Haku

FINE-053895

Tulosta

Asianumero: FINE-053895 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.03.2023

Miten vastuu asiakkaan tililtä tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Onko pankilla velvollisuus valvoa asiakkaan tilinkäyttöä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 15.7.2022 tekstiviestin, joka on näyttänyt tulleen pankin puhelinnumerosta ja jossa on lukenut: ”Asetit uuden vastaanottajan 15/07 klo 18:50:41, jonka tilinumero päättyy numeroon 9457. Jos et ollut sinä, käy osoitteessa: [pankin mobiilisovellus]-auta.com”. Asiakas on avannut linkin ja yrittänyt kirjautua pankkitunnuksillaan.

Asiakas on saanut klo 19:01 pankilta pankin mobiilisovelluksen käyttöönottoon vaadittavan tekstiviestin, jossa on todettu seuraavaa:

”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 3646 [pankin mobiilisovelluksessa}. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki].”

Vahvistuskoodilla on otettu käyttöön asiakkaan nimiin pankin mobiilisovellus uudella laitteella. Tällä mobiilisovelluksella on hyväksytty ensin asiakkaan 2.000 euron siirto luotolta ja 7.620 euron siirto omien tilien välillä klo 19:03–19:04. Tämän jälkeen ko. mobiilisovelluksella on hyväksytty klo 19:05–19:19 asiakkaan tililtä neljä tilisiirtoa, joiden yhteissumma oli 7.719,42 euroa. 

Asiakkaan pankkitunnukset on suljettu asiakkaan soitettua sulkupalveluun 16.7.2022 klo 17:32.

Asiakkaan valitus

Asiakas on vastineessaan kertonut saaneensa 15.7.2022 pankista tekstiviestin, jossa ilmoitettiin uuden vastaanottajan asettamisesta. Asiakas oli juuri kymmenen minuuttia aiemmin lähettänyt lapselleen rahaa, joten asiakas avasi linkin. Avautunut sivusto oli identtinen pankin sivuston kanssa. Asiakkaalta kysyttiin kirjautumistunnuksia verkkopankkiin ja seuraavaksi, kun kysyttiin kortin numeroa, asiakas alkoi epäillä asiaa ja poistui sivulta. Asiakas sai noin tunnin kuluttua pankista mobiilisovelluksen aktivointikoodin sisältävän viestin. Asiakas ei antanut koodia.

Seuraavana päivänä asiakas ei onnistunut maksamaan kaupassa. Kotiinsa palattuaan asiakas tarkasti tilitietonsa ja huomasi, että hänen käyttö- ja säästötilinsä olivat tyhjennetty ja luottoa oli nostettu 2.000 euroa. Asiakas soitti pankkiin ja sulki kortit ja verkkopankin.

Asiakas katsoo, että hän ei ole toiminut törkeän huolimattomasti. Pankin vahvistuskoodin sisältänyt viesti oli huonosti ymmärrettävä. Viestistä ei voinut ymmärtää, että oltiin ottamassa käyttöön toinen mobiililaite, toiselta numerolta, toisessa paikassa.

Pankin olisi pitänyt reagoida tällaisiin väärinkäyttötilanteisiin paremmin. Pankin olisi pitänyt lähettää henkilökohtaisesti asiakkaille viestiä tällaisista väärinkäytöksistä.

Pankki on rahoituslaitoksena laiminlyönyt tarjota ja varmistaa asiakkaalle turvallisen pankkiasiointijärjestelmän sovelluksineen sekä laiminlyönyt asiakkaan vahvan ja luotettavan tunnistautumisen selkeän anomalian yhteydessä. Pankin järjestelmän heikkous on mahdollistanut luvattoman verkkopankin käytön kolmannen henkilön taholta. Tunnistautuminen on tapahtunut asiakkaan suuntaan vain tekstiviestillä eikä millään muulla keinolla.

Lisäksi asiakkaan tililtä on tehty merkittäviä tilisiirtoja lyhyen ajan sisään sellaisten henkilöiden pankkitileille, joiden kanssa asiakas ei ole ollut koskaan missään tekemisissä. Siirrot ovat kuitenkin onnistuneet pankin omavalvonnan petettyä tai omavalvonta on ollut alkujaankin puutteellista.

Asiakas vaatii pankkia korvaamaan hänelle aiheutuneensa vahinkona 7.719,42 euroa.

Pankin vastine

Pankki on vastineessaan todennut, että pankin lokitietojen mukaan kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteeseen iPhone 15.7.2022 klo 19:01. Asiakkaalla itsellään on kertomansa mukaan käytössä Huawein puhelin. Mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.

Rikolliset pystyvät valitettavasti näyttämään viestit samassa viestiketjussa kuin pankin aidot viestit. Tätä pankit eivät pysty estämään ilman yhteistyötä tekstiviestejä tarjoavien teleoperaattoreiden kanssa.

Asiakas antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin digitaalisia palveluja koskevien ehtojen nimenomaista kieltoa. Kohdassa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Asiakas kertoo, ettei antanut tekstiviestitse lähetettyä vahvistuskoodia linkistä avautuneille verkkosivuille. Sovelluksen käyttöönotto kuitenkin edellyttää kyseisen vahvistuskoodin käyttämistä. Asiakas on kuitenkin todennut, että vahvistuskoodin sisältänyt viesti oli huonosti ymmärrettävä. Toisaalta asiakas on todennut, että tunnistautuminen on tapahtunut asiakkaan suuntaan vain tekstiviestillä. Asiakkaalla ei olisi syytä perustella valitustaan näin, mikäli hän ei olisi syöttänyt koodia sivustolle. Tästäkin syystä pankki pitää selvänä, että asiakas on syöttänyt vahvistuskoodin huijaussivustolle ja näin ollen menetellyt törkeän huolimattomasti.

Pankki katsoo siten, että asiakas on antanut myös vahvistuskoodin verkkosivuille, vaikka tekstiviestissä yksiselitteisesti kiellettiin antamasta koodia toiseen sovellukseen tai verkkosivulle. Viesti ei ole ollut huonosti ymmärrettävä.

Pankin sivuilla on kerrottu laajasti turvallisesta pankkiasioinnista. Lisäksi mainittakoon, että huijauksista on uutisoitu laajasti kevään ja kesän aikana. Esimerkiksi Iltalehti on julkaissut artikkelin aiheesta 6.6.2022. Keskivertokuluttajan voidaan siis olettaa tietävän liikkeellä olevista huijausviesteistä ja -sivustoista.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti laittaessaan vahvistuskoodin tekstiviestissä olleen kiellon vastaisesti verkkosivuille ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla mobiilisovelluksella vahvistetuista oikeudettomista maksutapahtumista.

Selvitykset

Osapuolten välisten kirjelmien lisäksi Pankkilautakunnalle on toimitettu pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Lisäksi lautakunnan on arvioitava, olisiko pankin tullut valvoa asiakkaan tilinkäyttöä ja mahdollisesti estää tilisiirrot.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1–2 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (”pankkitunnusehdot”) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät-kohdan mukaan:

”Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].”

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan:

”Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.

Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. […]

Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.

Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.

Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.

Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.”

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan:

”Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.

Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]”

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 1 §:n 4 momentin mukaan:

”Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.”

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt tapauksessa teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut rikollisten pankin nimissä lähetetyn tekstiviestin, jossa on ilmoitettu asiakkaan asettaneen uuden vastaanottajan ja ohjattu asiakasta käyttämään annettua linkkiä, jos asiakas ei ollut lisännyt vastaanottajaa. Asiakas on avannut linkin ja on kertonut syöttäneensä pankkitunnuksensa avautuneelle pankin sivuilta näyttäville valesivuille. Asiakasta on pyydetty sivuilla syöttämään myös korttitietonsa, mutta asiakas on kiistänyt antaneensa niitä. Asiakkaan korteilla ei tehty maksuja.

Rikolliset ovat em. valesivuston kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin klo 19:01.

Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja ettei asiassa saadun selvityksen perusteella – ja asiakkaan asian kiistämisestä huolimatta – ole muuta mahdollisuutta kuin että tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja vahvistaa sovelluksella tilisiirrot klo 19:03–19:19.

Asiakkaan pankkitunnukset on suljettu seuraavana päivänä klo 17:32 asiakkaan soitettua sulkupalveluun.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Siitä, miltä tekstiviestissä olleesta linkistä avautuneet verkkosivut ovat näyttäneet, ei ole annettu selvitystä. Asiakas on kuitenkin verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan. Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Asiakasta on kuitenkin pyydetty syöttämään valesivustolle myös korttitietonsa. Asiakas ei ole esittänyt syytä sille, minkä vuoksi häneltä on pyydetty korttitietoja, kun kyse oli asiakkaan saaman huijausviestin perusteella uuden tilisiirron vastaanottajan asettamisesta. Asiakas ei kuitenkaan ole kertomansa mukaan näitä syöttänyt eikä asiakkaan kortilla ole tehty maksuja. Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut jo tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta.

Pankkilautakunta katsoo lisäksi, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi syöttämättä verkkosivuille. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Aiemmassa ratkaisukäytännössään Pankkilautakunta on katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Em. pankin tekstiviestissä on kerrottu koodia käytettävän pankin mobiilisovelluksen käyttöönottoon. Viestissä on lisäksi todettu seuraavaa: ”Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin].”

Asiakkaan syötettyä pankin tekstiviestitse lähettämän koodin linkin kautta avautuneille sivuille huomioimatta tekstiviestin sisältöä Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.

Ottaen huomioon korttitietojen pyytämisen ja erityisesti pankin lähettämän aktivointikoodin sisältäneen tekstiviestin sisällön Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.

Pankin velvollisuus estää maksutapahtumia

Asiakas on lisäksi vedonnut siihen, että pankin olisi pitänyt valvoa asiakkaan tilinkäyttöä ja estää ko. maksut, kun asiakkaan tililtä on tehty merkittäviä tilisiirtoja lyhyen ajan sisään sellaisten henkilöiden pankkitileille, joiden kanssa asiakas ei ole ollut koskaan missään tekemisissä.

Pankille ei ole asetettu laissa eikä sopimusehdoissa suoraa velvollisuutta estää asianmukaisesti hyväksyttyjä tilisiirtoja. Pankkilautakunta katsoo siten, että pankille ei ole tällä perusteella syntynyt korvausvastuuta asiakkaalle.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan. Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankkilautakunta ei siten suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
SIhteeri Heino

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta