Haku

FINE-056159

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-056159 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 01.09.2023

Miten vastuu Apple Paylla tehdystä korttimaksusta jakautuu asiakkaan ja pankin välillä? Kortin oikeudeton käyttö. Vahva tunnistaminen.

Tapahtumatiedot

Asiakkaan luottokortin tiedot (luottokortin numero, voimassaoloaika ja CVV-koodi) on lisätty laitteella B Apple Pay -palveluun ja palvelu on tämän jälkeen aktivoitu käyttöön pankin asiakkaan puhelinnumeroon 14.11.2022 klo 14.55.46 (UTC) lähettämässä tekstiviestissä olleella Apple Pay -vahvistuskoodilla. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
”Apple Pay -vahvistuskoodisi on 588650. Vahvistuskoodi on henkilökohtainen eikä sitä saa antaa toiselle henkilölle. Lisää kortti Apple Payhin näin:
1) avaa mobiililaitteesi Lompakko-sovellus
2) valitse kortti
3) valitse ”Syötä koodi” ja
4) syötä vahvistuskoodi, mikäli se ei automaattisesti ilmesty koodikenttään.
Koodi vanhenee 30 minuutissa. Jos sinulla on ongelmia Apple Payn käyttöönotossa tai et ole pyytänyt vahvistuskoodia, ota yhteyttä korttiasiakaspalveluumme +358xxxxxxxxx tai ole yhteydessä chat-asiakaspalvelumme kautta.
Ystävällisin terveisin [Pankki]”

Apple Pay -palvelu käyttöönotto laitteella B on vahvistettu em. viestissä olleella vahvistuskoodilla klo 14.56.53 (UTC). Tämän johdosta pankki on lähettänyt asiakkaalla vielä toisen tekstiviestin klo 14.56.54 (UTC):
”Kortti, jonka neljä viimeistä numeroa ovat -3302, on lisätty Apple Payhin. Voit käyttää Apple Payta kaikissa ostopaikoissa, joissa on lähimaksusymboli tai Apple Pay -symboli. Ystävällisin terveisin [Pankki]”

Asiakkaan Visa-luottokortilla on tehty 15.11.2022 klo 09.32.47 (GMT) Apple Pay -palvelua ja laitetta B käyttäen 985 euron maksutapahtuma, jonka asiakas on kiistänyt tehneensä.

Asiakkaan tililtä tehtiin myös 14.11.2022 klo 14.59.51 (GMT) 67,00 euron korttimaksu, jota asiakas ei ole riitauttanut.

Asiakkaan valitus

Asiakas katsoo, ettei ole toiminut huolimattomasti ja siten edesauttanut huijauksen syntymistä, ja vaatii pankkia korvaamaan 985,00 euroa.

Asiakas sai pankin nimissä kirjoitetun viestin, jonka seurauksena sitten avasi puhelimessaan ja käytössään olevan lompakko-palvelun. Viestissä myös todettiin, että asiakkaan kortti on liitetty Apple Pay -palveluun. Asiakkaan todetessa, että mitään aihetta koodin asentamiselle ei ole, asiakas peruutti toiminnon hyväksymättä mitään. Oletuksena on, että tästä käynnistä kortin tiedoissa seurauksena oli veloitus ja sitä seurannut kortin sulkeutuminen Nets-palvelun toimesta. Näistä tapahtumista asiakas sai tiedon seuraavana päivänä. Samalla selvisi, että oli yritetty tehdä myös toinen nostoyritys, arvoltaan 810,00 euroa.

Asiakas on tehnyt pankkivirkailijan opastuksesta rikosilmoituksen ja reklamaation, johon sai pankilta kielteisen vastauksen. Pankin käsitys on, että asiakas on ollut asentamassa luottokorttiaan Apple Pay -palveluun ja niinhän ei suinkaan ollut. Asiakas kyllä kävi katsomassa lompakkopalvelussa kortin tietoja. Ko. kortti on ollut asennettuna jo aikaisemmin ja asiakas on tehnyt sillä muutamia koeluontoisia ostoksia. Tätä asiakas ei ole saanut todisteltua millään, mikään taho ei anna ns. lokitietoja muuta kuin viranomaisille. Verkkopankissa kortin tiedoissa näkyy mahdolliset tapahtumat normaaleina "korttitapahtuma"-nimisinä.

Asiakas on pyytänyt apua Applen tuelta, pankilta ja Telialta. Asiakkaalla ei mitään tietoa, mistä huijari on saanut käsiinsä pankin viestin ja sen sisältämän koodin. Asiakas ei saanut mitään muuta viestiä kuin em. viestin. Koodia asiakas ei ole syöttänyt, mutta viestistä ilmenee, että se on ilmeisesti ollut (ei ollut näkyvissä) siellä jo odottamassa palvelussa käyntiä. Joten tarkistuskäynti kortin tiedoissa riitti huijauksen toteutumiseen. 

Asiakas ihmettelee, miksi pankki olisi lähettänyt viestin koodin kera, jossa annetaan ohjeet lompakkopalvelun asentamiseen. Asiakkaallahan on palvelu ollut heinäkuusta 2022 käytössään. Asiakas epäilee, että pankin viesti on tullut huijareiden käsien kautta ja sillä keinoin on pyritty avaamaan reitti, jolla päästä asiakaan tilitietoihin. Pankin toiminnan tulisi olla niin luotettavaa ja salattua, että asiakas/käyttäjä ei voi erheytyä tekemään virheitä ja menettämään rahojaan.

Asiakas tutki vielä luottokorttitapahtumiaan ennen päivää 15.11.2022. 67 euron ostotapahtumasta 14.11.2022 asiakkaalle tuli mieleen, että kortin tiedot olisi kaapattu tuon tapahtuman yhteydessä. Muistinsa mukaan asiakas keskeytti kertaalleen ostotapahtuman annettuaan jo korttinsa numerot maksua varten ja palasi ns. ostoksille uudelleen. Asiakas ei osannut epäillä toimintaansa, eikä olevansa kenties urkinnan alaisena maksutapahtumassa. Asiakas suoritti maksun normaalisti saatuaan ostoskorin maksettavaan tilaan. Mitään muuta poikkeavaa asiakas ei muista tapahtuneen ennen seuraavan päivän huijaushetkeä.

Pankin vastine

Pankki pyytää Pankkilautakuntaa toteamaan, että asiassa ei suositeta hyvitystä.

PERUSTELUT                     

Asiakas on reklamoinut pankin Visa credit -luottokortilta 14.11.2022 tehtyä 985 euron suuruista maksutapahtumaa. Maksutapahtuma on tehty käyttäen Apple Pay -palvelua, joka täyttää asiakkaan vahvan tunnistamisen sekä dynaamisen linkityksen vaatimukset. Jokainen yksittäinen Apple Pay -maksutapahtuma vahvistetaan vahvasti tunnistautumalla laitteen Face ID:Ilä tai puhelimen pääsykoodilla. Pankki katsoo, että asiakkaan luottokortin oikeudeton käyttö on johtunut joko siitä, että 1) asiakas on luovuttanut korttinsa tiedot sekä Apple Pay -palvelun käyttöä varten lähetetyn vahvistuskoodin kolmannelle osapuolelle tai vaihtoehtoisesti 2) asiakas on muulla tavalla tahallisesti tai törkeän huolimattomasti (esimerkiksi syöttämällä kortin tiedot ja vahvistuskoodin huijaussivustolle) laiminlyönyt maksupalvelulain ja korttiehtojen mukaiset velvollisuutensa. Pankki esittää tarkempina perusteluinaan seuraavaa:

Apple Payn käyttöönotto

Kortti lisätään Apple Payhin joko mobiilipankin tai laitteen lompakko-sovelluksen kautta. Jotta asiakas pystyy ottamaan Apple Payn käyttöönsä laitteen lompakko-sovelluksen kautta, asiakkaalla täytyy ensinnäkin olla tiedossa lisättävän kortin korttinumero, voimassaoloaika ja cvv-koodi. Nämä tiedot eivät pelkästään riitä, vaan lisäksi kortin lisääminen Apple Payhin edellyttää erillistä vahvistuskoodin syöttämistä sekä Apple Payn käyttöehtojen hyväksymistä. Vahvistuskoodi lähetetään korttitietojen lisäämisen yhteydessä aina kortin haltijan henkilökohtaiseen puhelinnumeroon. Vahvistuskoodi tulee erikseen syöttää laitteen lompakko-sovellukseen ja vasta tämän jälkeen kortti on lisätty palveluun siten, että palvelua pystyy käyttämään. Apple Paylla maksaessa käyttäjän tulee hyväksyä ostot vahvasti tunnistautuneena puhelimen asetuksista riippuen esimerkiksi puhelimen pääsykoodilla tai kasvojentunnistuksella eli maksun hyväksyminen edellyttää aina erillistä vahvistamista. Jos kortti tai kortin tiedot sisältävä laite katoaa tai varastetaan, on kortin tai kortin tietojen haltijan huolehdittava kortin tai kortin tietojen sulkemisesta ilman aiheetonta viivästystä.

Kun kortti lisätään Apple Pay -palveluun, muodostuu kortista yksilöivä tunnistetieto, token, jonka vuoksi lokeilta on mahdollista erotella millä Apple Pay -laitteella tai kortilla maksutapahtuma on tehty. Kortin tiedot eivät tallennu sovellukseen tai laitteelle. Apple ei pääse käsiksi maksukortin tietoihin eikä niitä luovuteta myöskään kauppiaalle maksutapahtuman yhteydessä. Puhelimessa Apple Pay walletissa näytetään ainoastaan lisätyn maksukortin neljä viimeistä numeroa. Apple Pay ei toimi, mikäli laitteessa ei ole lukitusta käytössä.

Asiakkaan kortin tiedot on lisätty ensimmäistä kertaa Apple Payhin lompakko sovelluksen kautta 19.1.2022 laitteella A ja samana päivänä palvelun käyttöönotto on onnistuneesti vahvistettu, jonka johdosta on muodostunut token DNITHE462201954867989686. Asiakkaan maksukortti on lisätty uudelleen Apple Pay -palveluun 14.11.2022, mutta toisen laitteen B lompakko -sovelluksen kautta. Samana päivänä palvelun käyttöönotto on onnistuneesti vahvistettu asiakkaan henkilökohtaiseen puhelinnumeroon tulleella vahvistuskoodilla, jonka myötä on muodostunut toinen token DNITHE302231853724787665. Asiakkaan maksukortti on näin ollen ollut aktivoituna samanaikaisesti kahteen eri laitteeseen, jonka johdosta asiakkaan maksukortista on muodostunut kaksi yksilöivää tokenia. Pankin lokeilta on nähtävissä, että asiakkaan reklamoiva maksutapahtuma (985e) on tehty jälkimmäiseen laitteeseen B 14.11.2022 käyttöönotetulla tokenilla DNITHE302231853724787665. Laitteelle B luotu token sekä asiakkaan fyysinen maksukortti on suljettu heti, kun tieto mahdollisesta väärinkäytöksestä on saatu.

Pankkilautakunta on vielä erikseen pyytänyt pankkia selvittämään, missä välissä ja miten vahvan tunnistamisen edellytykset ovat pankin näkemyksen mukaan täyttyneet otettaessa 14.11.2022 käyttöön Apple Pay -palvelua asiakkaan korttitiedoilla laitteessa B. Pankki viittaa edellä esitettyyn selvitykseen. Asiakas on syöttänyt korttitietonsa Apple Pay -palveluun 14.11.2022. Pankki on lähettänyt asiakkaalle Apple Pay -vahvistuskoodin sisältäneen tekstiviestin 14.11.2022 klo 14.55.46 ja Apple Pay -palvelun käyttöönotto on onnistuneesti vahvistettu laiteessa B tuon tekstiviestitse tulleen vahvistuskoodin avulla 14.11.2022 klo 14.56.53 (token activated). Pankki katsoo, että vahvan tunnistautumisen edellytykset ottaessa käyttöön Apple Pay -palvelua laitteessa B ovat tällöin täyttyneet.

Asiakkaan reklamaatioon liittämä tekstiviesti on ollut täysin aito pankin lähettämä tekstiviesti. Tekstiviesti on lähetetty asiakkaan henkilökohtaiseen puhelinnumeroon, koska asiakkaan luottokorttitiedot on lisätty Apple Pay -palveluun laitteella B. Kuten tekstiviestissä lukee, asiakkaalle lähetetty vahvistuskoodi on henkilökohtainen eikä sitä saa antaa toiselle henkilölle. Tekstiviestissä on myös ohjeet siihen, miten asiakkaan olisi tullut toimia, jos hän ei ole itse pyytänyt vahvistuskoodia Apple Pay -palvelun käyttöönottoa varten. Vaikka tekstiviestissä on ollut ohjeet epäselvässä tilanteessa toimimiseen, asiakas ei ole ollut yhteydessä pankin asiakaspalveluun, vaan sen sijaan hänen on täytynyt joko itse lisätä vahvistuskoodi laitteen B lompakkosovellukseen tai luovuttaa vahvistuskoodi kolmannelle henkilölle/huijaussivustolle, jonka myötä Apple Pay -palvelu on onnistuttu ottamaan käyttöön laitteella B, kuten asiakkaan saamasta toisesta tekstiviestistä ilmenee.

Näin ollen, mikäli asiassa olisi tapahtunut rikos, rikoksentekijän olisi tullut tietää asiakkaan luottokortin numero, voimassaoloaika sekä cvv-koodi. Lisäksi rikoksentekijän olisi tullut saada asiakkaan puhelimeen lähetetty vahvistuskoodi tiedokseen. Ilman näitä tietoja rikoksentekijä ei olisi voinut lisätä asiakkaan luottokorttia Apple Payhin. Vaikka asiakkaan korttitiedot olisi onnistuttu kopioimaan tai ne olisivat muulla tavalla päätyneet asiakkaasta riippumatta rikoksentekijälle, rikoksentekijä ei olisi pystynyt ottamaan Apple Payta käyttöön ilman, että asiakas olisi luovuttanut tekstiviestitse saamansa vahvistuskoodin rikoksentekijälle. Asiakas on tehnyt tapahtuneesta rikosilmoituksen. Kuten asiakkaan toimittamasta tutkinnan päätöksestä ilmenee, poliisi on kuitenkin päätynyt siihen, ettei se aloita esitutkintaa asiakkaan tekemän rikosilmoituksen johdosta. Tarkemmat perustelut ilmenevät tutkinnan päätöksestä. Koska esitutkintaa ei ole aloitettu, tapahtumista tai mahdollisesta rikosasiasta ei ole saatu lisätietoja.

Maksupalvelulain ja yleisten korttiehtojen säännökset

Maksupalvelulaissa on tarkat säännökset maksuvälineestä huolehtimisen sekä vastuusta maksuvälineellä tehtyjen oikeustoimien osalta. Myös pankin yleisissä korttiehdoissa todetaan, että kortti ja kortin tiedot ovat henkilökohtaisia. Asiakas ei saa luovuttaa korttia tai kortin tietoja kenellekään, ei edes samaan perheeseen kuuluvalle henkilölle. Kortinhaltija sitoutuu säilyttämään kortin, kortin tiedot ja korttiin liittyvän henkilökohtaisen tunnusluvun huolellisesti siten, ettei sivullisella ole mahdollista saada niitä tietoonsa tai käyttää niitä. Yleisten korttiehtojen mukaiset kortinhaltijan vastuutilanteet ovat niin ikään yhtenevät maksupalvelulain kanssa.

Vastuu kortin ja kortin tietojen säilyttämisestä on maksupalvelulain ja korttiehtojen mukaan kortinhaltijalla, sillä viime kädessä ja riippumatta esimerkiksi kortinmyöntäjän ohjeistuksesta tai korttisopimuksen ehdoista, ainoastaan kortinhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän korttiaan, laitetta johon kortin tiedot on lisätty tai kortin tietoja ja niihin liittyviä tunnuslukuja säilyttää. Ottaen huomioon sen, että kortti, kortin tiedot ja korttiin liittyvät turvatunnukset ovat henkilökohtaiset, niitä ei saa luovuttaa kenellekään ja että niitä tulee säilyttää huolellisesti, asiakkaan menettely ei vaikuta huolelliselta. Kaikki asiakkaalle sopimuksen ja lain mukaan kuuluvat velvoitteet pätevät myös tilanteessa, jossa mahdollinen rikoksentekijä olisi entuudestaan tuttu.

Etämaksamisen turvallisuus

Yleisten korttiehtojen mukaan kortinhaltijan tulee käyttää etämaksamisessa Visa Secure -palvelua, jos kauppias on siinä mukana. Jos etämaksamiseen ei käytetä edellä mainittua palvelua, tulee kortinhaltijan muutoin kaikin kohtuullisin keinoin pyrkiä varmistamaan etä- tai muun internetmaksamisen turvallisuus. Ehdoissa on mainittu useampi esimerkki, mitä asiakkaan tulisi tehdä turvallisuuden varmistamiseksi. Korttiehtojen mukaan kortinhaltija saa antaa kortin tiedot vain turvalliseksi tietämälleen kauppiaalle tai palvelulle. Kortinhaltijan tulee tutustua palveluun ja ehtoihin ennen kortin tietojen antamista, koska kortinhaltija vastaa ehtojen mukaisista velvoitteista ja kortin tiedoilla tehdyistä kertaluonteisista tai toistuvista korttitapahtumista.

Asiakas kertoo uskovansa, että kortin tiedot on mahdollisesti saatettu kaapata 14.11.2022 tehdyn 67 euron ostotapahtuman yhteydessä. Pankki katsoo, että asiakkaan vastuulla on ollut varmistua maksunsaajan luotettavuudesta sekä etämaksamisen turvallisuudesta. Kuten ratkaisussa FINE-014177 todetaan, ei yksittäinen kortinmyöntäjä tai pankki voi välittömästi vaikuttaa siihen, mitä kauppiaita ja palveluntarjoajia kansainväliseen korttijärjestelmään hyväksytään maksunsaajiksi. Pankki toteaa lisäksi sen, että asiakkaan mainitsema 67 euron maksutapahtuma on tehty vasta sen jälkeen, kun Apple Pay on onnistuttu ottamaan käyttöön laitteella B. Näin ollen pankki katsoo, ettei kyseisellä maksutapahtumalla ole merkitystä nyt käsiteltävään asiaan.

Yhteenveto

Pankki on selvittänyt, mitä tietoja riidanalaisen korttimaksun tekijällä on täytynyt olla, jotta hän on voinut ottaa Apple Pay -palvelun käyttöönsä ja käyttää palvelua korttimaksun tekemiseen. Pankin näkemyksen mukaan Apple Pay -palvelun käyttöönotto tai palvelun käyttäminen korttimaksun tekemiseen ei ole voinut olla mahdollista ilman asiakkaan myötävaikutusta. Pankki ei ole vuotanut asiakkaan tietoja.

Pankki on lähettänyt asiakkaalle Apple Pay -vahvistuskoodin sisältäneen tekstiviestin 14.11.2022 klo 14.55.46 ja Apple Pay -palvelun käyttöönotto on onnistuneesti vahvistettu tuon tekstiviestitse tulleen vahvistuskoodin avulla klo 14.56.53 (token activated). Riidanalainen maksu 985 euroa on sen sijaan tehty 15.11.2022 klo 11.32.47 käyttäen laitteelle B 14.11.2022 klo 14.56.53 aktivoitua tokenia.

Näin ollen huomioiden pankin yleiset korttiehdot, maksupalvelulain säännökset (erityisesti 53 § ja 62 §:t) ja aiemmat FINEn ratkaisut (mm. FINE-041279, FINE-041305 ja FINE-014177), pankki katsoo asiakkaan vastaavan maksutapahtumasta siinäkin tilanteessa, että joku muu olisi ottanut asiakkaan puolesta Apple Pay -palvelun käyttöön ja hyväksynyt maksun, koska on selvää, että kortin tiedot sekä vahvistuskoodi Apple Payn käyttöönottoa varten on joko luovutettu asiakkaan toimesta kolmannelle henkilölle taikka asiakas on muuten toiminut tahallisesti tai törkeän huolimattomasti (esimerkiksi syöttämällä kortin tiedot ja vahvistuskoodin huijaussivustolle), jotta kolmas henkilö on saanut kaikki edellä mainitut tiedot haltuunsa ja on siten pystynyt ottamaan Apple Payn käyttöönsä sekä vahvistamaan sillä maksutapahtumia. Edellä mainituin perustein pankin ei voida katsoa olevan velvollinen hyvittämään asiakkaan reklamoimaa maksutapahtumaa.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

- Kuvakaappaus asiakkaan pankilta vastaanottamasta Apple Pay -vahvistuskoodin sisältävästä tekstiviestistä
- Asiakkaan sähköisesti tekemä rikosilmoitus (16.11.2022)
- Tutkinnan päätös (22.11.2022)
- Pankin yleiset korttiehdot
- Lokitiedot 1, Apple Payn käyttöönotto
- Lokitiedot 2, maksutapahtuma 985 euroa
- Lokitietoja riidanalaisesta maksutapahtumasta

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankin katsoa edellyttäneen vahvaa tunnistamista otettaessa käyttöön Apple Pay -palvelua asiakkaan korttitiedoilla laitteella B. Mikäli vahvaa tunnistamista on edellytetty, lautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät.) mukaan

Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Komission delegoidun asetuksen (EU) 2018/389 24 artiklan mukaan

Yhdistäminen maksupalvelunkäyttäjään
1. Maksupalveluntarjoajien on varmistettava, että henkilökohtaiset turvatunnukset, tunnistamislaitteet ja -ohjelmistot yhdistetään suojatulla tavalla ainoastaan maksupalvelunkäyttäjään.
2. Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki seuraavat vaatimukset täyttyvät:
a) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin, tunnistamislaitteisiin ja -ohjelmistoihin toteutetaan maksupalveluntarjoajan vastuulla suojatuissa ympäristöissä, jotka käsittävät ainakin maksupalveluntarjoajan toimitilat, sen tarjoaman internetympäristön tai muut vastaavat sen käyttämät suojatut verkkosivustot ja sen pankkiautomaattipalvelut, ottaen huomioon riskit, jotka liittyvät yhdistämisprosessin aikana käytettäviin laitteisiin ja peruskomponentteihin, jotka eivät ole maksupalveluntarjoajan vastuulla;
b) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin ja tunnistamislaitteisiin ja -ohjelmistoihin etäkanavan välityksellä suoritetaan käyttämällä asiakkaan vahvaa tunnistamista.

Yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin väärinkäytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin ja kortin tietojen säilyttäminen ja katoamisilmoitus kohdan mukaan

Kortti ja Kortin tiedot ovat henkilökohtaisia. Asiakas ei saa luovuttaa korttia tai kortin tietoja kenellekään, ei edes samaan perheeseen kuuluvalle henkilölle.
Kortinhaltija sitoutuu säilyttämään kortin, kortin tiedot ja korttiin liittyvän henkilökohtaisen tunnusluvun huolellisesti siten, ettei sivullisella ole mahdollista saada niitä tietoonsa tai käyttää niitä. Kortinhaltijan on säännöllisesti seurattava olosuhteiden edellyttämällä tavalla, että kortti on tallella, erityisesti tilanteissa, joissa kortin katoamisriski on suuri, kuten väentungoksissa tai ravintoloissa. Henkilökohtainen tunnusluku on säilytettävä erillään kortista siten, ettei sivullisen ole mahdollista saada tunnuslukua tietoonsa eikä yhdistää sitä korttiin. Kortinhaltijan on tunnuslukua näppäillessään suojattava näppäimistö esimerkiksi kädellään siten, ettei sivullisen ole mahdollista nähdä käytettävää näppäinyhdistelmää.
[]
Kortin tai kortin tietojen katoamisesta tai joutumisesta sivullisen haltuun taikka henkilökohtaisen tunnusluvun joutumisesta sivullisen tietoon on viipymättä ilmoitettava palveluntarjoajalle. […]

Korttiehtojen Kortin tietojen käyttö etämaksamisessa -kohdan mukaan

Asiakas voi Kortin tiedoilla maksaa etämyynnistä ostamiaan tuotteita ja palveluita. Kortinhaltijan tulee käyttää Visa Secure -palvelua, jos kauppias on siinä mukana. Kauppiaan kuuluminen Visa Secure -palveluun on todennettavissa kauppiaan verkkosivuilla olevan Visa Secure -kuvakkeen perusteella. Käyttäessään korttiaan verkkokaupassa kortinhaltija on velvollinen noudattamaan palveluntarjoajan ja Visa Secure -palvelun antamia ohjeita. Kortinhaltija voi käyttää Visa Secure -palvelua ainoastaan silloin, kun hänellä on käytössään voimassa olevat verkkopankkitunnukset.
Jos maksamiseen ei käytetä edellä mainittua palvelua, tulee kortinhaltijan muutoin kaikin kohtuullisin keinoin pyrkiä varmistamaan etä- tai muun internetmaksamisen turvallisuus muun muassa seuraavilla toimilla: suorittaessa etämaksuja internetin kautta, asiakkaan on pyrittävä varmistamaan, että kyseessä on virallinen internet-kauppa, eikä sitä jäljittelevä huijaussivusto. Internetkaupan sivuille tulee mennä kirjoittamalla itse sen www-osoite selaimen osoitekenttään ja tarkistamalla selaimen osoiteriviltä, että sivuston yhteys on salattu, ja että SSL-varmenne kuuluu maksunsaajalle. Salatun yhteyden varmistamiseksi asiakkaan tulee tarkistaa, että selaimen osoiterivillä oleva lukko on lukittu. Asiakkaan tulee lisäksi klikata tätä lukkoa ja tarkistaa, että varmenteen tiedoissa näkyy sen maksunsaajan nimi, jolle asiakas on korttitapahtumaa suorittamassa.
Kortinhaltija saa antaa kortin tiedot vain turvalliseksi tietämälleen kauppiaalle tai palvelulle. Kortinhaltijan tulee tutustua palveluun ja ehtoihin ennen kortin tietojen antamista, koska kortinhaltija vastaa ehtojen mukaisista velvoitteista ja kortin tiedoilla tehdyistä kertaluonteisista tai toistuvista korttitapahtumista.
Pankilla on turvallisuussyistä oikeus rajoittaa kortin käyttöä etämaksamisessa.

Asian arviointi

Tässä tapauksessa pankki on esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja riidanalaisen maksun tekijällä on täytynyt olla, jotta hän on voinut lisätä laitteellaan B asiakkaan maksukortin Apple Pay -palveluun ja vahvistaa palvelun käyttöönoton, mitä riidanalaisen maksutapahtuman tekeminen Apple Pay -palvelua käyttäen on edellyttänyt. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvalla tunnistamisella tarkoitetaan maksupalvelulain 8 §:n 24 kohdan mukaan maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen kohdan mukaisista kolmesta toisistaan riippumattomasta vaihtoehdosta. Nämä vaihtoehdot ovat tieto eli jokin, mitä vain maksupalvelun käyttäjä tietää, hallussapito eli jokin, mitä vain maksupalvelun käyttäjällä on hallussaan, sekä maksupalvelun käyttäjän yksilöivä ominaisuus.

Maksupalvelulain muuttamisesta annetun lain säätämiseen johtaneen hallituksen esityksen (HE 132/2017) mukaan em. tiedolla tarkoitetaan esimerkiksi salasanaa, jonka käyttäjä joutuu antamaan käyttäjätunnuksensa yhteydessä. Hallussapidolla puolestaan tarkoitetaan tunnistusvälinettä, jonka sisältämän tiedon perusteella käyttäjäidentiteetti pystytään määrittämään. Esimerkkeinä hallituksen esityksessä mainitaan sirukortti, tietyllä SIM-kortilla varustettu matkapuhelin tai käyttäjän mobiililaitteelle asennettu tunnistussovellus. Käyttäjän yksilöivällä ominaisuudella tarkoitetaan käytännössä jotain käyttäjän biometristä ominaisuutta, kuten sormenjälkeä, kasvojen muotoa tai silmän iiristä. 

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 24 artiklan (Yhdistäminen maksupalvelunkäyttäjään) mukaan maksupalveluntarjoajan on varmistettava, että henkilökohtaiset turvatunnukset, tunnistamislaitteet ja -ohjelmistot yhdistetään suojatulla tavalla ainoastaan maksupalvelunkäyttäjään.  Edelleen em. artiklan mukaan maksupalveluntarjoajan on varmistettava maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin ja tunnistamislaitteisiin ja -ohjelmistoihin etäkanavan välityksellä suoritetaan käyttämällä asiakkaan vahvaa tunnistamista.

Tässä tapauksessa Apple Pay -palvelun aktivointi on edellyttänyt rikollisilta asiakkaan luottokortin tietojen lisäämisen lisäksi ainoastaan pankin tekstiviestitse asiakkaan puhelinnumeroon lähettämää Apple Pay -vahvistuskoodia eikä esimerkiksi pankkitunnuksilla tai pankin tunnistussovelluksella tehtävää tunnistusta ole edellytetty. Pankkilautakunta toteaa, että fyysisestä maksukortista nähtävissä olevat ja kopioitavissa olevat korttitiedot eivät kaikki yhdessäkään muodosta yhtäkään vahvan tunnistamisen elementeistä. Vahvan tunnistamisen yhtenä ja ainoana elementtinä (hallussapito) on tässä yhteydessä ollut pankin tekstiviestitse lähettämä pankin mobiilisovelluksen aktivointikoodi. Näin ollen Pankkilautakunta katsoo, että otettaessa käyttöön Apple Pay -palvelua asiakkaan korttitiedoilla laitteella B ei menettely ole perustunut vähintään kahteen vahvan tunnistamisen elementtiin vaan ainoastaan yhteen, eikä pankin näin ollen voida katsoa edellyttäneen vahvaa tunnistamista Apple Pay -palvelua käyttöön otettaessa. 

Pankkilautakunta katsoo, että Apple Pay -palvelun käyttöönotto korttitiedoilla on ollut maksupalvelulain 85 c §:n 1 momentin 3 kohdassa tarkoitettu etäkanavan kautta toteutettu toimi, johon liittyy väärinkäytöksen riski ja jonka yhteydessä pankin olisi käytettävä vahvaa tunnistamista. Lautakunta katsoo myös komission delegoidun asetuksen (EU) 2018/389 24 artiklan edellyttävän, että pankki olisi tässä yhteydessä varmistanut, että asiakkaan vahvaa tunnistamista käytetään. Koska pankki ei Apple Pay -palvelua käyttöönotettaessa ole edellyttänyt vahvaa tunnistamista, katsoo Pankkilautakunta pankin laiminlyöneen maksupalvelulain 85 c §:n 1 momentin 3 kohdan sekä komission teknisten sääntelystandardien mukaisia velvollisuuksiaan

Edelleen lautakunta katsoo, että mahdollistaessaan Apple Pay -palvelun käyttöönoton asiakkaan korttitiedoilla ilman vahvaa tunnistamista vastoin maksupalvelulain 85 c §:n 1 momentin 3 kohtaa pankki on käytännössä mahdollistanut myös ko. maksutapahtuman tekemisen vastoin saman lainkohdan 1 kohtaa ilman todellisen asiakkaansa ja maksupalvelun käyttäjän vahvaa tunnistamista missään tapahtuma- ja asiointiketjun vaiheessa.

Edellä todettuun viitaten Pankkilautakunta katsoo, että vaikka ko. maksutapahtuma on tehty Apple Pay -palvelua käyttäen ja teknisesti vahvaa tunnistamista edellyttäen, ei pankki de facto ole tapahtumien missään vaiheessa edellyttänyt asiakkaansa maksupalvelulaissa tarkoitettua vahvaa tunnistamista.  Näin ollen Pankkilautakunta katsoo, ettei myöskään ko. maksutapahtumaa ole tehty vahvaa tunnistamista edellyttäen. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan asiakas ei tällöin vastaa maksuvälineensä oikeudettomasta käytöstä.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki korvaa asiakkaalle asiakkaan kortin oikeudettomasta käytöstä aiheutuneen vahingon täysimääräisesti.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä