyhteydet eikä asiakas ollut päässyt verkkopankkiin tai saanut esim. sähköpostia koko matkan aikana. Lehdistössä julkaisuja on joka tapauksessa suhteellisen paljon, kaikkea ei tule huomioitua ja ei kai ole asiakkaan törkeää huolimattomuutta, jos ei muista lukeneensa kaikkea, mitä iltapäivälehdissä on julkaistu. Huijauksia on myös monenlaisia eikä asiakas välttämättä ymmärrä, mitä mikäkin tarkoittaa.
Asiakas toki tietää vastuunsa pankin tarjoamien palveluiden huolellisesta käytöstä ja niin hän on myös aina tehnyt. Tässä huijauksessa asiakasta on vain huijattu uskomaan, että hän toimii pankin kanssa. Pankillakin on oltava vastuu siitä, että sen tarjoamat palvelut ovat kaikkien asiakkaiden turvallisia käyttää.
Pankin vastine
Pankin vastaus
Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella. Mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle iPhone 11 - Apple iPhone 12,1 06.07.2022 klo 22.05. Asiakkaalla on käytössä Samsung SM-A426B -laite.
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä 6.7.2022 klo 22.04.42 asiakkaan puhelinnumeroon lähetetty vahvistuskoodi. Asiakas on myöntänyt syöttäneensä vahvistuskoodin ja verkkopankkitunnuksensa huijaussivustolle.
Vahvistuskoodi on lähetetty myös klo 21.56, koska pankin mobiilisovellusta on yritetty ladata kaksi kertaa eli kirjautumisyrityksiä on kaksi. Asiakkaan on täytynyt syöttää verkkopankkitunnuksensa kaksi kertaa huijaussivustolle, koska vahvistuskoodin lähettäminen edellyttää uutta tunnuslukutaulukon koodia. Rikollisen ensimmäinen kirjautumisyritys on todennäköisesti epäonnistunut.
Asiakkaan verkkopankkitunnukset on suljettu 7.7.2022 klo 00.31 ja kortti 6.7.2022 klo 23.17. Reklamoidut tapahtumat on tehty 6.7.2022 kello 22.09-22.44, ennen pankkitunnusten sulkuilmoitusta.
Asiakas kertoo soittaneensa pankkitunnusten sulkupalveluun puhelimensa mukaan 6.7.2022 jo klo 23.34 ja on pyytänyt tästä pankilta lisäselvitystä. Pankki voi pyytää sulkupalvelultaan tarkemman selvityksen, mutta reklamoidut tapahtumat on tehty jo ennen asiakkaan ilmoittamaa soittoaikaa.
Asiakas myöntää syöttäneensä pankin mobiilisovelluksen käyttöönottoon vaadittavat tiedot huijaussivustolle. Näin ollen asiakas on toiminut pankin toimittaman vahvistusviestin nimenomaisen kiellon vastaisesti "Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle." Viestin koodia ei koskaan tulisi syöttää muualle kuin pankin mobiilisovellukseen. Lisäksi rikollisen lähettämän tekstiviestin sisällön olisi pitänyt herättää asiakkaan epäilykset, koska linkki on epämääräinen ja sisältö huonohkoa suomea.
Asiakas on vedonnut matkaansa ja siihen, ettei ollut nukkunut hyvin. Kuluttaja on itse vastuussa siitä, että kykenee käyttämään pankin tarjoamia palveluita huolellisesti. Asiakkaan olisi tullut kiinnittää erityistä huomiota tekemiinsä toimiin, koska tiedosti olevansa väsynyt.
Asiakas on kokenut pankin mobiilisovelluksen käyttäjä. Näin ollen asiakkaan olisi tullut ymmärtää, että pankin mobiilisovellus toimii vain sovelluksen kautta, eikä sinne koskaan kirjauduta linkin kautta. Lisäksi pankin mobiilisovelluksen normaaliin käyttöön ei tarvitse tekstiviestitse toimitettavia vahvistuskoodeja.
Pankki ei koskaan kysy asiakkaan pankkitunnuksia, luottokorttitietoja tai muita arkaluonteisia tietoja tekstiviestillä, sähköpostiviestillä tai puhelimitse. Pankin sivuilla on kerrottu laajasti turvallisesta pankkiasioinnista. Asiakas on toiminut törkeän huolimattomasti verkkopankkitunnuksensa linkistä auenneelle internet-sivustolle.
Rikolliset pystyvät lähettämään tekstiviestinsä niin että ne näyttävät tulevan samassa viestiketjussa, jossa pankin aidot tekstiviestit näkyvät. Tähän pankit eivät voi yksin vaikuttaa vaan tarvitsevat tämän harmillisen huijauksen ehkäisemiseen yhteistyötä teleoperaattoreiden kanssa. Asiakas pystyy kuitenkin helposti huomaamaan samassa viestiketjussa olevista viesteistä erot pankin oikeiden viestien ja rikollisen lähettämän hyvin poikkeuksellisen viestin välillä. Pankin oikeat viestit päättyvät "Terveisin [Pankki]" eikä niissä koskaan ole linkkiä.
Lisäksi mainittakoon, että huijauksista on uutisoitu laajasti kevään ja kesän aikana. Esimerkiksi Varo huijausviestiä — kohteena S-Pankin ja OP:n asiakkaat (iltalehti.fi) Julkaistu 6.6.2022. Näin ollen voidaan todeta, että keskivertokuluttajan voidaan olettaa tietävän liikkeellä olevista huijausviesteistä ja huijaussivuista, eikä asiakkaan lomalla ole vaikutusta asiaan.
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Asiakas on luovuttanut verkkopankkitunnuksensa Digitaalisia palveluja koskevien ehtojen nimenomaisen kiellon vastaisesti verkkosivulle, johon sai linkin tekstiviestillä. Pankki katsoo asiakkaan toimineen törkeän huolimattomasti käyttäessään pankin lähettämän tekstiviestin koodia, vaikka linkki tuli tekstiviestitse ja oli muodoltaan epämääräinen, ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella tehdyistä tilisiirroista ja luotolta siirroista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 7.7.2022 klo 14.42)
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Kuvakaappaus asiakkaan rikollisilta pankin nimissä saamasta tekstiviestistä 6.7.2022 klo 20.38 samassa ketjussa asiakkaan pankilta saamien tekstiviestien kanssa.
- Verkkoartikkeli ”Varo näitä viestejä – katala pankkihuijaus tyhjentää tilin hetkessä”
- Tilitapahtuma- ja luottotilitapahtumaote
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone 11-laitteelleen. Tämän johdosta pankki on lähettänyt 6.7.2022 klo 22.04 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 2959 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]"
Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien oikeiden viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta etenkään, kun hän on ymmärrettävistä syistä yhdistänyt sen Filippiineillä tapahtuneeseen epäonnistuneeseen automaatilla asiointiin.
Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Edelleen Pankkilautakunnan tiedossa on, että – toisin kuin pankki on asiassa väittänyt – myös pankki on lähettänyt asiakkailleen linkin sisältäviä tekstiviestejä ja tekstiviestejä, jotka eivät pääty "Terveisin [Pankki]". Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuuluneen tietoa tämänkaltaisista verkkourkinta-tapauksista ja erityisesti siitä, että rikolliset voivat lähettää pankin nimissä tekstiviestejä, jotka näkyvät uhrien puhelimissa samassa viestiketjussa pankin lähettämien aitojen tekstiviestien kanssa.
Ottaen edellä todetun lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Asiakkaan kertoman mukaan hän ymmärsi pankin mobiilisovelluksen vahvistuskoodin sisältäneet pankin tekstiviestit saatuaan, että oli itse menossa mobiilipankkiin ja itse ottamassa sovellusta käyttöön.
Pankkilautakunta on jo edellä katsonut, että pankin mobiilisovelluksen vahvistuskoodin on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Näin ollen asiakas ei tosiasiassa ole avannut puhelimessaan ollutta pankin mobiilisovellusta tai ladannut uutta pankin mobiilisovellusta, jota olisi ollut voinut ymmärtää olevansa käyttöön ottamassa, vaan hän on pankin mobiilisovelluksen vahvistuskoodin saatuaan asioinut edelleen valesivuilla. Pankin selvityksen mukaan asiakkaalla myös oli itsellään käytössä pankin mobiilisovellus ja hän on kokenut sovelluksen käyttäjä.
Pankkilautakunta katsoo, että saatuaan tavanomaisesta selaimella tapahtuvasta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen käyttöönoton edellyttämän aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa alun perin saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.
Aiemmassa ratkaisukäytännössään Pankkilautakunta on katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, että viestissä ollut vahvistuskoodi annetaan pankin mobiilisovelluksessa eikä ikinä verkkosivuille, ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole ottamassa pankin mobiilisovellusta käyttöön. Mikäli asiakas olisi viimeistään em. viestin saatuaan ottanut viestissä olleen ohjeen mukaisesti itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on antanut 31.1.2023 tapahtumatiedoiltaan vastaavanlaisessa tapauksessa FINE-051121 ratkaisun, jossa lautakunta ei suosittanut hyvitystä. Vastaavalla tavalla kuin em. tapauksessa Pankkilautakunta katsoo myös tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen