Haku

FINE-055964

Tulosta

Asianumero: FINE-055964 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2023

Miten vastuu asiakkaan puhelimessa olevalla pankin mobiilisovelluksella vahvistetuista tilisiirroista ja korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakas on joutunut 20.7.2022 alkaen Europolin nimissä tehdyn huijauksen uhriksi, minkä seurauksena asiakkaan tililtä on tehty tilisiirtoja ja asiakkaan kortilla tehty maksuja 20.7.–25.8.2022. Asiakas on kertonut hyväksyneensä ensimmäiset neljä maksua ja kiistää hyväksyneensä muita maksuja. 

Maksut, jotka asiakas on ilmoittanut itse hyväksyneensä (yhteensä 42.360 euroa):

Päivämäärä Tapahtuma Summa EUR
20.7.2022 pikamääräys 8.200
20.7.2022 pikamääräys 9.160
21.7.20222 pikamääräys 15.000
21.7.2022 pikamääräys 10.000


Asiakkaan oikeudettomiksi katsomat maksut (yhteensä 92.600 euroa):

Päivämäärä Tapahtuma Saaja / viesti Summa EUR
22.7.2022 pikamääräys (viesti: omalle uudelle tilille 2.300
22.7.2022 korttitapahtuma Revolut 1.000
23.7.2022 korttitapahtuma Coinbase 1.000
23.7.2022 korttitapahtuma Revolut 1.000
23.7.2023 korttitapahtuma Revolut 1.000
25.7.2022 tilisiirto (viesti: sijoitus Bitcoin) 10.000
25.7.2022 korttitapahtuma Binance 10.000
25.7.2022 korttitapahtuma Binance 10.000
26.7.2022 korttitapahtuma Binance 10.000
26.7.2022 tilisiirto (viesti: oma sijoitus Coinbase) 10.000
26.7.2022 korttitapahtuma Revolut 1.000
26.7.20222 tiisiirto18 (viesti: Sijoitus omalle Coinbase-tilille 10.000
27.7.2022 tilisiirto (viesti: Sijoitus oma) 10.000
27.7.2022 korttitapahtuma Revolut 1.000
2.8.2022 korttitapahtuma Coinbase 300
25.8.2022 korttitapahtuma Binance 4.000
25.8.20222 korttitapahtuma17 Binance 10.000


Asiakkaan itse hyväksymä 21.7.2022 tehty 9.160 euron tilisiirto on palautunut asiakkaan tilille 25.7.2022.

Asiakas on ilmoittanut maksuvälineiden oikeudettomasta käytöstä pankille 23.9.2022.

Asiakkaan valitus

Asiakas on kertonut joutuneensa huijauksen uhriksi. Hänelle soitettiin ensimmäisen kerran 20.7.2022 ja soittaja kertoi olevansa Europolista. Soittaja kertoi, että asiakkaan identiteetti oli kaapattu ja sitä oli käytetty huumeiden myynnissä ja rahanpesussa, ja että heillä oli asiakkaasta pidätysmääräys. Asiakas oli vuotta aiemmin päättänyt fyysisesti ja henkisesti väkivaltaisen suhteen, ja asiakkaalle kerrottiin, että kaiken takana oli hänen entinen väkivaltainen poikaystävänsä. 

Asiakasta neuvottiin, että jos hän auttaisi heitä antamalla tietoja itsestään, hän voisi näyttää heille olevansa syytön eikä häntä pidätettäisi. Asiakas pelkäsi, että poliisi tulisi pidättämään hänet työpaikaltaan, mikä olisi pilannut hänen uransa. Kauhun ja pelon keskellä hän suostui huijareiden vaatimuksiin ja antoi heille mm. kaikki mahdolliset henkilötietonsa.

Asiakkaalle kerrottiin, että he halusivat auttaa häntä siirtämään säästöjään turvaan. Pankki voisi jäädyttää asiakkaan tilin, kun pankki saisi tietää, että hänestä oli pidätysmääräys, joka oli yhdistetty huumekauppoihin. Asiakas ei ollut tietoinen toimivatko asiat näin, ja pelon vallassa hän uskoi kaiken, mitä hänelle kerrottiin. Asiakas luuli saavansa itse siirtämänsä rahat myöhemmin takaisin.

Asiakas työskentelee ulkomailla eikä hän olisi päässyt suomalaiselle poliisiasemalle kuin vasta pari viikkoa myöhemmin. Paikalliselle pikkukylän poliisiasemalle meneminen tuntui kielimuurin takia huonommalta vaihtoehdolta.

Muinakin kertoina, kun asiakkaalle soitettiin, hän sattui olemaan työmatkoilla ulkomailla. Asiakas ei osannut kyseenalaistaa asioiden hoitamista puhelimitse, koska hän ei fyysisesti pystynyt käymään poliisilaitoksella Suomessa ja halusi mahdollisimman nopeasti selvittää asian. Koska asiakas matkustaa työnsä takia jatkuvasti, hänelle annettiin puhelimitse ”erikoislupa” jatkaa asian hoitamista puhelimitse.

Rikolliset kertoivat, että heidän pitäisi saada etänä yhteyttä asiakkaan kännykkään ja tietokoneeseen, jotta voisivat ottaa selvää, oliko hänen entinen poikaystävänsä asentanut vakoiluohjelmia näihin laitteisiin. Roistot sitten itse asensivat sellaisia ohjelmia laitteille. Asiakas hyväksyi itse muutaman laskun kännykällänsä. Toiset tilisiirrot ja kryptovaluuttojen ostot huijarit pystyivät itse siirtämään vakoiluohjelmien ansioista.

Huijarit tekivät asiakkaan tililtä useita tilisiirtoja ulkomaalaisille tileille sekä ostivat tuhansien eurojen edestä kryptovaluuttaa. Huijarit tekivät myös tilisiirtoja asiakkaan saksalaiselle tilille ja sieltä eteenpäin myös muille ulkomaalaisille tileille ja ostivat myös kryptovaluuttaa.

Huijarit kertoivat asiakkaalle useita kertoja tarkasti, mitä hänen tulisi sanoa, jos pankki soittelisi ja kyselisi, miksi hän tyhjensi yhtäkkiä tiliänsä, kun hän oli säästänyt vuosikausia eikä ollut koskaan tehnyt samankaltaisia tilisiirtoja tai kryptovaluuttaostoja. Hänelle kerrottiin, että hän ei saisi sanoa puhelimitse pankille, että Europol auttaa häntä, koska ”oikeat huijarit” salakuuntelivat hänen puheluitaan ja voisivat näin ollen saada tästä tietoa ja päästä karkuun. Pankista ei koskaan soitettu ja kysytty, miksi asiakkaan tili tyhjeni yhtäkkiä muutamassa päivässä. Asiakas olisi toivonut, että pankki olisi soittanut hänelle, kun hänen tilinsä tyhjeni muutamassa päivässä.

Asiakas ei hyväksynyt 21.7.2022 jälkeisiä maksuja eikä antanut rikollisille pankkitunnuksiaan. Asiakkaan tietokoneella oli Word-dokumentti, jossa oli hänen pankkitietojaan. Hän luuli, että tällaista olisi turvallista säilyttää, koska dokumentti oli vain hänen tietokoneellaan eikä missään netissä jaettavana. Asiakas ei jakanut tällaisia tietoja rikollisten kanssa. He ovat päässeet näihin jollain lailla käsiksi ja pystyneet käyttämään näitä tietoja. Asiakkaan tietokoneella ja kännykässä oli vakoiluohjelmia. Mitä luultavammin tämä tapahtui tätä kautta. Ohjelmat ovat luultavasti asennettu sitä kautta, että hän oli käynyt tietokoneellaan ja kännykällään sivustolla, jonka hän luuli kuuluvan Europolille. Asiakas näki muutaman kerran esimerkiksi hiiren liikkumista tietokoneellaan, kun ei sitä itse siirtänyt, mutta hän luuli sitä vanhan koneen viaksi.

Poliisin rikostutkinnassa ei olla pystytty jäljittämään näitä sen tarkemmin. Poliisin pyynnöstä asiakas pyyhki molemmista laitteista kaikki tiedot ja palautti järjestelmäasetukset, jotta varmasti päästäisiin eroon kaikista vakoiluohjelmista. Poliisi kehotti kuitenkin, että asiakas hankkiutuisi eroon molemmista laitteista, koska he eivät pystyisi takaamaan, että myös tämän jälkeen olisi turvallista käyttää näitä laitteita. Asiakas sai työnantajaltaan uudet laitteet.

Asiakas on jälkikäteen pohtinut, onko hänen entinen väkivaltainen poikaystävänsä voinut jakaa tietoja jossain.

Asiakas on työnsä vuoksi heinä–syyskuussa tiiviisti töissä eri puolilla maailmaa eikä hänellä ole juurikaan omaa aikaa. Asiakkaalla ei ole ollut tarvetta katsella nettipankkinsa saldoa. Hän on aina tarkasti tietoinen siitä, paljonko tilillä on rahaa ja paljonko hän oli kuluttanut. Asiakas oli aina olettanut, että jos tilillä tapahtuu yhtäkkiä muutoksia, kuten esimerkiksi tuhansien eurojen edestä kryptovaluuttaostoja, niin pankki kysyy ja varmistaa onko hän nämä ostot tehnyt.

Asiakas on itse pankkitunnuksillaan hyväksynyt oikeudettomiksi ilmoittamiensa maksujen välissä maksun 12.8.2022 klo 16.53. Pankin mukaan maksu on tehty asiakkaan verkkopankissa, joka alkaa aina sillä, että asiakkaalle näytetään tililuettelo saldoineen. Asiakkaan muistikuvien mukaan hän oli maksanut tämän laskun nopeasti kännykällään potilaiden hoitojen välissä, joten hän ei jäänyt katsomaan tilin saldoa sen kummemmin kuin koskaan aikaisemmin. Asiakas on intensiivisessä lääkärin työssä, jossa hän matkustaa joka viikko ja hänen työnsä on kiireistä. Univajeessa, aikaerorasituksessa ja kiireen keskellä yksityiskohtien huomaaminen ei aina onnistu. Jos hän olisi huomannut tämän silloin, hän olisi voinut tehdä rikosilmoituksen kuukautta aiemmin ja olla menettämättä kaikkia rahojaan.

Asiakkaalle selvisi 22.9.2022, että kyseessä oli huijaus. Hän ilmoitti asiasta pankille 23.9. ja teki rikosilmoituksen 24.9.2022.

Asiakas on Suomen poliisille tekemässään tutkintailmoituksessa kertonut, että huijarit olivat pyytäneet asiakasta siirtämään varojaan 500–12.000 euron suuruisia summia eri tileille Lisäksi tukintailmoituksessa asiakas on kertonut, että tapahtumia oli ollut monia ja yhteissumma oli kertynyt yli 100.000 euron suuruiseksi. FINElle tekemässään valituksessa asiakas on kertonut itse tehneensä tämän tapauksen vastapuolena olevasta pankista neljä 8.200–15.000 euron tilisiirtoa, jotka ovat yhteismäärältään 42.360 euroa. Lisäksi rikosilmoituksessa on mainittu seuraavaa: "Officer Rodgersina esittäytynyt henkilö oli useita kertoja pyytänyt siirtämään rahoja suojaan ja kertonut, että hän on löytänyt aina uuden tutkijan, joka voi pitää varoja turvassa rikollisilta." FINElle tehdyssä valituksessa asiakas on ilmoittanut tehneensä tilisiirrot kahdelle maksunsaajalle 20.–21.7.2022.

Asiakkaalta on pyydetty selvitystä tutkintailmoituksessa ja FINElle asiakkaan tekemässä valituksessa olevia eroja. Asiakas epäilee erojen johtuvan luultavasti siitä, että tapahtuneesta oli kulunut vuosi eikä hän muista enää yksityiskohtia, koska tapahtuma oli hyvin traumaattinen kokemus. Asiakas muistaa tehneensä muutaman tilisiirron pyynnöistä, kun hän uskoi puhuvansa Europolin kanssa. Muut tilisiirrot tapahtuivat ilman hänen hyväksyntäänsä tai tietoaan.

Asiakas vaatii pankkia korvaamaan 20.–21.7.2022 tehdyt tilisiirrot, joiden summa on 42.360 euroa. Asiakas teki nämä itse, koska luuli puhuvansa Europolin poliisien kanssa, eikä tiennyt puhuvansa rikollisten kanssa. Lisäksi asiakas vaatii pankkia korvaamaan 22.7.–25.8.2022 tehdyt tilisiirrot ja korttimaksut, joita hän ei ole itse hyväksynyt ja joista hän ei ollut tietoinen. Näiden summa on yhteensä 92.600 euroa. Kokonaisuudessaan asiakkaan korvausvaatimus on 134.960 euroa.

Pankin vastine

Pankki on vastineessaan todennut, että vastuu asiakkaan itse tekemistä maksuista kuuluu maksupalvelulaki ja oikeustoimilaki huomioiden asiakkaalle. Asia­kas ei lisäksi ole vaatimuksessaan huomioinut, että yksi hänen tekemistään maksutapahtumista (9.160 e) on palautunut hänen tililleen.

Pankin järjestelmätiedoista selviää, että sisäänkirjautumiset verkko- ja mobiilipankkiin, tilisiirrot ja korttimaksut on vahvistettu asiakkaan omalta laitteelta, johon pankin tunnistussovellus on käyttöönotettu 3.6.2021 klo 13.14. Asiakkaan käytössä ei ole muita pankin tunnistussovelluksia.

Pankin järjestelmätiedoista ilmenee, että tapahtuma-aikaisissa asiakkaan mobiili-/verkkopankki-istunnoissa IP-osoitteet ovat Englannissa, Unkarissa ja Saksassa. Tämä selittynee asiakkaan työmatkustamisella. Asiakkaan reklamoimia tilisiirtoja on tehty sekä verkkopankissa (jota käyte­tään verkkoselaimella) että mobiilipankkisovelluksella, joka on ollut asiakkaan käytössä yhtä­jaksoisesti jo kuukausia ennen asiakkaan reklamoimia tapahtumia. Kirjautumiset ovat johdon­mukaisia; ne tulevat samoista IP-osoitteista, vaikka kirjautumisia olisi asiakkaan eri laitteilla saman päivän aikana.

Mahdollisesta etähallinnasta ei ole tapauksessa muuta näyttöä tai tietoa kuin asiakkaan kerto­mus. Maksutapahtumia on tehty useampana päivänä noin kahden kuukauden ajanjaksolla. Pan­kin kokemuksen mukaan tapahtumainkulku, jossa etähallintaan perustuva maksuvälineen oikeudeton käyttö olisi hajautettu noin kahden kuukauden ajanjaksolle, vaikuttaa epätavalliselta. On syytä myös todeta, ettei pankin tiedossa ole yhtään tapausta, jossa pankin tunnistussovellusta olisi kolmannen osapuolen toimesta käytetty etähallintaohjelman avulla.

Jos asiakkaan oikeudettomiksi katsomat maksutapahtumat on tehty sivullisen toimesta, on tällä etähallinnan lisäksi täytynyt olla hallussaan asiakkaan maksukortin numero, tieto kortin voimassaoloajasta, kortin CVC-tunnus, pankkitunnusten käyttäjätunnus sekä pankin tunnistussovelluksen sa­lainen tunnusluku.

Pankkitunnustiedot eivät ilmene verkko- tai mobiilipankista. Pankin tunnistussovelluksen tunnusluku ei voi myöskään pelkästään laitteen etähallinnan perusteella joutua sivullisen tietoon. Tunnuslukua ei näytetä numeroina mobiililaitteen näytöllä sitä näppäiltäessä. Näytöllä näkyy aino­astaan ”****”. Näin ollen tunnusluku ei ole voinut joutua sivullisen haltuun asiakkaan oman, etähallinnan aikaisen käytön perusteella.

Pankki voi lokitiedoistaan todeta useita tapahtuma-aikaisia kirjautumisia mobiili-/verkkopankkiin sekä maksutapahtumia, joita asiakas ei ole kiistänyt. Siten pankin näkemyksen mukaan on selvää, että asiakas on koko ajan ollut tietoinen tilinsä rahaliikenteestä. Tätä näkemystä tukee se, että asiakas on ollut tapahtuma-aikana yhteydessä pankkiin. Pankin asiakastietojärjestelmään on kirjattu seuraavia muistiinpanoja:

  • ”20.7.2022: Soitti kysyäkseen, kuinka kauan SEPA-pikamaksulla kestää mennä perille.
  •  21.7.2022: Kertoi tehneensä SEPA-maksun pikamääräyksenä Valko-Venäjälle, mutta se ei ollut tullut perille. Kerrottu, että Valko-Venäjä ei kuulu SEPA-alueeseen, joten maksu mennyt valuuttamaksuna pikana, jolloin se on perillä 1–3 pankkipäivän aikana.
  •  21.7.2022: Sepa-maksu ei ole mennyt hänen saksalaiselle tililleen. Maksu kuiten­kin lähtenyt [pankin] tililtä. Pyydetty olemaan yhteydessä saksalaiseen pankkiin.
  • 2.8.2022: Asiakas yrittänyt maksaa 1000 e Liettuaan, mutta maksu epäonnistu­nut. Meidän järjestelmistä yritystä ei edes löytynyt, joten pyydetty ottamaan vastaanottajapankkiin yhteyttä.
  • 23.9.2022: Saanut kesällä useita soittoja poliisiksi tekeytyvältä henkilöltä. Tä­män henkilön pyynnöstä asiakas siirtänyt varoja ’turvaan’ saamalleen tilille. Va­rat piti palauttaa hänelle myöhemmin. Nyt [asiakkaalle] selvisi, että on kyseessä huijaus.”

Asiakas ei ole näissä yhteydenotoissaan ilmaissut, että hänen tileiltään olisi veloitettu sellaisia tapahtumia, joita asiakas ei tunnista tehneensä. Valtaosa tapahtumista on tehty esimerkiksi en­nen asiakkaan yhteydenottoa 2.8.2022, jolloin asiakas on ilmoittanut epäonnistuneesta mak­susta Liettuaan.

Mitä tulee pankin suorittamaan maksutapahtumien monitorointiin, tapauksessa ei ole ollut sel­laisia piirteitä, jotka olisivat kiinnittäneet huomion monitoroinnissa. Kirjautumiset mobiili- ja verkkopankkiin vastaavat asiakkaan aiempaa käyttöä niin lokaatioiden kuin tunnistautumisen osalta. Kirjautumiset on vahvistettu asiakkaalla jo pidempään käytössä olleella pankin tunnistussovelluksella. Osalle tilisiirroista on edellytetty maksun lisävahvistuksia, jotka on kuitattu asiak­kaan tunnistussovelluksella. Myös korttitapahtumat on vahvistettu tunnistussovelluksella, joten pankilla ei ole ollut syytä epäillä tapahtumien olevan oikeudettomia.

Pankin lokitietojen perusteella maksutapahtumat on vahvistettu pankin tunnistussovelluksella, jolloin a) asiakas on antanut, mahdollisesti ulkopuolisen johdattelemana, maksupalvelulain ja ehtojen mukaisen suostumuksen maksutapahtumien toteuttamiselle, eikä niitä tule siten katsoa oikeudettomiksi vaan asiakkaan vastuulle kuuluviksi tai b) maksuvälineiden tiedot ja sa­lainen pankin tunnistussovelluksen tunnusluku ovat olleet sivullisen tiedossa ja sivullinen on hyö­dyntänyt niitä etähallinnan avulla, jolloin vastuunjako ratkeaa maksupalvelulain 62 §:n perus­teella.

Kuten edellä on todettu, etähallinasta ei ole tapauksessa muuta tietoa tai näyttöä kuin asiakkaan kertomus. Mitään selvitystä ei ole siitä, miten etähallintaohjelmisto olisi ilman asiakkaan myö­tävaikutusta asennettu asiakkaan laitteille ja käytetty asiakkaan huomaamatta. Mikäli tästä huo­limatta katsottaisiin, että tapauksessa on kyse etähallinnalla sivullisen tekemistä maksutapahtumista, jää vastuu silloinkin pankin näkemyksen mukaan asiakkaalle.

Asiakas ei ole tapauksessa huolehtinut maksuvälineistään tai henkilökohtaisista turvatunnuksistaan ehtojen edellyttämällä tavalla. Asiakas ei ole yksilöinyt, miten mikäkin maksuvälineitä kos­keva tieto on joutunut sivullisen tietoon, mutta hän on todennut kortin numeron olleen tallennettuna tietokoneelleen Word-dokumenttiin. Tämän lisäksi asiakkaan on täytynyt antaa sivullisille useita muitakin tietoja (pankkitunnusten käyttäjätunnus, pankin tunnistussovelluksen tunnusluku sekä kortin voimassaoloaika ja CVC-koodi). Pankki pitää todennäköisenä, että asiakas on antanut kyseiset tiedot tarkoituksellisesti sivulliselle.

Asiakas on lisäksi laiminlyönyt sulkuilmoituksen tekemisen ilman aiheetonta viivytystä saatu­aan tiedon oikeudettomiksi katsomistaan maksutapahtumista. Asiakas on vasta kaksi kuukautta tapahtumainkulun alkamisesta tehnyt ilmoituksen asiasta poliisille ja pankille, vaikka on pankin näkemyksen mukaan ollut tietoinen tilinsä tilitapahtumista koko ajan.

Asiakkaan menettely tapauksessa osoittaa törkeää huolimattomuutta tai on katsottava jopa ta­halliseksi. Asiakkaan toiminta on ollut suorassa ristiriidassa maksuvälineitä koskevien sopimusehtojen kanssa ja poikkeaa selvästi ja olennaisesti siitä, mitä huolelliselta maksuvälineiden hallinnalta ja käytöltä vaaditaan. Asiakkaan menettely tapauksessa on mahdollistanut mittavan va­hingon syntymisen, eikä asiakas ole pyrkinyt rajoittamaan vahinkoa millään tavalla.

Pankki katsoo siten asiakkaan olevan vastuussa sekä itse tekemistään että sittemmin kiistämistään maksutapahtumista.

Selvitykset

Tunnistussovelluksen tapahtumat

Pankki on toimittanut pankin tunnistussovelluksessa asiakkaalle maksujen vahvistusten ja lisävahvistusten yhteydessä näytetyt viestit ja niiden aikaleimat. Tilisiirtojen osalta on ilmoitettu, että pankin verkkopankki tai mobiilipankki pyytää vahvistusta maksuun, jonka summa ja saaja sekä maksajan ja maksunsaajan tilinumero on ilmoitettu viestissä. Korttimaksujen osalta on ilmoitettu, että Nets pyytää vahvistusta korttimaksuun, jonka summa, saaja, päivämäärä ja korttinumeron loppuosa on ilmoitettu viestissä.

Rikosilmoitukset

Asiakas on tehnyt Suomen poliisille tutkintailmoituksen henkilökohtaisesti 23.9.2022. Rikoksen tapahtuma-ajaksi on ilmoitettu 19.6.–23.9.2022. Asiakkaan epäillään joutuneen törkeän petoksen uhriksi, huijaamalla häneltä yli 100.000 euroa esittäytymällä Europolin tutkijaksi.

Asiakas kertoi, että oli saanut 19.–20.6.2022 [sic] puhelun saksalaiseen puhelinnumeroonsa, jonka soittaja esittäytyi Europolin tutkijaksi. Henkilö kertoi, että asiakkaan tilit ja niiden varat on yhdistetty isoon huumausainerikostutkintaan, joka linkittäytyy Meksikoon sekä Kolumbiaan. Henkilö oli pyytänyt asiakkaan tietoja.

Seuraavalla kerralla hänelle soitti eri henkilö, joka esittäytyi Europolin officer Rodgersina nimellä ja että asia liittyy samaiseen huumausainerikostutkintaan, mistä edellinen soittaja oli puhunut. Henkilö puhui englantia ja hänellä oli intialainen aksentti. Asiakas kertoi, että tämän puhelun soittanut henkilö oli tästä hetkestä eteenpäin toiminut hänen yhteyshenkilönään ja pitänyt yhteyttä rikosilmoituksen tekemiseen asti.

Officer Rodgersina esittäytynyt henkilö oli useita kertoja pyytänyt siirtämään rahoja suojaan ja kertonut, että hän on löytänyt aina uuden tutkijan, joka voi pitää varoja turvassa rikollisilta. Näissä puheluissa tekijä oli pyytänyt tietokoneella menemään sivustolle, josta asiakas oli ladannut Helpdesk- ja Teamviewer-nimiset ohjelmat. Asiakasta pyydettiin käyttämään ohjelmia jakaakseen näyttöään, jonka jälkeen tekijä oli ohjeistanut mitä seuraavaksi pitää painaa, kirjoittaa tai tehdä. Näissä tapahtumissa asiakasta pyydettiin siirtämään varojaan 500–12.000 euron suuruisia summia eri tileille. Tapahtumia oli ollut monia ja yhteissumma oli kertynyt yli 100.000 euron suuruiseksi. Tekijä kannusti puheluissa myös, että asiakas tulisi saamaan palkkaa tai rahansa takaisin tiettyinä päivinä.

Puhelimella asiakasta oli joillain kerroilla pyydetty menemään S7SUP.org-nimiselle sivulle. Asiakas ei muistanut, että häntä oli pyydetty tai että hän olisi ladannut mitään sovellusta puhelimelleen.

Asiakkaan suomalaisen ja saksalaisen pankin tileiltä oli hankittu myös kryptovaluuttaa Coinbase ja Moonpay nimisiltä alustoilta. Asiakkaan tiedoilla oli myös avattu Revolut-pankin tili, josta oli siirretty eri suuruisia summia eri henkilöille.

Puhelut olivat tulleet useista eri saksalaisesta +49-suuntanumeron numeroista. Joissain numeroissa puhelin ilmoitti, että puhelu tulee Haagista.

Asiakas on tehnyt Saksan poliisille tutkintailmoituksen verkossa 2.10.2022. Asiakas on kertonut joutuneensa Europolin nimissä tehdyn rikoksen uhriksi ja menettänyt kaikki rahansa Suomessa ja Saksassa. Asiakas menetti rahansa kesä–syyskuussa ja puhui melkein joka päivä puhelimessa huijarin, jonka hän luuli olevan Europolista, kanssa.

Muut selvitykset

Asiassa on lisäksi toimitettu asiakkaan tilitapahtumat suomalaisessa pankissa 20.7.–23.9.2022, Ruotsin Högsta domstolenin tuomio 21.6.2022 asiassa T 4623-21, asiakkaan pankille toimittama reklamaatio sekä pankkitunnus- ja korttiehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle ja korttitapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan:

”Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.”

Lain 53 §:n 1 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.”

Lain 54 §:n 1 momentin mukaan:

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.”

Lain 62 §:n mukaan:

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.


Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.


Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin korttiehdot ja pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot (Pankkitunnusehdot).

Korttiehtojen Kortinhaltijan vastuu -kohdan mukaan:

”Kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan [pankille] tai muun korttiominaisuuden myöntäneelle yritykselle:
- hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla [pankin] hyväksymällä tunnisteella
- käyttämällä korttia internetissä […]”

Korttiehtojen [Pankin] oikeudet -kohdan mukaan:

”[Pankilla] on oikeus vastata kortilla tehtyä käteisnosto ja/tai korttiostotapahtumaa koskevaan katetiedusteluun ja varata tapahtumalle kate korttiin liitetyltä tililtä.

[Pankki] on oikeutettu veloittamaan korttiin liitetyltä tililtä käteisnostot ja maksut, jotka kortinhaltija on hyväksynyt esim. käyttämällä korttia yhdessä tunnusluvun kanssa tai muun [pankin] hyväksymän tunnisteen kanssa, käyttämällä korttia internetissä, […]. [Pankki] vastaa siitä, että veloitukset kirjataan korttiin liitetylle tilille.”

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan:

”Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.

Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.”

Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -kohdan mukaan:

”Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen. […]

Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnusluvuista, tunnuslukulaitteesta, tunnuslukusovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumisvälineistä koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.

Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi.[…]”

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan:

[…] Pankki voi turvallisuussyistä pyytää lisävahvistuksen asiakkaan Verkkopankkipalvelun kautta antamalle maksutoimeksiannolle. Lisävahvistus on osa maksutoimeksiantoa ja maksutoimeksianto katsotaan annetuksi pankille vasta kun pankki on vastaanottanut asiakkaalla lisävahvistuksen ohjeistuksen mukaisesti. Pankki antaa lisävahvistuksesta tarkempia tietoja lisävahvistusta vaativan maksun yhteydessä sekä Verkkopankkipalvelua koskevissa ohjeissa.

[…] Toteutettaviin toimeksiantoihin, mukaan lukien maksutoimeksiantopalvelun kautta tehdyt toimeksiannot, sovelletaan [Pankin] maksujenvälitystä koskevia yleisiä ehtoja ([Pankin] euromaksualueella välitettävien euromaksujen yleiset ehdot ja [Pankin] lähtevien ja saapuvien valuuttamaksujen yleiset ehdot).[…]”

Asian arviointi

Tapahtumienkulku

Tapauksessa on riidatonta, että asiakas on joutunut Europolin nimissä tehdyn huijauksen uhriksi. Asiakas on kertomansa mukaan saanut 19. tai 20.7.2022 puhelun, jossa soittaja esittäytyi olevansa Europolista. Soittaja kertoi, että asiakkaan identiteettiä oli käytetty huumeiden myynnissä ja rahanpesussa. Asiakkaan kertoman mukaan häntä peloteltiin ja hän antoi heille mm. kaikki mahdolliset henkilötietonsa. Edelleen asiakkaan kertoman mukaan häntä autettiin siirtämään säästöjään Suomessa ja Saksassa olevilta tileiltä turvaan. Tässä käsillä olevassa tapauksessa on kyse asiakkaan suomalaisessa pankissa olevista varoista. Asiakas luuli saavansa rahat myöhemmin takaisin.

Asiakas on alkuvuonna 2023 FINElle kertonut hyväksyneensä 20.–21.7.2022 tehdyt neljä maksua, joiden yhteenlaskettu summa on 42.360 euroa. Yksi näistä maksuista (9.160 euroa) on palautunut asiakkaalle. Asiakas on FINElle kertonut, että hän kiistää hyväksyneensä 22.7.–25.8.2022 hänen kortillaan tehdyt maksut ja hänen tililtään tehdyt tilisiirrot, joiden summa yhteensä on 92.600 euroa.

Suomen poliisille 23.9.2022 tekemässään tutkintailmoituksessa asiakas on kertonut, että Europolin officer Rodgersina esittäytynyt henkilö oli useita kertoja pyytänyt siirtämään rahoja suojaan ja kertonut, että hän on löytänyt aina uuden tutkijan, joka voi pitää varoja turvassa rikollisilta. Näissä puheluissa tekijä oli pyytänyt tietokoneella menemään sivustolle, josta asiakas oli ladannut Helpdesk- ja Teamviewer-nimiset ohjelmat. Asiakasta pyydettiin käyttämään ohjelmia jakaakseen näyttöään, jonka jälkeen tekijä oli ohjeistanut mitä seuraavaksi pitää painaa, kirjoittaa tai tehdä. Näissä tapahtumissa asiakasta pyydettiin siirtämään varojaan 500–12.000 euron suuruisia summia eri tileille. Tapahtumia oli ollut monia ja yhteissumma oli kertynyt yli 100.000 euron suuruiseksi.

FINElle tekemässään valituksessa asiakas on siten ilmoittanut itse hyväksyneensä vain 20.–21.7.2022 tehdyt neljä maksua, joiden summat ovat 8.200–15.000 euroa ja yhteissumma 42.360 euroa. Edelleen FINElle tekemässään valituksessa asiakas on kiistänyt hyväksyneensä 22.7.–25.8.2022 tehdyt 17 tilisiirtoa ja korttimaksua, jotka ovat 300–10.000 euroa ja joiden yhteissumma on 92.600 euroa.

Poliisille tekemässään tutkintailmoituksessa asiakas on toisaalta kertonut hyväksyneensä monia tapahtumia, joiden yhteissumma oli yli 100.000 euroa ja ne olivat 500–12.000 euron suuruisia. Lisäksi tutkintailmoituksessa asiakas on kertonut, että officer Rodgersina esittäytynyt henkilö oli useita kertoja pyytänyt siirtämään rahoja suojaan ja kertonut, että hän on löytänyt aina uuden tutkijan, joka voi pitää varoja turvassa rikollisilta.

Asiakkaalta on pyydetty selvitystä asiakkaan poliisille tekemässään tutkintailmoituksessa ja FINElle tekemässään valituksessa olevia eroja. Asiakas epäilee erojen johtuvan luultavasti siitä, että tapahtuneesta oli kulunut vuosi eikä hän muista enää yksityiskohtia, koska tapahtuma oli hyvin traumaattinen kokemus.

Asiakkaan mukaan hän on asentanut rikollisten pyynnöstä tietokoneelleen ja puhelimeensa etäkäyttöohjelmistoja. Lisäksi asiakas epäilee laitteillaan olleen vakoiluohjelmia, jotka oli luultavasti asennettu, kun hän oli käynyt puhelimellaan ja tietokoneellaan sivustolla, jonka hän luuli kuuluvan Europolille. Asiakas on lisäksi kertonut, että hänen tietokoneellaan oli Word-dokumentti, jossa oli hänen pankkitietojaan. Asiakas epäilee rikollisten luultavasti päässeen asiakkaan koneella olleiden vakoiluohjelmien avulla käsiksi tietoihin.

Asiassa ei ole esitetty näyttöä edellä mainituista etäkäyttö- ja vakoiluohjelmista. Asiakkaan mukaan poliisin rikostutkinnassa ei ole pystytty jäljittämään näitä sen tarkemmin. Asiakkaan kertoman mukaan hän on poliisin pyynnöstä pyyhkinyt tiedot molemmista laitteista ja hankkiutunut eroon niistä.

Asiakas ei ole kertomansa mukaan työkiireidensä vuoksi huomannut rahojen katoamista tililtään. Kertomansa mukaan hän on aina tarkasti tietoinen siitä, paljonko tilillä on rahaa ja paljonko hän oli kuluttanut, joten hänellä ei ole ollut tarvetta seurata tilinsä saldoa.

Asiakas on itse pankkitunnuksillaan hyväksynyt oikeudettomiksi ilmoittamiensa maksujen välissä maksun 12.8.2022 klo 16.53. Pankin mukaan maksu on tehty asiakkaan verkkopankissa, joka alkaa aina sillä, että asiakkaalle näytetään tililuettelo saldoineen. Asiakkaan muistikuvien mukaan hän oli maksanut tämän laskun nopeasti kännykällään potilaiden hoitojen välissä, joten hän ei jäänyt katsomaan tilin saldoa sen kummemmin kuin koskaan aikaisemmin.

Asiakas on tutkintailmoituksessa kertonut, että officer Rodgersina esittäytynyt henkilö oli pitänyt yhteyttä asiakkaaseen rikosilmoituksen tekemiseen (23.9.2022) saakka. Asiakkaan mukaan huijarit kertoivat hänelle useita kertoja tarkasti, mitä hänen tulisi sanoa, jos pankki soittelisi ja kyselisi, miksi hän tyhjensi yhtäkkiä tiliänsä. Saksan poliisille 2.10.2022 tekemässään tutkintailmoituksessa asiakas on kertonut, että hän menetti rahansa kesä–syyskuussa ja puhui melkein joka päivä puhelimessa huijarin, jonka hän luuli olevan Europolista, kanssa.

Pankin järjestelmätietojen perusteella sisäänkirjautumiset verkko- ja mobiilipankkiin, tilisiirrot ja korttimaksut on vahvistettu asiakkaan omalta laitteelta, johon pankin tunnistussovellus on käyttöönotettu 3.6.2021 klo 13.14. Pankin selvityksen mukaan asiakkaan käytössä ei ole muita pankin tunnistussovelluksia.

Pankin järjestelmätiedoista ilmenee, että tapahtuma-aikaisissa asiakkaan mobiili-/verkkopankki-istunnoissa IP-osoitteet ovat Englannissa, Unkarissa ja Saksassa. Pankin mukaan tämä selittyy asiakkaan työmatkustamisella. Pankin selvityksen mukaan asiakkaan reklamoimia tilisiirtoja on tehty sekä verkkopankissa (jota käyte­tään verkkoselaimella) että mobiilipankkisovelluksella, joka on ollut asiakkaan käytössä yhtä­jaksoisesti jo kuukausia ennen asiakkaan reklamoimia tapahtumia. Edelleen pankin mukaan kirjautumiset ovat johdon­mukaisia; ne tulevat samoista IP-osoitteista, vaikka kirjautumisia olisi asiakkaan eri laitteilla saman päivän aikana.

Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo, että asiassa on jäänyt ainakin jossain määrin epäselväksi se, kuka on tehnyt asiakkaan reklamoimat maksut. Maksujen toteuttaminen edellyttää kuitenkin niiden hyväksymistä sovitulla tavalla. Pankkilautakunta katsoo, että asiakkaan reklamoimat tilisiirrot ja korttimaksut on hyväksytty asiakkaan omalla laitteella olleella pankin tunnistussovelluksella. Pankkilautakunta katsoo, että asiassa on jäänyt osoittamatta, että joku muu kuin asiakas itse olisi voinut hyväksyä maksutapahtumat asiakkaan laitteella olleella tunnistussovelluksella.

Ottaen huomioon erityisesti sen, mitä asiakas on Suomen ja Saksan poliisille tekemässään tutkintailmoituksessa kertonut siitä, mitä maksuja asiakas oli tehnyt itse, miten ”officer Rodgers” oli aina löytänyt uusia tutkijoita, jotka voisivat pitää varoja turvasssa, miten hän oli keskustellut puhelimitse lähes päivittäin ”officer Rodgersin” kanssa rikosilmoituksen tekemiseen saakka, lautakunta pitää epäuskottavana asiakkaan kertomusta siitä, että asiakas olisi tehnyt ja hyväksynyt ainoastaan 20.–21.7.2022 tehdyt tilisiirrot.

Lautakunta pitää lisäksi epäuskottavana asiakkaan kertomusta siitä, että hän ei ollut huomannut oikeudettomiksi väittämiään tilitapahtumia 22.7.–25.8.2022 ottaen huomioon tapahtumien yli kuukauden keston, niiden yhteensä 92.600 euron määrän, asiakkaan 12.8.2022 itse tekemänsä maksun ja sen yhteydessä hänelle näytetyt tiedot sekä erityisesti sen, että asiakas on tiennyt hänen tiliinsä kohdistuneet epäselvyydet ja itse turvaan siirtämiseksi tekemänsä tilisiirrot 20.–21.7.2022.

Edellä mainittu huomioon ottaen Pankkilautakunta katsoo, että asiakkaan on täytynyt harhaanjohdettuna hyväksyä itse tunnistussovelluksellaan kaikki asiakkaan reklamoimat maksut.

Asiakkaan menettelyn arviointi

Pankkilautakunta on edellä katsonut, että asiakas on itse vahvistanut tilisiirrot ja korttimaksut laitteellaan olleella pankin tunnistussovelluksella. Saadun selvityksen mukaan tilisiirron toteuttaminen on edellyttänyt maksun vahvistamisen lisäksi tunnistussovelluksessa annettua lisävahvistusta ja mobiilisovelluksessa on ennen sekä vahvistuksen että lisävahvistuksen antamista näkynyt pyyntö antaa vahvistus maksulle sekä kyseisen maksun tiedot mukaan lukien maksun euromäärä sekä saaja. Lisävahvistuksen kohdalla on lisäksi ollut seuraava maininta ”Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein.” Kyseisten korttimaksujen kohdalla on ennen vahvistusten antamista näkynyt korttimaksujen tiedot mukaan lukien maksun euromäärä ja saaja sekä lukenut seuraavaa: ”Nets pyytää vahvistusta. Haluatko suorittaa Visa korttimaksun?”

Pankkilautakunta katsoo, että ennen vahvistusten antamista asiakkaan on täytynyt nähdä tunnistussovelluksessaan vahvistettavien tapahtumien tiedot. Vaikka asiakas on antanut em. vahvistukset tultuaan puhelimessa rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on sitovasti antanut pankille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen sekä pankkitunnusehtojen mukaisen suostumuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle ja korttiehtojen mukaiset suostumuksensa pankille maksutapahtumien veloittamiselle korttiinsa liitetyltä tililtä. Näin ollen Pankkilautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle tilisiirrosta ja korttimaksuista asiakkaalle aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Siheeri Heino

Jäsenet

Ahlroth
Atrila
Tervonen

Tulosta