Uppgifter om händelseförloppet
Kunden föll 14.7.2022 offer för nätfiske. Hon fick ett i bankens namn avsänt text-meddelande, där det berättades att en ny betalningsmottagare hade lagts till och där kunden uppmanades att besöka bankens nätsidor via en länk i med-delandet, om det inte var fråga om en åtgärd som kunden själv vidtagit. Kunden öppnade länken, och på den sida som öppnades använde hon sina bankuppgif-ter. Banken skickade till kundens telefonnummer 14.7.2022 kl. 11.10 ett text-meddelande som innehöll en aktiveringskod gällande ibruktagning av identifie-ringsapplikationen. Brottslingarna har för eget bruk aktiverat bankens identifie-ringsapplikation med hjälp av kundens nätbankskoder och aktiveringskoden i textmeddelandet, och på så sätt har de fått tillgång också till mobilbanksappli-kationen.
Mobilbanksapplikationen användes 14.7.2022 kl. 11.12–11.18 för de gireringar som tvisten gäller. Under den tiden företogs mellan kundens egna konton och på familjemedlemmarnas konton som kunden disponerade egna gireringar (13 050 euro), och en girering från kundens konto med kredit (1 950 euro) gjordes. Avslutningsvis överfördes 14 450 euro till ett utländskt bankkonto. Gireringen till det utländska bankkontot bekräftades med identifieringsapplikationen.
Kundens klagomål
Kunden yrkar på att banken ersätter den förlorade summan 14 450 euro.
Kundens bankkort hade förlorats 7.7.2022 och kunden hade spärrat det, därför var hon extra bekymrad och uppmärksam beträffande sitt konto. Efter att hon 14.7.2022 hade fått ett textmeddelande som avsänts i bankens namn drabbades hon av panik och öppnade länken i meddelandet. Hon gav de uppgifter som be-gärdes på sidan som hade öppnats via länken, men lade inte märke till något särskilt och var hela tiden i den tron att meddelandet hade kommit från banken och att hon genom att reagera på det ännu skulle kunna hindra transaktionen. Efter att kunden besökt sidan ringde hon också till sin bank, och i det samman-hanget framgick det att det hade varit fråga om ett bedrägeri och att kundens konto redan hade tömts.
Bankens bemötande
Banken bestrider kundens yrkande.
Kunden föll 14.7.2022 offer för ett brott. Någon okänd skickade till henne ett textmeddelande där hon ombads logga in i nätbanken via en bluffadress/bluff-länk som ingick i textmeddelandet.
Kunden gjorde precis det som banken i åratal ofta har varnat för – man ska inte logga in i nätbanken via en länk som man fått via ett textmeddelande. Brotts-lingen kom underfund med kundens användarnamn och lösenord i och med att kunden loggade in via blufflänken. Efter det installerade brottslingen bankens identifieringsapplikation på sin egen mobil. I det skedet skickade banken till kun-den ett meddelande med information om att en ny identifieringsapplikation hål-ler på att tas i bruk och att om det inte är kunden som vidtar den åtgärden ska kunden kontakta numret i meddelandet och spärra sina bankkoder. Trots var-ningen godkände kunden ibruktagandet av identifieringsapplikationen. Efter det hade brottslingen de verktyg som behövdes för att kunna överföra pengar från de konton som kunden disponerade.
På senare år har banken skickat ut meddelanden där kunden varnats för att logga in i nätbanken via länkar i textmeddelanden, och kunden har åtminstone två gånger läst varningsmeddelandena från banken. Varningar har också lagts ut på bankens webbplats flera gånger i år, bland annat i slutet av juni. Dessutom har liknande varningar ingått ganska allmänt i medierna både i fjol och i år.
Enligt en utredning om ibruktagande av identifieringsapplikationen kräver ibruk- tagandet att den som tar applikationen i bruk känner till nätbankens användar-namn, det personliga lösenordet, ett engångssäkerhetstal som finns på nyckel-talskortet och en aktiveringskod som gäller identifieringsapplikationen och som skickas i form av ett textmeddelande.
Efter att identifieringsapplikationen hade aktiverats kunde brottslingen ta i bruk bankens mobilbanksapplikation och göra betalningar med den. Alla betalningar till omvärlden som hänförde sig till missbruket bekräftades med identifie-ringsapplikationen som hade tagits i bruk.
Kunden gick grovt vårdslöst till väga, eftersom hon loggade in i nätbanken via en blufflänk som hade kommit per textmeddelande och eftersom hon inte följde de anvisningar som banken hade gett. Därmed svarar hon själv för den skada som uppkommit.
Utredningar
Utöver parternas skrivelser angående klagomålet har följande handlingar getts in till nämnden:
- en skärmdump av det blufftextmeddelande som kunden fick 14.7.2022
- av banken inlämnad utredning om det textmeddelande som banken sände till kunden 14.7.2022
- en kopia av den brottsanmälan som kunden gjorde 19.7.2022
- kundens kontoutdrag 8/2022 som visar de obehöriga transaktionerna
- en skärmdump av de textmeddelanden som kunden fått från banken och från annat håll
- en skärmdump av kundens samtal 14.7.2022
- kvitton över de obehöriga gireringarna
- 13.9.2021 och 17.6.2021 daterade varningsmeddelanden som banken skickat till kunden angående bedrägerier
- utredning om inställningarna för kundens identifieringsapplikation
- år 2023 tagna skärmdumpar av bankens webbplats angående bedrägerier
- en inspelning av kundens telefonsamtal med banken 14.7.2022
Beslutsrekommendation
Frågeställning
Det gäller för Banknämnden att bedöma om den obehöriga användningen av bankkoder har berott på att kunden av vårdslöshet försummade sina skyldig-heter enligt 53 § 1 mom. i betaltjänstlagen samt graden av kundens eventuella vårdslöshet.
Tillämpliga lagrum och avtalsvillkor
I 53 § (Skyldigheter som gäller betalningsinstrument) 1 mom. i betaltjänstlagen föreskrivs som följer:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med vill- koren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga sä- kerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betal- ningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande.
I lagens 54 § (Anmälan om att betalningsinstrument förlorats) 1 mom. före- skrivs som följer:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orätt-mätigt innehas av någon annan eller används obehörigen.
I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betal-ningsinstrument) föreskrivs som följer:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstru- ment som har förlorats eller orättmätigt innehas av någon annan eller för an- nan obehörig användning av betalningsinstrumentet endast om den obehö- riga användningen beror på att betaltjänstanvändaren eller någon annan in- nehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings- instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens an- svar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst. Betaltjänstanvändaren ansvarar inte för obehörig användning av betalnings- instrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänste- leverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instru- mentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betala- ren. Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
Bedömning
Händelseförloppet
Av tydlighetsskäl konstaterar nämnden att den omständigheten att kundens kort förlorades 7.7.2022 inte har något samband med det ärende som nu be-handlas, dvs. att bankkoderna 14.7.2022 användes obehörigen. Det är fråga om separata händelser, även om de legat nära varandra tidsmässigt. Inte heller påverkas ärendet av att det med kundens nätbankskoder var möjligt att utnyttja kreditegenskapen hos hennes Visa-kort trots att kortet var spärrat. Avgörande med tanke på ansvarsfördelningen mellan parterna i den meningsskiljaktighet som nu behandlas är det textmeddelande som kunden fick 14.7.2022 och som sändes i bankens namn, med följande innehåll:
Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa:
[pankki]-oy.info
(En ny betalningsmottagare har lagts till i dag. Om det inte var du, besök skynd-samt adressen:
[banken]-ab.info )
Banknämnden anser att det i fallet är klarlagt att kunden på den bluffsida som brottslingarna skapat och som öppnades via den länk som kunden fått matade in sina nätbankskoder eftersom hon trodde sig kommunicera med banken. Brottslingarna har med kundens bankkodsuppgifter, som de på detta sätt fick tillgång till, i kundens namn börjat installera bankens identifieringsapplikation på sin egen apparat.
Banken har i ärendet lagt fram teknisk utredning om ibruktagandet av identifie-ringsapplikationen samt om hur inloggningen i kundens nätbank skedde och hur de omtvistade betalningarna bekräftades. Banknämnden har inte anledning att tvivla på att den av banken framlagda utredningen som baserar sig på uppgifter i bankens system stämmer.
Till följd av att installeringen av en ny identifieringsapplikation hade påbörjats skickade banken till kunden ett textmeddelande som innehöll en kod för aktive-ring av applikationen och lydde som följer:
Hej! [Bankens] identifieringsapplikation har tagits i bruk med dina bankkoder. Om du skall ta i bruk applikationen med din telefon eller tablett, vänligen granska meddelande ID xxxx och mata in registreringskoden xxxx i [Bankens] identifieringsapplikation. Om du inte har tagit i bruk applikationen, vänligen ring xxx xxx och stäng dina bankkoder.
Utgående från den utredning som erhållits anser Banknämnden att också akti-veringskoden i det ovannämnda textmeddelandet måste ha kommit till brotts-lingarnas kännedom. Efter att brottslingarna fått aktiveringskoden har de kun-nat aktivera bankens identifieringsapplikation, som var i kundens namn, i sin egen apparat. Med hjälp av identifieringsapplikationen har brottslingarna också fått tillgång till mobilbanksapplikationen.
Enligt den erhållna utredningen har det med mobilbanksapplikationen gjorts en 1 950 euro stor girering från kundens konto med kredit samt egna gireringar (13 050 euro) från familjemedlemmarnas konton som kunden disponerade. Till sist har 14 450 euro överförts till ett utländskt bankkonto. Gireringen till det ut-ländska bankkontot bekräftades med identifieringsapplikationen.
Bedömning av kundens förfarande
Banken har ansett att kunden handlade grovt vårdslöst eftersom hon inte följde de anvisningar som banken gett. Enligt den utredning som banken lagt fram var-nade banken år 2021 sina kunder för att logga in i nätbanken via en länk som skickats per textmeddelande. Banken har också hänvisat till att varningar om saken flera gånger har publicerats på bankens webbplats och till att motsva-rande varningar också förekommit allmänt i medierna. I ärendet har banken var-ken åberopat eller presenterat sina villkor för beviljande och användning av betalningsinstrument.
Banknämnden konstaterar beträffande de varningsmeddelanden som banken åberopat att det är fråga om bankens ensidiga anvisningar som enligt logg- uppgifterna skickades redan omkring ett år före den händelse som här bedöms. Dessutom har det i fallet inte utretts huruvida kunden senare har besökt ban-kens webbplats och sett varningarna för nätfiske. Därför bedömer Banknämn-den försummelsen av anvisningarna på grunder som är lindrigare än försummel-sen av de bindande villkoren för bankkoderna.
För bluffmeddelandets del anser Banknämnden att det inte kan förutsättas en-bart på basis av formuleringen eller innehållet i textmeddelandet som kunden fick eller på basis av länkadressen i meddelandet att kunden förstod att text-meddelandet inte kom från banken. I ärendet har det inte getts in utredning om de bluffsidor som öppnades via länken, men i ärendet är det ostridigt att kunden medan hon kommunicerade trodde sig kommunicera med banken och använde sina bankkoder i det syftet.
På basis av det som sägs ovan anser Banknämnden att fastän kunden av vårds-löshet försummade att följa bankens anvisningar och använde sina bankkoder via en länk som hade kommit via ett textmeddelande visar hennes handlande till denna del inte på vårdslöshet som varit större än vanligt.
Banknämnden anser emellertid att kunden, efter att hon medan hon kommuni-cerade hade fått ett textmeddelande som innehöll en kod för aktivering av ban-kens identifieringsapplikation – och i synnerhet med beaktande av innehållet i textmeddelandet – borde ha förstått att ifrågasätta kontaktens lämplighet och borde ha låtit bli att skriva in den erhållna koden på bluffsidan. Textmeddelan-det var informativt till sitt innehåll och innehöll korrekta anvisningar om ända-målet för aktiveringskoden i meddelandet, och i det uppmanades kunden att kontakta banken om hon inte själv var i färd med att aktivera bankens mobil-applikation. Om kunden hade följt anvisningarna i meddelandet och spärrat sina koder genom att ringa bankens nummer som ingick i meddelandet, skulle den skada som den obehöriga användningen av kundens bankkoder orsakade ha kunnat undgås i detta fall.
I linje med sin tidigare avgörandepraxis anser Banknämnden att ett av de grund-läggande krav som ställs på omsorgsfulla innehavare av bankkoder är att kunden när han eller hon använder bankkoder läser och i sitt eget agerande beaktar meddelanden som han eller hon får av banken i samband med uträttandet av bankärenden. I det ärende som nu bedöms har det förblivit oklart om kunden har läst innehållet i textmeddelandet från banken mer ingående och i vilket syfte hon efter det har uppfattat sig använda aktiveringskoden när hon matat in den på bluffsidan.
Utgående från den utredning som lagts fram i fallet, och i synnerhet med beak-tande av innehållet i det av banken sända textmeddelandet där koden för akti-vering av identifieringsapplikationen ingick, anser Banknämnden att kundens förfarande visat att hon förhållit sig uppenbart likgiltigt till de säkerhetsrisker som är förknippade med innehavet och användningen av sina bankkoder som används som betalningsinstrument samt att hon tydligt och väsentligt avvikit från vad som krävs av omsorgsfullt förfarande hos innehavare av bankkoder. Banknämnden anser därmed att kundens förfarande visar på grov vårdslöshet som avses i betaltjänstlagen.
Slutledningar
Banknämnden anser att den obehöriga användningen av kundens bankkoder har berott på att kunden av vårdslöshet försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen. Särskilt med beaktande av innehållet i det text- meddelande som kunden fick av sin bank och där koden för aktivering av ban-kens identifieringsapplikation ingick anser nämnden utifrån en helhetsbedöm-ning att kundens förfarande visar på grov vårdslöshet som avses i betaltjänst-lagen. I förhållandet mellan kunden och banken svarar kunden därmed fullt ut för den skada som den obehöriga användningen av hennes bankkoder orsakade.
Banknämnden rekommenderar inte gottgörelse i ärendet.
Banknämnden var enig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Sainio
Medlemmar:
Ahlroth
Atrila
Piilo
Tervonen