Haku

FINE-052668

Tulosta

Asianumero: FINE-052668 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 03.05.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista siirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 30.7.2022 klo 13.25 samaan tekstiviestiketjuun pankin aiemmin lähettämien viestien kanssa pankin nimissä lähetetyn tekstiviestin, jossa on lukenut seuraavaa:
”Tilisi on lukittu epäilyttävän toiminnan vuoksi, käytä seuraavaa linkkiä: https://[pankki]-fi-lukittu.net aktivoidaksesi tilisi uudelleen.”
Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla käyttänyt pankkitunnuksiaan kirjautuakseen pankin palveluun.

Pankin mobiilisovellus on ladattu laitteelle iPhone 11 30.7.2022 klo 13.29. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 30.7.2022 klo 13.28 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovellusta] käyttöön, anna vahvistuskoodi 2715 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]".

Em. pankin mobiilisovellusta käyttäen on asiakkaan tililtä tehty 30.7.2022 klo 13.35–13.47 kaksitoista 2.000,00 euron tilisiirtoa. Pankki on saanut palautettua asiakkaan tilille 6.012,81 euroa aiheutuneen vahingon ollessa siten 17.987,19 euroa.

Asiakas on soittanut sulkupalveluun 30.7.2022 klo 13.44.53, puheluun on vastattu 13.45.09 ja hänen pankkitunnuksensa on suljettu klo 13.47.59. Puhelu päättyi klo 13.48.18.

Asiakkaan valitus

Asiakas kiistää olleensa törkeän huolimaton ja vaatii pankkia korvaamaan 17.987,19 euroa.

Asiakas joutui verkkohuijauksen uhriksi 30.7.2022. Asiakas sai ns. huijaustekstiviestin, joka tuntui aidolta ja tuli pankin tekstiviestiketjuun. Viestissä ilmoitettiin, että tilisi on suljettu, ja viestissä oli linkki, jonka asiakas avasi. Sivusto näytti aivan pankin aidolta sivulta. Asiakas antoi käyttäjätunnuksen ja salasanan. Asiakas antoi myös pankin mobiilisovelluksen lataamiseen annetun koodin, koska luuli, että sitä tarvitaan mobiilisovelluksen uudelleen avaamiseen.

Pankin "lähettämässä" tekstiviestissä todetaan, että tili on lukittu eli pankin mobiilisovellus ei oletettavasti toimi eli asiakas on ottamassa mobiilisovellusta uudelleen käyttöön. Asiakas ei näe, että lukitun mobiilisovelluksen käyttöönotto ja samaan pankin tekstiviestiketjuun tullut aktivointikoodi olisi mitenkään kyseenalainen yhteydenotto. Lisäksi verkkosivu, johon asiakas aktivointikoodin laittoi toimi normaalisti ja näytti aivan pankin normaalilta verkkosivulta.

Asiakas ei myöskään heinäkuussa 2022 tiennyt, että pankin tekstiviestin lähettäjän voi väärentää. Asiakas ei ollut tietoinen koko huijauksesta. Asiakas kiistää olleensa törkeän huolimaton ja siteeraa verkkouutisessa ollutta petostorjunnan asiantuntijaa: "Jos kuluttaja saa tekstiviestin, jossa olevan koodin syöttäminen jonnekin mahdollistaa mobiilitunnistusvälineen aktivoinnin ilman ihmisen ymmärrystä, niin eihän sitä voida pitää törkeänä huolimattomuutena, Alanko summaa lautakunnan yleisen asenteen."

Asiakkaan tapausta ei voi niputtaa yhteen Pankkilautakunnan asiakkaan vahingoksi ratkaiseman tapauksen FINE-051121 kanssa. Ratkaisevaa on, mitä lukee uhrin ensimmäisessä huijaustekstiviestissä. Asiakkaan tapauksessa tilin lukitsemisesta ja mobiilisovelluksen uudelleen käyttöön ottamisesta. Tapauksessa FINE-051121 huijaustekstiviestissä kerrottiin epänormaalin toiminnan havaitsemisesta uhrin tilillä. Viesti ja lähtökohta oli aivan eri; tiliä ei ollut lukittu eikä pankin mobiilisovellusta tarvitse ottaa uudelleen käyttöön.

Koko huijaus perustuu pankin mobiilisovelluksen antamiseen huijaussivustolle. Vaikea nähdä, että asiakas on tässä tapauksessa ollut törkeän huolimaton, kuten FINEstä on asiakkaan viittamassa verkkoartikkelissa todettu.

Asiakas meni verkkopankkiin ja huomasi, että tililtä oli tehty asiakkaalle tuntemattomia tilisiirtoja klo 13.35 alkaen. Asiakas soitti klo 13.45 pankin asiakaspalveluun, pääsi läpi klo 13.47 ja tunnukset suljettiin. 10 minuutissa tililtä hävisi 24.000 euroa.

Tämän kaltaisista huijaustekstiviesteistä on kyllä varoitettu, mutta asiakas ei ollut lukenut sellaista ennen tätä tapahtumaa.  Asiakas ei myöskään ollut tietoinen, että tekstiviestin lähettäjä voidaan väärentää. Jos lähettäjä olisi ollut jotain muuta, olisi asiakas huomannut sen huijaukseksi. Koska tekstiviestissä luki, että asiakkaan pankin tili on lukittu, asiakas oletti, että myös pankin mobiilisovellus on lukossa ja koodi tarvitaan sen avaamiseksi uudelleen käyttöön, niin kuin pankin oikeassa viestissä 30.7.2022 klo 13.28 luki. Samassa viestissä luki, että ”älä anna [pankin mobiilisovellus]-koodia ikinä toiseen sovellukseen tai web-sivuille”, eikä asiakas mielestään antanutkaan, koska linkistä avautui aivan samannäköinen pankin verkkosivu kuin monta kertaa aikaisemminkin.

Pankin mobiilisovellus on tietoturvariski, koska sen avulla pystyy tekemään tilisiirtoja ilman tunnuslukutaulukkoa ja tekstiviestiä. Asiakas ihmettelee, että pankin järjestelmä ei hälyttänyt, että 12 kertaa 2.000 euroa lähtee 15 minuutissa täysin asiakkaan normaalien tilisiirtojen vastaisesti. Asiakas ihmettelee myös, missä tapauksessa valitus ratkeaa asiakkaan eduksi, kun palveluntarjoaja on rakentanut tällaisen surkean järjestelmän, joka edes mahdollistaa tällaisen huijauksen.

Pankin vastine

Tapahtumankulku

Asiakkaan kertoman mukaan asiakas on saanut puhelimeensa viestin, jossa oli linkki. Viesti kehotti kiireellisesti käymään osoitteessa. Asiakas kertoo klikanneensa linkkiä ja menneensä linkin takaa auenneelle sivustolle ja antaneensa sinne käyttäjätunnuksensa sekä salasanansa. Tämän jälkeen asiakas huomasi tililtään siirretyn varoja yllä esitetyn mukaisesti.

Pankin selvitysten mukaan oikeudettomat tilisiirrot on tehty 30.7.2022 klo 13.35-13.47 välisenä aikana laitteella iPhone 11. Pankin mobiilisovellus on ladattu kyseiselle laitteelle 30.7.2022 klo 13.29 ja asennustoimenpide on edellyttänyt asiakkaan olemassa olevaan puhelinnumeroon lähetettyä vahvistuskoodia, verkkopankin käyttäjätunnusta, salasanaa ja ainakin yhtä satunnaisesti valittua tunnuslukutaulukon tunnuslukua. Vahvistuskoodi on lähetetty asiakkaan asiakastiedoissa olevaan puhelinnumeroon 30.7.2022 klo 13.28. Asiakas on ilmoittanut kyseisen numeron omaksi puhelinnumerokseen FINE:n yhteydenottolomakkeella. Asiakas on sulkenut pankkitunnuksensa soittamalla sulkupalveluun 30.7.2022 kello 13.49.

Verkkopankkitunnusten sulkupalveluun on tullut asiakkaan puhelu 30.7.2022 klo 13.44.53. Puheluun on vastattu 13.45.09. Tämän jälkeen asiakas on mm. selittänyt tilanteen taustan, maininnut tililtä pois siirretyt varat sekä kertonut henkilötunnuksensa. Asiakkaan verkkopankkitunnukset on suljettu 30.7.2022 klo 13.47.59. Puhelu päättyi klo 13.48.18.

Arviointi

Asiakas on oman kertomuksensa mukaan mennyt osoitteeseen [pankki]-fi-lukittu.net ja syöttänyt sinne henkilökohtaiset verkkopankkitunnuksensa. Jo linkin sisällön olisi tullut herättää asiakkaan huomio epätavanomaisesta toiminnasta, koska se poikkeaa merkittävästi normaaleista pankkien verkkotunnuksista (esim. s-pankki.fi, nordea.fi, op.fi). Lisäksi asiakkaalle lähetetyssä tekstiviestivahvistuksessa on nimenomaisesti varoitettu luovuttamasta vahvistuskoodia verkkosivulle, minkä lisäksi varovaisuutta on noudatettava, jos vastaanottaja ei ole asentamassa pankin mobiilisovellusta. Pankin digitaalisia palveluita ja tunnistusvälineitä koskevissa yleisissä ehdoissa todetaan seuraavaa:
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.

Asiakas on toiminut vahvistustekstiviestissä olevaa ohjeistusta sekä pankin ehdoissa olevien turvallisuusohjeiden vastaisesti luovuttamalla tunnukset asiakkaalle lähetetyllä sähköisellä viestillä verkkosivulle, jonka osoite on ollut huomattavan epämääräinen. Asiakas ei myöskään ole ollut asentamassa puhelimeensa pankin mobiilisovellusta kertomuksensa mukaan.

Pankki toteaa lisäksi, että pankki ei ole juridisesti vastuussa kolmansien tahojen lähettämistä tekstiviesteistä tai kolmansien tahojen ylläpitämistä verkkosivuista taikka niiden sisällöstä. Asiakkaan mukaan verkkosivu, johon hän aktivointikoodin laittoi, toimi normaalisti ja näytti aivan pankin normaalilta verkkosivuilta. Tämä on myös verkkopankkitunnuksia kaappaavien tahojen tavoite. Sivun sisältö ei kuitenkaan ole pankin tuottamaa eikä ole siten pankin vastuulla.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hänen tililtään tehdyistä oikeudettomista tilisiirroista, koska asiakas ei ole noudattanut pankin ehtoja eikä myöskään ole toiminnassaan noudattanut riittävää huolellisuutta verkkopankkitunnusten säilyttämisessä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Kuvakaappaus asiakkaan rikollisilta pankin nimissä saamasta tekstiviestistä 30.7.2022 klo 13.25 samassa viestiketjussa asiakkaan pankilta klo 13.28 saaman tekstiviestin kanssa.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone 11-laitteelleen. Tämän johdosta pankki on lähettänyt 30.7.2022 klo 13.28 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovellusta] käyttöön, anna vahvistuskoodi 2715 S-mobiilissa. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]".

Pankkilautakunta katsoo riidattomaksi, että asiakas on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja tehdä riidanalaiset oikeudettomat maksutapahtumat em. mobiilisovelluksella vahvistaen.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien oikeiden viestien kanssa.

Pankkilautakunta katsoo, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuuluneen tietoa tämänkaltaisista verkkourkinta-tapauksista ja erityisesti siitä, että rikolliset voivat lähettää pankin nimissä tekstiviestejä, jotka näkyvät uhrien puhelimissa samassa viestiketjussa pankin lähettämien aitojen tekstiviestien kanssa. Tämän lisäksi lautakunta katsoo, ettei asiakkaan voida tässä tapauksessa edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä, ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta etenkään, jos viesti tulee asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien aitojen viestien kanssa.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan aktivoidakseen pankin turvallisuussyistä lukitseman tilinsä  uudelleen käyttöönsä - käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, kielletään syöttämästä koodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa pankin mobiilisovellusta käyttöön. Mikäli asiakas olisi tuossa vaiheessa viestissä olleen ohjeen mukaisesti jättänyt koodin syöttämättä verkkosivuille ja/tai olisi ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Tämän vuoksi lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakas on tässä tapauksessa lukenut saamansa viestit, mutta on kertomansa mukaan tässä yhteydessä kuitenkin ymmärtänyt, että pankki on asiakkaan saamassa ensimmäisessä - rikollisten pankin nimissä lähettämässä - tekstiviestissä mainitun tilin lukitsemisen lisäksi lukinnut myös pankin mobiilisovelluksen ja että pankin lähettämässä toisessa samaan viestiketjuun tulleessa tekstiviestissä ollutta koodia tarvitaan sovelluksen ottamiseksi uudelleen käyttöön. Asiakas ei mielestään toiminut vastoin viestin ohjeita syöttäessään koodin linkistä avautuneille sivuille myöskään sen vuoksi, että sivut näyttivät aivan aidoilta pankin sivuilta ja samannäköisiltä kuin aikaisemminkin.

Pankkilautakunta katsoo, että asiakkaan virheelliseen käsitykseen pankin mobiilisovelluksen vahvistuskoodin sisältäneen tekstiviestin tarkoituksesta on osaltaan voinut vaikuttaa myös tekstiviestin muotoilu ”Tällä numerolla..”, jonka viestin vastaanottaja voi perustellusti ymmärtää viittaavan omaan puhelimeensa ja siinä olevaan pankin mobiilisovellukseen. Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt pankin jälkimmäisessä tekstiviestissä olleen vahvistuskoodin liittyneen hänen - pankin turvallisuussyistä lukitseman - mobiilisovelluksensa uudelleen käyttöönottoon, lautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta