Haku

FINE-055743

Tulosta

Asianumero: FINE-055743 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.01.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista siirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Jonotusajasta johtuva viivästys.

Tapahtumatiedot

Asiakkaan kahdelta tililtä tehtiin 31 oikeudetonta 2 000 euron tilisiirtoa 9.8.2022 kello 12.47–13.11. Summasta eli 62 000 eurosta palautui 2 000 euroa. Lisäksi pankki hyvitti asiakkaalle kuusi viimeisintä tilisiirtoa, yhteensä 12 000 euroa, jotka tehtiin asiakaspalvelupuhelun aikana.

Asiakas sai 9.8.2022 seuraavanlaisen pankin nimissä lähetetyn tekstiviestin:

Uusi maksunsaaja on lisätty tänään tilillesi. Jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: https://[pankin mobiilisovellus]-fin.com

Viesti tuli samaan viestiketjuun pankin lähettämien viestien kanssa. Viesti sisälsi linkin huijaussivustolle, joka avasi pankin kirjautumissivua muistuttavan sivuston. Asiakasta pankkiasioissa auttamaan tullut lapsenlapsi syötti sivustolle asiakkaan tilin käyttäjätunnuksen ja salasanan sekä sivuston vaatiman tunnusluvun listasta. Tämän jälkeen sivusto pyysi vahvistuskoodia, joka saapui samaan viestiketjuun huijausviestin kanssa 9.8.2022 klo. 12.42. Viestin sisältö oli:

Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellusta]. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 9294 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [Pankki].

Lapsenlapsi syötti myös em. viestillä tulleen koodin sivustolle. Sivustolle syötettyjä tietoja käyttäen ulkopuolinen henkilö otti käyttöön asiakkaan nimissä olleen pankin mobiilisovelluksen omalla laitteellaan ja vahvisti sillä 31 oikeudetonta tilisiirtoa asiakkaan tileiltä.

Asiakkaan valitus

Asiakas vaatii 48 000 euron korvaamista.

Asiakas perustelee vaadettaan sillä, että vain hän kyseisen pankin asiakkaana sai huijausviestin, mutta ei kukaan hänen sukulaisistaan, jotka ovat toisten pankkien asiakkaita. Tämä viittaa siihen, että rikolliset ovat saaneet kyseisen pankin asiakkaiden puhelinnumerot. Tämä yhdistettynä siihen, että viestin sisältö vaikutti liittyvän e-laskutusta koskevaan asiaan, jota asiakkaan ja pankin välillä oli aiemmin selvitetty, ja kun viesti tuli samaan viestiketjuun pankin lähettämien viestin kanssa, teki huijauksesta uskottavan. Asiakas ja hänen lapsenlapsensa, joka on auttanut asiakasta pankkiasioinnissa, odottivatkin pankilta yhteydenottoa.

Pankki ei ole varoittanut tekstiviestillä huijauksista, vaikka se on ollut tietoinen siitä, että samaan viestiketjuun pankilta tulleiden viestien kanssa voi tulla myös huijausviestejä. Verkkosivuilla oleva julkaisu ei tavoita asiakkaita, jotka hoitavat pankkiasiansa mobiilisovelluksen kautta. Jos pankki varoittaisi huijauksista samassa viestiketjussa, jossa huijaukset tapahtuvat, estäisi se huijauksia tehokkaasti.

Lisäksi pankin prosessi kirjautua sisään verkkopankkiin on lähes identtinen uuden mobiilisovelluksen käyttöönoton kanssa. Tunnuksen, salasanan ja tunnusluvun jälkeen pankki lähettää tekstiviestillä nelinumeroisen koodin, joka pitää antaa verkkosivulle sisäänkirjautumista varten. Asiakkaan lapsenlapsi huomasi vasta myöhemmin, että pankin lähettämä tekstiviesti ei sisältänytkään vahvistuskoodia, vaan uuden mobiilisovelluksen käyttöönottokoodin. Huijarit olivat siten hyödyntäneet sen, että pankki kysyy käyttäjätunnuksen, salasanan, tunnuslukulistan koodin ja nelinumeroisen koodin, joka saapuu tekstiviestillä sekä verkkopankkiin kirjauduttaessa että mobiilisovellusta käyttöönotettaessa. Näin ollen kun joku toimii rutiinilla olettaessaan kirjautuvansa pankkiin, hän antaa tiedot huijaussivustolle. Viestit, jossa koodit tulevat, ovat erilaisia, mutta kun henkilö luulee kirjautuvansa pankin verkkosivuille, hän toimii rutiininomaisesti niin kuin hän on aikaisemmin toiminut kymmeniä kertoja; hän lukee koodin viestin alkupäästä ja syöttää sen kenttään. Loogisin tapa ennaltaehkäistä tämä olisi tehdä mobiilisovelluksen käyttöönottamisesta erilainen kuin sisäänkirjautumisesta esimerkiksi pidentää tekstiviestillä saapuvaa käyttöönottokoodia. Nyt huijarit pystyivät hyödyntämään asiakkaan rutiinia.

Lapsenlapsi alkoi epäilemään sivustoa, koska koodin syöttämisen jälkeen sivusto kysyi pankkikortin tietoja, joita ei kysytä kirjautuessa verkkopankkiin. Asiakkaan korttitietoja ei syötetty sivustolle.  Lapsenlapsi yritti mennä sivustolle omalla puhelimellaan Chromen kautta, mutta Chrome esti sivulle pääsyn. Tämän jälkeen lapsenlapsi kirjautui pankin verkkosivuille asiakkaan puhelimella selvittääkseen, mistä on kyse. Tällöin hän huomasi pankin 29.7.2022 julkaiseman artikkelin, jonka alussa varoitetaan huijauksista tekstiviestien kautta, jotka ilmestyvät rehellisten viestien sekaan. Hän ei ollut nähnyt varoitusta aiemmin, sillä asiakkaan pankkiasiointi on hoidettu pääasiassa mobiilisovelluksella ja lapsenlapsi on itse toisen pankin asiakas.

Ymmärrettyään kyseessä olevan huijaus, lapsenlapsi yritti vaihtaa tilin salasanan, mutta se ei onnistunut. Tämän jälkeen hän meni sivuston asiakaspalveluosioon, ja soitti siellä olevaan asiakaspalvelunumeroon klo.13.01 tarkoituksenaan sulkea tili. Lapsenlapsi jonotti lähemmäs kymmenen minuuttia ennen kuin henkilö vastasi, varmensi asiakkaan henkilöllisyyden ja sulki käyttäjätunnukset.

Asiakas on tuonut esille myös sen, että asiakaspalveluun soittaessa kuului nauhoite, joka kesti noin minuutin ja ilmoitti huijausten yleistyneen ja kertoi kuinka henkilön ei tarvitse tehdä mitään, jos ei ole luovuttanut tietojaan. Tämä viesti antaa kuvan siitä, että huijatuksi tullut on soittanut oikeaan numeroon, ja pitää jonottaa vuoroaan, jotta saa suljettua tilin. Jos nauhoite neuvoisi tietoja luovuttaneet soittamaan sulkupalveluun tai ohjaisi soittajan automaattisesti sinne, menetetty rahasumma olisi ollut huomattavasti pienempi. Huijareilla olisi ollut noin kymmenen minuuttia vähemmän aikaa varastaa rahaa.

Asiakkaan tileiltä siirrettiin yhteensä 62 000 euroa ennen kuin tunnukset suljettiin, joista 2 000 euroa palautui toiselta tililtä. Pankki korvasi 12 000 euroa, koska se vastasi summaa, joka varastettiin sillä välin, kun heidän työntekijänsä vastasi puhelimeen ja sulki tunnukset.

Asiakas on tuonut esille pankin vastauksen johdosta sen, että pankin vetoama artikkeli, jonka perusteella pankki katsoo, että ”keskivertokuluttajan voidaan olettaa tietävän liikkeellä olevista huijausviesteistä ja -sivustoista" on kyseenalainen, koska kyseinen artikkeli kertoo pääosin huijauksista sähköpostin kautta, mainiten vain lyhyesti, että huijausyrityksiä on tapahtunut myös tekstiviestien kautta. Erilaiset huijaukset sähköpostin kautta ovat huomattavasti yleisempiä, mistä johtuen ne eivät ole verrattavissa uskottavuudeltaan tekstiviesteihin, jotka saapuvat samaan viestiketjuun rehellisten viestien kanssa. Näin ollen kyseinen artikkeli ei tue huomattavasti keskivertokuluttajan tietoisuutta sellaisista huijaustapauksista, josta nyt on kyse. Jos huijausviesti olisi saapunut sähköpostitse tai tekstiviestillä erilliseen viestiketjuun, huijaus ei olisi onnistunut. Pankin aitojen viestien kanssa samaan viestiketjuun tulevista huijausvisteistä ei ole uutisoitu laajasti ennen huijauksen tapahtumapäivää.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset.

Pankin lokitietojen mukaan reklamoidut tapahtumat on vahvistettu mobiilisovelluksella, joka on ladattu laitteeseen iPhone 14,2 päivämäärällä 9.8.2022 klo 12.43. Mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä asiakkaan numeroon 9.8.2022 klo 12.42.

Asiakkaan reklamoimat oikeudettomat tapahtumat on tehty 9.8.2022 klo 12.47–13.11. Asiakas on huomannut tililtä veloitettuja tapahtumia ja soittanut pankin asiakaspalveluun 9.8.2022 klo 13.01. Puhelu virkailijan kanssa on alkanut klo 13.08 ja pankkitunnukset suljettu klo 13.11. Pankki on päättänyt hyvittää asiakkaalle kuusi viimeisintä tapahtumaa, jolloin asiakkaan vastuulle on jäänyt klo. 12.47–13.05 tehdyt tapahtumat.

Rikolliset pystyvät näyttämään viestit samassa viestiketjussa kuin pankin aidot viestit. Tätä pankit eivät pysty estämään ilman yhteistyötä tekstiviestejä tarjoavien teleoperaattoreiden kanssa.

Pankki ei koskaan kysy asiakkaan pankkitunnuksia, luottokorttitietoja tai muita arkaluonteisia tietoja tekstiviestillä, sähköpostiviestillä tai puhelimitse. Pankin sivuilla on kerrottu laajasti turvallisesta pankkiasioinnista. Huijauksista on myös uutisoitu laajasti kevään ja kesän aikana. Esimerkiksi artikkeli ”Varo huijausviestiä – kohteena S-Pankin ja OP:n asiakkaat” (iltalehti.fi), julkaistu 6.6.2022. Näin ollen voidaan todeta, että keskivertokuluttajan voidaan olettaa tietävän liikkeellä olevista huijausviesteistä ja -sivustoista.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin digitaalisia palveluja koskevia pankin ehtojen nimenomaista kieltoa. Kohdassa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Asiakas on edellä kuvatun mukaisesti antanut verkkopankkitunnuksensa sekä mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin huijaussivustolle, vaikka tekstiviestissä yksiselitteisesti kiellettiin antamasta koodia toiseen sovellukseen tai verkkosivulle: ”Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle.”

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan hänen verkkopankkitunnuksillaan käyttöön otetulla mobiilisovelluksella vahvistetuista oikeudettomista maksutapahtumista lukuun ottamatta pankin jo hyvittämiä kuutta tapahtumaa.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot, voimassa 7.10.2021 alkaen.
  • Pankin digitaalisten palveluiden ja rajoitettujen verkkopankkitunnusten yleiset ehdot, voimassa 7.10.2021 alkaen.
  • Maksutapahtumalista 9.8.2022 päivältä ulkopuolisen tekemistä tilitapahtumista kellonajoittain.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Pankkilautakunnan on lisäksi arvioitava, onko pankki huolehtinut siitä, että asiakkaalla on ollut mahdollisuus tehdä pankille ilmoitus maksuvälineen oikeudettomasta käytöstä viivytyksettä.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 55 §:n (Keinot ilmoittaa maksuvälineen katoamisesta.) 1 momentin mukaan
Palveluntarjoajan on huolehdittava siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa palveluntarjoajalle tai sen nimeämälle muulle taholle maksutta ilmoitus maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 56 §:n (Palveluntarjoajan velvollisuus sulkea maksuväline.) mukaan
Palveluntarjoajan on estettävä maksuvälineen käyttö, kun maksuvälineen haltija on ilmoittanut maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) 1-3 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (pankkitunnusehdot, voimassa 7.10.2021 alkaen) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
[…]

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun:
· Suomesta soitettaessa 09 xxxx xxxx (pvm/mpm)
· Ulkomailta soitettaessa +358 9 xxxx xxxx (pvm/mpm)

Voit tehdä ilmoituksen myös asiakaspalvelupisteellämme tai puhelinpalvelussamme niiden aukioloaikoina.

Asian arviointi

Tausta

Pankkilautakunta pitää tapauksessa riidattomana, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakasta avustamaan tullut asiakkaan lapsenlapsi on syöttänyt asiakkaan verkkopankkitunnukset luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle laitteelleen. Tämän johdosta pankki on lähettänyt asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin. Lapsenlapsi on syöttänyt myös tekstiviestitse tulleen koodin em. linkistä avautuneilla sivuilla. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet pankin mobiilisovelluksella vahvistaen.

Pankkilautakunta toteaa selvyyden vuoksi, että asiakas vastaa omien toimiensa lisäksi myös häntä avustaneen lapsenlapsensa asiakkaan pankkitunnuksilla tekemistä toimista ja lapsenlapsen huolellisuudesta tunnuksia käytettäessä.

Huolellisuuden arviointi

Pankkitunnusehdoissa kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla. Edellä mainitun perusteella Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestillä tulleen linkin kautta avautuneilla sivuilla.

Nykyään kuitenkin moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Pankkilautakunta kiinnittää tässä tapauksessa huomiota erityisesti siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Asiassa ei ole osoitettu pankin varoittaneen asiakasta tämänkaltaisista huijauksista tavalla, joka olisi tavoittanut mobiilipankkisovelluksella pankkiasioitaan hoitaneen asiakkaan. Lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lisäksi lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä tekstiviestiyhteydenoton asianmukaisuutta.

Ottaen huomioon myös sen, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyönti pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Asiakas on asiassa vedonnut siihen, ettei mobiilipankkisovelluksen käyttöönottoa koskevan viestin sisältö tule huomioiduksi rutiininomaisesti toimittaessa johtuen verkkopankkiin kirjautumisprosessin samankaltaisuudesta sovelluksen käyttöönottoprosessin kanssa. Asiassa annetun selvityksen perusteella asiakkaan kanssa pankkiasioita hoitanut lapsenlapsi huomasi vasta myöhemmin, ettei viesti sisältänytkään sisäänkirjautumisen vahvistuskoodia vaan uuden mobiilisovelluksen käyttöönottokoodin. Pankkilautakunta toteaa asiassa jäävän epäselväksi, onko asiakas tai häntä avustanut lapsenlapsi ylipäänsä lukenut pankilta saadun tekstiviestin sisältöä kokonaisuudessaan ennen viestissä olleen koodin syöttämistä valesivuille.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei huolelliselle pankkitunnustenhaltijalle jäisi epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Tässä tapauksessa pankin asiakkaalle lähettämässä mobiilisovelluksen aktivointikoodin sisältäneessä tekstiviestissä kerrotaan mobiilisovelluksen käyttöönottamisen lisäksi siitä, mihin viestissä ollut vahvistuskoodi tulee syöttää sekä kielletään syöttämästä koodia toiseen sovellukseen tai verkkosivulle. Viestissä myös kehotetaan ottamaan yhteyttä pankkiin, jos ei itse ole ottamassa mobiilisovellusta käyttöön.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään riittävän informatiivinen. Edellä mainitun perusteella Pankkilautakunta katsoo, että saatuaan verkkopankkiin kirjautuessaan poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asioinnin asianmukaisuus ja keskeyttää asiointi. Mikäli asiakas olisi ottanut viestissä olleen kehotuksen mukaisesti yhteyttä pankkiin, olisi asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu tässä tapauksessa välttyä.

Pankkilautakunta katsoo, että tekstiviestissä olleen vahvistuskoodin syöttäminen sivustolle mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta osoittaa asiakkaan ja hänen puolestaan toimineen lapsenlapsen suhtautuvan selvästi piittaamattomasti pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.

Pankkitunnusten sulkupuhelun vaikutus vastuunjakoon

Maksupalvelulain 55 §:ssä on säädetty pankin velvollisuudesta huolehtia maksuvälineen haltijan mahdollisuudesta tehdä milloin tahansa ilmoitus maksuvälineen oikeudettomasta käytöstä. Sääntelyä on selostettu maksupalvelulain säätämiseen johtaneessa hallituksen esityksessä (HE 169/2009 vp) ja sitä on muutettu tämän jälkeen vain koskien pankin perimiä maksuja.

Em. hallituksen esityksen mukaan ilmaisulla "milloin tahansa" tarkoitetaan pykälässä sitä, että maksuvälineen haltijan tulee voida tehdä ilmoitus kaikkina vuoden päivinä ja kaikkina vuorokaudenaikoina. Palveluntarjoaja voi täyttää velvoitteensa esimerkiksi järjestämällä puhelinpäivystyksen, joka on jatkuvasti auki. Palveluntarjoajan on mitoitettava puhelinpäivystyksen tai vastaavan järjestelyn voimavarat siten, että maksuvälineen haltijalla on myös tosiasiallisesti aina mahdollisuus ilmoituksen tekemiseen eikä esimerkiksi puhelinpalvelun ruuhkautuminen estä tai viivästytä sitä.

Jos palveluntarjoaja laiminlyö pykälän mukaisen velvollisuutensa, seurauksena on 62 §:n 3 momentin 2 kohdan mukaisesti se, että maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä saman pykälän 1 momentin nojalla. Tätä kysymystä käsitellään tarkemmin 62 §:n perusteluissa.

Palveluntarjoajalla on näyttövelvollisuus siitä, että maksuvälineen haltijalla on ollut tosiasiallinen mahdollisuus ilmoituksen tekemiseen. Jos maksuvälineen haltija esimerkiksi väittää, että hän ei ole voinut tehdä ilmoitusta tiettynä ajankohtana palveluntarjoajan järjestämän puhelinpäivystyksen suljettuna olemisen tai ruuhkautumisen vuoksi, palveluntarjoajan on esitettävä selvitys siitä, että ilmoitus olisi tuolloin voitu tehdä. (HE 169/2009 vp, 55 §:n yksityiskohtaiset perustelut)

Maksupalvelulain 62 §:ää koskevissa lain esitöissä todetaan, että säännös koskee esimerkiksi tilannetta, jossa palveluntarjoajan järjestämä puhelinpäivystys on ruuhkautunut niin, että katoamisilmoituksen tekeminen ei ole mahdollista välittömästi sen jälkeen, kun katoaminen on havaittu. Riski siitä, että maksuvälinettä käytetään oikeudettomasti ruuhkautumisesta johtuneen viivästyksen aikana, kuuluu siis palveluntarjoajalle. Kussakin yksittäistapauksessa erikseen on ruuhkautumisen kesto ja muut olosuhteet huomioon ottaen arvioitava, kuinka usein ja kuinka tiheästi maksupalvelun käyttäjän voidaan kohtuudella edellyttää yrittävän uudelleen katoamisilmoituksen tekemistä. (HE 169/2009 vp, 62 §:n yksityiskohtaiset perustelut)

Nyt arvioitavana olevassa tapauksessa on riidatonta, että asiakas on soittanut pankkiin klo 13.01. Pankkilautakunta katsoo pankin vastauksen perusteella selvitetyksi, että puhelu virkailijan kanssa on alkanut klo 13.08 ja tunnukset suljettu klo 13.11. Pankki on hyvittänyt tapahtumat ajalta 13.08-13.11, mutta ei tapahtumia, jotka on tehty jonotusaikana klo 13.01-13.07. Lautakunnalle toimitetun maksutapahtumalistan perusteella viimeksi mainittuna aikana on tehty seitsemän 2 000 euron oikeudetonta tilisiirtoa. 

Tässä tapauksessa ei ole esitetty selvitystä siitä, että asiakkaalla olisi ollut mahdollisuus tehdä ilmoitus välittömästi ja palveluun jonottamatta huomattuaan oikeudeton käyttö. Edellä mainitun perusteella Pankkilautakunta katsoo, että pankki vastaa niistä oikeudettomista tapahtumista, jotka on tehty jonottamisesta aiheutuneen pankkitunnusten sulkemisen viivästymisen vuoksi. Koska asiassa ei ole annettu muutakaan selvitystä viivästyksen kestosta, Pankkilautakunta katsoo sen tässä tapauksessa vastaavan jonotusaikaa. Pankki on tapauksessa ottanut vastattavakseen kaikki puhelun aikana tehdyt maksut klo 13.08 alkaen. Edellä mainitun perusteella Pankkilautakunta suosittaa, että pankki hyvittää asiakkaalle ne maksutapahtumat, jotka on tehty jonotusaikana klo 13.01-13.07.

Lopputulos

Pankkilautakunta suosittaa, että pankki hyvittää asiakkaalle 14 000 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta