Haku

FINE-055897

Tulosta

Asianumero: FINE-055897 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 03.05.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 4.7.2022 klo 17.15 pankin nimissä lähetetyn tekstiviestin:
”Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa https://[pankki]-arvostelu.com/tuki/ ”
Em. tekstiviesti on tullut asiakkaan puhelimessa samaan ketjuun pankin aiemmin lähettämien aitojen viestien kanssa. Tekstiviestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla asiakas on käyttänyt pankkitunnuksiaan.

Asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja luku tunnuslukutaulukosta) sekä pankin asiakkaan puhelinnumeroon 4.7.2022 klo 18.40 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen rikolliset ovat ladanneet ja ottaneet käyttöönsä laitteelle iPhone 7 asiakkaan nimissä olevan pankin mobiilisovelluksen 4.7.2022 klo 18.40. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 6723 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki]”

Em. mobiilisovelluksella vahvistaen on 4.7.2022 klo 18.51.29-19.01.51 välisenä aikana tehty yksi 5.000 euron siirto asiakkaan korttiluottotililtä asiakkaan tilille sekä asiakkaan tililtä seitsemän oikeudetonta tilisiirtoa yhteisarvoltaan 12.460,00 euroa.

Asiakas on soittanut sulkupalveluun klo 18.58.04, puheluun on vastattu klo 19.05.49 ja asiakkaan pankkitunnukset on suljettu klo 19.09.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan tililtään siirretyt 12.460,00 euroa sekä luotosta aiheutuneet kulut ja saamatta jääneet korkotuotot.

Asiakas sai tekstiviestin, jossa kerrottiin, että asiakkaan tilillä on havaittu epänormaalia toimintaa. Viestissä oli toimintaohjeet ja linkki pankin tukeen. Linkistä aukesi pankin verkkopankkiin kirjautumissivu. Asiakas yritti kahdesti kirjautua, mutta päätyi takaisin aloitussivulle. Asiakas kirjautui verkkopankkiin tietokoneella ja näki, että tililtä oli tehty vieraita tilisiirtoja. Asiakas soitti välittömästi pankin sulkupalveluun. Jonottaessa ruuhkautuneeseen palveluun asiakkaan tili ehdittiin tyhjentää kokonaan, mukaan lukien luotto. Lopulta asiakas pääsi läpi ja tunnukset suljettiin.

Pankki kiistää korvausvelvollisuutensa vedoten asiakkaan toiminnan olleen törkeän huolimatonta, mistä asiakas on eri mieltä. Koko tapahtumaketjun ajan asiakas oli siinä käsityksessä, että tekstiviesti oli pankilta ja rikollinen toiminta tilillä oli alkanut jo ennen kirjautumisyrityksiä ja toimimalla tekstiviestin ohjeiden mukaan ja seuraamalla linkkiä asiakas olisi voinut estää mahdollisen tilin väärinkäytön. Asiakas katsoo, ettei hänellä ollut mitään syytä epäillä tekstiviestin aitoutta, sillä lähettäjänä näkyi pankki ja asiakas oli aiemmin saanut pankilta useita tekstiviestejä. Asiakas ei myöskään pitänyt viestissä olevaa linkkiä epäilyttävänä, sillä mm. terveyskeskukselta tulee usein tekstiviestejä, joissa on linkkejä. Vasta jälkikäteen selvisi, että kyseessä oli huijausviesti.

Pankki vetoaa myös vahvistuskoodi-viestin sisältöön. Tapahtumahetkellä asiakas arvioi viestissä toistuvan pankin mobiilisovelluksen viittaavan siihen, että asiakas oli poikkeuksellisesti käyttämässä verkkopankkia puhelimella. Asiakas katsoo, ettei viestistä riittävän selkeästi käy ilmi, että kyseessä on kokonaan uuden ja verkkopankista erillisen palvelun käyttöönottoon liittyvä tunnus. Asiakkaalle selvisi vasta pankin asiakaspalvelupisteellä reklamaation teon yhteydessä, mikä on pankin mobiilisovellus.

Sulkuselvityksessä näkyy pankin suhtautuminen liikkeellä olleisiin huijausviesteihin. Asiakasneuvoja on heti alussa kysynyt, että onko asiakas kirjautunut linkistä eli hän on ollut selvillä, että asiakas saattaa olla huijauksen uhri. Näin ollen hänen olisi pitänyt ymmärtää kysyä saman tien tunnusten sulkemista varten tarvittavat tiedot. Siihen ei olisi pitänyt kulua juurikaan aikaa, koska tunnusten sulkemiseen tarvittiin vain asiakkaan henkilötunnus ja nimi. Näin ollen asiakas katsoo, että asiakasneuvoja on turhaan viivyttänyt tunnusten sulkemista kysymyksillä, jotka olisi voitu läpikäydä tunnusten sulkemisen jälkeen tai myöhemmin asiakaspalvelun kanssa. Asiakkaan mielestä tapauksen kannalta olennaisempi kysymys onkin, miten nopeasti sulkupalvelu olisi pystynyt selvittämään tunnusten sulkemiseen tarvittavat tiedot. Toki puhelun kulku olisi voinut olla toisenlainen, jos puheluun olisi vastattu välittömästi, eikä vasta sitten, kun tili oli jo kokonaan tyhjennetty.

Asiakas kiistää myös tunnusten luovuttamisen. Sulkuselvityksestäkin käy ilmi, kuinka pankin puolelta on toistuvasti pyritty kääntämään tapahtumat siten, että asiakas olisi tietoisesti antanut tai luovuttanut tunnuksensa ulkopuoliselle. Se ei pidä paikkaansa. Tunnukset on huijattu asiakkaalta. Asiakas ei ole aktiivisesti tiennyt tai edes voinut kohtuudella epäillä tunnustensa menevän ulkopuolisten käyttöön, joten hän ei ole niitä luovuttanut tai antanut. Siinä on merkittävä ero.

Asiakas katsoo pankin myös laiminlyöneen velvollisuutensa varoittaa asiakkaitaan. Varoitukset eivät ole olleet riittävän selkeitä ja täsmällisiä. Pankin vastineessakin puhutaan vain siitä, kuinka pankki ei koskaan kysy tietoja tekstiviestillä. Ei asiakkaaltakaan tekstiviestillä mitään kysytty. Jos pankissa oltiin jo toukokuussa tietoisia asiakkaille lähetetyistä huijaustekstiviesteistä, olisi ollut aiheellista lähettää asiakkaille erillinen kirje aiheesta. Asiakas ei pidä riittävänä, että aiheesta kerrotaan ainoastaan pankin omilla verkkosivuilla ja että tiedon saaminen olisi asiakkaan vastuulla. Näin ollen on kohtuutonta syyttää asiakkaan toimintaa huolimattomaksi tai törkeäksi huolimattomuudeksi. Asiakkaan mielestä tilannetta voi verrata siihen, että asianmukaisesti säilyttämisestä huolimatta tunnukset olisi varastettu. Asiakas kiistää olleensa huolimaton.

Asiakas haluaa vielä painottaa, että ensisijaisesti hän katsoo pankin olevan tapauksessa täysimääräisesti korvausvelvollinen riittämättömän ja tulkinnanvaraisen viestinnän sekä selkeästi liian vähäisten varotoimien vuoksi. Pankin asiakaskunta koostuu monen tasoisista palveluiden käyttäjistä, joten pankin viestinnän on oltava yksiselitteistä ja kansantajuista. Monille termit verkkopankki, nettipankki, mobiilipankki, [pankin mobiilisovelluksen nimi] ja mobiilisovellus tarkoittavat lähinnä verkossa tapahtuvaa sähköistä pankkipalvelua eikä niiden erot ole selvät.

Pankin vastine

Pankin lokitietojen mukaan reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu 4.7.2022 klo 18.39 laitteeseen iPhone 7. Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.

Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä asiakkaan numeroon 4.7.2022 klo 18.40. Vahvistuskoodia on käytetty pankin mobiilisovelluksen lataamiseen klo 18.40. Jos asiakas ei itse ole ladannut tuolloin pankin mobiilisovellusta, pankki katsoo, että hänen on täytynyt luovuttaa saamansa vahvistuskoodi huijaussivustolle ja sitä kautta sivulliselle.

Asiakkaan huomattua tililtään tehtyjä oikeudettomia tilisiirtoja hän on soittanut pankkitunnusten sulkupalveluun. Sulkupalvelusta saatujen tietojen mukaan asiakas on soittanut sulkupalveluun 4.7.2022 klo 18.58.04 ja puheluun on vastattu klo 19.05.49. Puhelinkeskustelun pituus on ollut 4 minuuttia 13 sekuntia ja asiakkaan pankkitunnukset on suljettu klo 19.09. Pankki katsoo, että jonotusajalla ei ole käsillä olevassa ollut tapauksessa merkitystä, koska reklamoidut tapahtumat on tehty klo 18.51-19.01 välillä.

Tekstiviestin lähettäjän nimen väärentäminen on valitettavasti mahdollista pankista riippumatta. Teleoperaattorit yhdessä poliisin kanssa pyrkivät löytämään keinoja lähettäjätiedon väärentämisen estämiseksi.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin pankin ehtojen nimenomaista kieltoa. Kohdassa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Asiakas on edellä kuvatun mukaisesti antanut verkkopankkitunnuksensa sekä pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin "6723" huijaussivustolle, vaikka tekstiviestissä yksiselitteisesti kiellettiin antamasta koodia verkkosivulle. ”Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle."

Pankki katsoo näin ollen asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella vahvistetuista oikeudettomista maksutapahtumista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Sähköisesti tehty rikosilmoitus
- Kuva asiakkaan rikollisilta pankin nimissä 4.7.2022 klo 17.15 saamasta tekstiviestistä samassa viestiketjussa asiakkaan myöhemmin pankilta saamien tekstiviestien kanssa ja kaksi kuvaa kahdesta muusta tekstiviestiketjusta pankilta tulleista viesteistä
- Pankin toimittama selvitys asiakkaan sulkupalveluun tekemästä puhelusta

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Asiointikieli -kohdan mukaan

Sopimus tehdään suomeksi tai ruotsiksi. Voit käyttää asioidessasi suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista.

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt tapauksessa teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone 7 -laitteelleen. Tämän johdosta pankki on lähettänyt 4.7.2022 klo 18.40 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 6723 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki]”

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen, jolla kyseessä olevat oikeudettomat maksutapahtumat on tämän jälkeen vahvistettu.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa.

Pankkilautakunta katsoo, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuuluneen tietoa tämänkaltaisista verkkourkinta-tapauksista ja erityisesti siitä, että rikolliset voivat lähettää pankin nimissä tekstiviestejä, jotka näkyvät uhrien puhelimissa samassa viestiketjussa pankin lähettämien aitojen tekstiviestien kanssa. Tämän lisäksi lautakunta katsoo, ettei asiakkaan voida tässä tapauksessa edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä, ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta etenkään, jos viesti tulee asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien aitojen viestien kanssa.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan estääkseen pankin havaitseman mahdollisen tilin väärinkäytön - käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, kielletään syöttämästä koodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa pankin mobiilisovellusta käyttöön. Mikäli asiakas olisi tuossa vaiheessa viestissä olleen ohjeen mukaisesti jättänyt koodin syöttämättä verkkosivuille ja/tai olisi ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Tämän vuoksi lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakas on tässä tapauksessa lukenut saamansa viestin, mutta on kertomansa mukaan kuitenkin ymmärtänyt viestissä toistuvan pankin mobiilisovelluksen viittaavan siihen, että asiakas oli poikkeuksellisesti käyttämässä verkkopankkia puhelimellaan. Lisäksi asiakkaan näkemyksen mukaan viestistä ei käy riittävän selkeästi ilmi, että kyseessä on kokonaan uuden ja verkkopankista erillisen palvelun käyttöönottoon liittyvä tunnus.

Tässä tapauksessa Pankkilautakunta katsoo uskottavaksi ja ymmärrettäväksi, että verkkopankissaan tavanomaisesti tietokoneellaan ja tunnuslukulistaa käyttäen asioivalle asiakkaalle ei ole ollut selvää, mitä erilaiset verkossa tapahtuvaan pankkipalvelujen käyttöön liittyvät termit ja yleisellä tasolla termi mobiilisovellus tarkkaan ottaen tarkoittavat ja toisistaan eroavat, ja toisaalta, että asiakas on osin edellä mainitun vuoksi ymmärtänyt, että hänen saamassaan tavanomaisesta verkkopankkiin kirjautumista koskevasta tekstiviestistä eroavassa tekstiviestissä ollut - tosiasiasiassa pankin mobiilisovelluksen käyttöönoton edellyttämä - vahvistuskoodi on ollut koodi, jonka pankki lähettää asiakkaalleen tämän kirjautuessa verkkopankkiin tietokoneen sijaan puhelimellaan ts. mobiililaitteella. Ottaen huomioon, että asiakas tavanomaisesti kirjautuu verkkopankkiinsa tietokoneellaan ja tunnuslukulistaa käyttäen Pankkilautakunta katsoo tässä tapauksessa ymmärrettäväksi, että asiakas on käsittänyt pankin lähettävän erisisältöisen tekstiviestin riippuen siitä, onko asiakas kirjautumassa verkkopankkiin tietokoneellaan vai mobiililaitteellaan.

Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt pankin tekstiviestissä olleen vahvistuskoodin olleen tavanomainen mobiililaitteessa tapahtuvaa verkkopankkiin kirjautumista koskeva koodi, lautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja  Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta