Haku

FINE-056172

Tulosta

Asianumero: FINE-056172 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.06.2023

Miten vastuu asiakkaan tililtä tehdyistä ja pankin mobiilisovelluksella vahvistetuista oikeudettomista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on kertomansa mukaan saanut 25.8.2022 pankin nimissä lähetetyn tekstiviestin, jossa käskettiin antamaan kortin tiedot linkin kautta avautuvilla sivustoilla ja sanottiin asian olevan kiireellinen. Linkistä avautui aidoilta pankin sivuilta näyttävät sivut, jonne asiakas kertomansa mukaan syötti korttitietonsa.

Asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 15.55 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen on ladattu ja aktivoitu käyttöön pankin mobiilisovellus laitteella iPhone 7 25.8.2022 klo 15.55. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 2682 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [Pankki]."

Pankin mobiilisovelluksella on vahvistettu asiakkaan tileiltä aikavälillä 16.00-16.32 yhteensä kahdeksan tilisiirtoa yhteisarvoltaan 16.000 euroa. Asiakkaan korttitietoja käyttäen ja em. mobiilisovelluksen vahvistaen on yritetty tehdä myös korttimaksuja 16.05-16.08 välisenä aikana, mutta kaikki korttitapahtumat on hylätty monitoroinnin estolla eivätkä ne ole veloittuneet asiakkaan tililtä. Ensimmäisen klo 16.05 tehdyn 700,00 euron korttimaksuyrityksen seurauksena pankki on lähettänyt asiakkaalle tekstiviestin 25.8.2022 klo 16.07.29:

"Hei! […] Visallesi on tullut seuraava tapahtuma: 25-08-2022 16:05:07, Binance, 700,00 euroa. Haluamme varmistaa, oletko itse tehnyt tapahtuman. Turvallisuussyistä olemme väliaikaisesti sulkeneet korttisi. Soitathan meille pikaisesti asian selvittämiseksi. Jos sinulla on käytössäsi [pankin] verkkopankkitunnukset, saat asiasta viestin myös verkkopankkiin. Terveisin [Pankki] (+358 xx xxx xxxx, ma-pe kello 8-17, pvm/mpm)"

Asiakas on em. tekstiviestin johdosta soittanut pankkiin ja hänen korttinsa on suljettu klo 16.11.

Asiakkaalle on saatu palautettua em. tilisiirroista 707,23 euroa. Lisäksi pankki on korvannut 4.000 euron tilisiirrot, jotka on tehty sen jälkeen kun asiakas on soittanut kortin sulkupalveluun ja sulkenut korttinsa. Asiakkaan vastuulle tilisiirroista on jäänyt 11.292,77 euroa.

Asiakkaan vaatimukset

Asiakas vaatii pankkia korvaamaan 11.292,77 euroa. Asiakas ei ole syyllistynyt tilisiirtoihin pankin väittämillä tavoilla.

25.8.2022 asiakas sai puhelimeensa huijausviestin pankin nimellä. Viestissä käskettiin antamaan kortin tiedot linkin kautta sivustoilla, jotka olivat erittäin aidon näköiset, ja että asia olisi kiireellinen. Asiakas ei ollut tarpeeksi valveutunut tietämään, että pankki ei tällaista toimintaa tee. Asiakkaan syötettyä kortin tiedot pankista tuli viesti, että asiakkaan kortilta on yritetty siirtää rahaa, ja kortti tulisi sulkea. Kortti suljettiin välittömästi, ja asian piti olla sillä selvä.

Samaan aikaan, kun asiakas kävi keskustelua pankin asiakaspalvelijan kanssa puhelimessa kortin sulkemiseksi, pankilta tuli vahvistuskoodi viestillä mobiilisovelluksen käyttöön ottamiseksi. Asiakas ei huomioinut viestiä millään tavalla, sillä keskittyi vain sulkemaan kortin. Myöhemmin illalla asiakas tarkisti pankkitilinsä. Kahdelta tililtä oli siirretty rahaa yhteensä 16.000 euroa tuntemattomalle henkilölle hyvin pian huijausviestin jälkeen, vaikka pankin mukaan mitään tilisiirtoja ei olisi pitänyt tapahtua. Kaikki siirrot oli tehty suoraan pankkitileiltä, eikä yhtäkään siirtoa ole tehty korttimaksuna.

Pankki on tunnistanut, että rahansiirrot on tehty huijausviestin myötä. He kuitenkin väittävät asiakkaan olevan osallinen osaan tilisiirtoihin. Pankki palautti summan, joka siirrettiin ennen kortin sulkemista, mutta kieltäytyy palauttamasta jäljelle jäävät 11.292,77 euroa vedoten siihen, että puhelimeen saapunutta vahvistuskoodia on heidän tulkintansa mukaan käytetty ja kyseinen summa on siirretty sen jälkeen. Pankki tulkitsee, että asiakas on syöttänyt vahvistuskoodin mobiilisovelluksen avaamiseen ja antanut samalla kaikki tarvittavat pankkitiedot ja näin ollen mahdollistanut siirrot siitä huolimatta, että on sulkenut korttinsa. Asiakas kiistää ehdottomasti näin tapahtuneen. Asiakas oli tilisiirtojen aikaan tiiviisti yhteydessä pankin asiakaspalveluun eikä edes huomannut kyseistä vahvistuskoodia sen saapuessa. Asiakas myöntää olleensa huolimaton syöttäessään kortin tiedot huijausviestin linkkiin, mutta ei myönnä syyllistyneensä pankin väittämään vahvistuskoodin käyttämiseen. Asiakas ei hyväksy pankin väittämää, että olisi syöttänyt mobiilisovelluksen avaamiseen käytettävän vahvistuskoodin mihinkään missään yhteydessä koskaan. Viesti tuli asiakkaalle, mutta hän ei koskaan sitä käyttänyt.

Palveluntarjoajan kanta

Tililtä lähteneiden tilisiirtojen ja sinne palautettujen varojen jälkeen reklamoitavaksi summaksi on jäänyt 15.292,77 euroa. Pankki on kuitenkin hyvittänyt asiakkaalle kohtuusyistä tilisiirrot, jotka on tehty sen jälkeen, kun asiakas on soittanut kortin sulkupalveluun ja sulkenut korttinsa, hyvitetty summa yhteensä 4.000 euroa. Asiakkaan vastuulle on siis jäänyt 11.292,77 euroa.

Pankki kiistää asiakkaan vaatimukset perusteettomina.

Tapahtumankulku asiakkaan kertomuksen ja pankin järjestelmistä saatavien tietojen mukaan

Asiakas myöntää vastaanottaneensa pankin mobiilisovelluksen lataukseen tarvittavan vahvistuskoodin sisältävän tekstiviestin, mutta kiistää luovuttaneensa tai syöttäneensä koodia mihinkään tai kenellekään. Lisäksi asiakas on FINEn kanssa käymässään puhelinkeskustelussa kertonut, että hän syötti huijaussivustolle ainoastaan korttitietonsa, eikä käyttänyt sivuilla pankkitunnuksiaan. Tämä kuitenkin poikkeaa siitä, mitä asiakas on kertonut reklamaatioprosessissa pankille.

Pankki on pyrkinyt selvittämään tapahtumankulkua reklamaatioprosessin aikana ja kysynyt asiakkaalta lisäkysymyksiä. Pankin ja asiakkaan välinen keskustelu on pankin vastauksen liitteenä.

Pankki on kysynyt asiakkaalta mm. "1.Mihin olet käyttänyt verkkopankkitunnuksiasi 25.8.2022? Mille sivustolle olet kirjautunut kyseisenä päivänä tunnuksillasi? Entä mitä tarkoitusta varten tunnuksia pyydettiin?" Tähän asiakas on vastannut: "1. Sain 25.8.2022 viestin omaan puhelinnumerooni, että pankkitililläni on tapahtunut epäilyttävää toimintaa. En valitettavasti huomannut ottaa näyttökuvia viesteistä. Viestissä oli linkki, jonka avattuani päädyin hyvin aidon näköiselle sivulle, jossa pyydettiin korttini tiedot, sekä yksi luku tunnuslukukortista. En ollut tarpeeksi valveutunut ymmärtämään, että tämä ei ole normaalia pankilta, joten sinisilmäisesti annoin tiedot. Nettisivut olivat erittäin aidon näköiset. Myöhemmin illalla kirjauduin pankkitililleni tarkistaakseni pankkitilini. Tämä on ainoa yhteys, mihin käytin pankkitunnuksiani 25.8.2022."

Lisäksi pankki on kysynyt asiakkaalta: "4. Onko sinulta pyydetty verkkopankkitunnuksiasi tai niillä kirjautumista jollekin sivustolle sähköpostilla tai sosiaalisen median viestipalveluissa? Mitä tarkoitusta varten? Annoitko tunnuksesi viestillä?" Tähän asiakas on vastannut: "4. Ei. Ainut tilanne oli edellä mainitsemani linkki jonne annoin kortin tiedot ja yhden tunnuslukukortin luvun."

Asiakas on siis ylläkuvatusti kertonut syöttäneensä sivustolle korttitietonsa ja yhden tunnuslukukortin luvun. FINElle asiakas sen sijaan on kiistänyt käyttäneensä pankkitunnuksiaan huijaussivustolla.

Todettakoon, että tyypillisiin huijaustapauksiin verraten, huijaussivustolla pyydetään tavallisesti asiakkaan pankkitunnuksia kokonaisuudessaan, joita hyödyntäen rikolliset ottavat käyttöön pankin mobiilisovelluksen, jolla vahvistavat oikeudettomia maksuja.

Pankin mobiilisovelluksen käyttöönotto

Oikeudettomaksi ilmoitettu tapahtuma on tehty ja vahvistettu laitteeseen iPhone 7 - Apple iPhone 9,1 ladatulla pankin mobiilisovelluksella. Sovelluksen lataamiseksi tähän laitteeseen on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset, eli verkkopankin käyttäjätunnus, salasana, tunnuslukutaulukon tunnusluku sekä tekstiviestitse asiakkaan puhelinnumeroon toimitettu vahvistuskoodi. Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä 25.8.2022 kello 15.55 asiakkaan puhelinnumeroon. Pankin mobiilisovelluksen käyttöönotto rikollisen laitteella on ollut valmis 25.8.2022 klo 15.55 ja oikeudettomat tapahtumat on tehty aikavälillä 16.00-16.32.

Asiakas on kertonut, ettei ole syöttänyt yllä olevaa koodia mihinkään, ja hän kävi keskustelua pankin asiakaspalvelijan kanssa puhelimessa kortin sulkemiseksi, kun vahvistuskoodiviesti tuli, eikä hän huomioinut viestiä millään tavalla. Lisäksi asiakas on kertonut havahtuneensa huijaukseen, kun hän vastaanotti pankilta viestin korttitietojen mahdollisesta joutumisesta vääriin käsiin ja tämä sai asiakkaan soittamaan kortin sulkupalveluun. Selvyyden vuoksi todettakoon, että pankin mobiilisovelluksen lataamiseksi tarvittava vahvistuskoodi on toimitettu asiakkaalle jo klo 15.55 ja vastaavasti korttitietojen joutumisesta mahdollisesti vääriin käsiin kertova tekstiviesti on toimitettu klo 16.07.

Valitettavasti puhelutallennetta asiakkaan kortin sulkupuhelusta ei ole saatavilla, eikä pankki siten pysty ottamaan yllä olevaan asiakkaan väitteeseen tämän tarkemmin kantaa. Väitteensä tueksi asiakas voinee pyytää tiedot puhelusta operaattoriltaan tai antaa väitteensä tueksi muuta selvitystä, jotta asiakkaan kertomusta voidaan arvioida suhteessa tapahtumien aikajanaan.

Pankkitunnustenhaltijalta edellytetään, että pankkitunnuksia käyttäessään hän lukee huolellisesti ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakkaan saamassa tekstiviestissä kerrottiin, että hänen pankkitunnuksillaan ollaan ottamassa käyttöön pankin mobiilisovellusta. Asiakkaan saaman huijausviestin sisällön mukaan hän kuvitteli oletettavasti kirjautuvansa pankkiin. Tarkempaa sisältöä asiakkaan saamasta huijausviestistä ei ole saatavilla, sillä asiakas on poistanut ko. viestin. Mikäli asiakas olisi lukenut huolellisesti pankin mobiilisovelluksen lataamisesta kertovan viestin, olisi asiakkaan epäilysten tullut herätä tässä vaiheessa, sillä asiakas oli oman käsityksensä mukaan kirjautumassa verkkopankkiin huijausviestin sanallisen sisällön mukaisesti "kiireellisesti", eikä ottamassa käyttöön pankin mobiilisovellusta. Lisäksi asiakas kertoo, että huijaussivustolla pyydettiin asiakkaan korttitietoja. Viimeistään tämän olisi tullut herättää asiakkaan epäilyt ja saada asiakkaan kyseenalaistamaan yhteydenoton asianmukaisuus. Korttitietoja ei tarvita verkkopankkiin kirjautumiseen eikä korttiehdoissa myöskään tuoda esiin mahdollisuutta käyttää kortin tietoja tunnistautumiseen.

Asiakas väittää, ettei ole syöttänyt tai luovuttanut kenellekään tai minnekään pankin lähettämää pankin mobiilisovelluksen lataamiseksi tarvittavaa vahvistuskoodia. Ilman tätä asiakkaan puhelinnumeroon lähetettyä vahvistuskoodia "2682" ei pankin mobiilisovellusta ole kuitenkaan voitu ottaa käyttöön laitteella, jolla oikeudettomasti ilmoitetut tapahtumat vahvistettiin.

Lopuksi

Asiakkaan oikeudettomaksi ilmoittamien maksujen vahvistamiseen käytetyn pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana, järjestelmän satunnaisesti valitsema tunnuslukutaulukon tunnusluku sekä tekstiviestillä asiakkaan omaan puhelinnumeroon lähetetty vahvistuskoodi.

Näin ollen pankki katsoo, että asiakkaan on tullut luovuttaa verkkopankkitunnuksensa Digitaalisia palveluja koskevien ehtojen kiellon vastaisesti sivulliselle. Ehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Yllä todetusti, asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakkaan on täytynyt toimia maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytystä tapahtumasta täysimääräisesti.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Ratkaisusuositus

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt korttitietonsa luullessaan asioivansa pankkinsa kanssa. Asiassa saadun selvityksen perusteella myös asiakkaan pankkitunnustietojen on täytynyt päätyä rikollisten tietoon ja FINE katsoo, ettei saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on - asian kiistämisestään huolimatta - syöttänyt em. valesivuille myös pankkitunnustietojaan.

Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone 11-laitteelleen. Tämän johdosta pankki on lähettänyt 25.8.2022 klo klo 15.55 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:

"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 2682 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [Pankki]."

Myös em. viestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja FINE katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että tämä on tapahtunut siten, että asiakas on - asian kiistämisestään huolimatta - syöttänyt myös tekstiviestitse saamansa koodin linkistä avautuneille sivuille. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat klo 16.00-16.32 tehdyt tilisiirrot rikolliset ovat vahvistaneet em. pankin mobiilisovelluksella.

Selvyyden vuoksi FINE toteaa, että vaikka asiakas on syöttänyt valesivustolle myös korttitietonsa, eivät rikolliset ole onnistuneet tekemään korttimaksuja pankin monitoroinnin estettyä kaikki korttitapahtumat. Tämän vuoksi kaikki oikeudettomat maksutapahtumat ovat pankin mobiilisovelluksella vahvistettuja tilisiirtoja ja asiakkaan ja pankin välisen vastuunjaon ratkaisemisen kannalta ratkaisevaa on asiakkaan menettelyn arviointi pankkitunnusehtojen mukaisten velvollisuuksien noudattamisen suhteen.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Asiakkaan mukaan em. tekstiviesti tuli hänelle pankin nimissä ja linkin kautta avautuneet sivut näyttivät aidoilta pankin sivuilta. FINE katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen erityistä syytä epäillä yhteydenoton asianmukaisuutta.

FINE kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen edellä todetun lisäksi huomioon, että tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, FINE katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

FINE kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla verkossa tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti tekstiviestin sisältö huomioiden - ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut viestissä olleen ohjeistuksen mukaisesti myös jättää saamansa koodi syöttämättä verkkosivuille. FINE katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mitä on tapahtumassa ja mihin viestissä ollut vahvistuskoodi tulee syöttää sekä kielletään syöttämästä vahvistuskoodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee huijausta. Mikäli asiakas olisi ottanut viestissä olleen kehotuksen mukaisesti yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakas on kertonut saaneensa em. viestin vasta sulkupuhelun aikana. Kyseisen puhelun asiakas on kuitenkin soittanut vasta saatuaan pankilta 25.8.2022 klo 16.07 korttimaksuyritystä koskevan tekstiviestin ja näin ollen puhelu on alkanut vasta sen jälkeen, kun em. pankin mobiilisovelluksen vahvistuskoodi on klo 15.55 lähetetty asiakkaalle ja koodia on saman tien klo 15.55 käytetty pankin mobiilisovelluksen käyttöön ottamiseksi. Myös oikeudettomista tilisiirroista valtaosa on vahvistettu pankin mobiilisovelluksella ennen kuin asiakas on pankille soittanut. Näin ollen asiakkaan asiassa kertoma ei sellaisenaan voi pitää paikkaansa ja asiakkaan lisäksi kiistäessä syöttäneensä vahvistuskoodia mihinkään FINE katsoo asiassa jääneen myös epäselväksi, onko asiakas lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä vahvistuskoodia sitä valesivuille syöttäessään.  

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta on myös antanut 31.1.2023 ratkaisusuosituksen vastaavanlaisessa pankkitunnusten oikeudetonta käyttöä koskevassa tapauksessa FINE-051121, jossa tapahtumat olivat alkaneet nyt käsiteltävänä olevan tapauksen tavoin rikollisten pankin nimissä lähettämästä tekstiviestistä ja jossa pankin asiakkaalleen lähettämä pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö ja informatiivisuus oli ratkaisuosituksen lopputuloksen kannalta ratkaiseva. Kyseisessä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoi asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen lautakunta katsoi asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

FINE katsoo, että nyt käsiteltävässä olevassa tapauksessa pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältänyt tekstiviesti on sisällöltään vähintään yhtä informatiivinen kuin vastaava viesti em. tapauksessa FINE-051121 ja ettei asiakkaan menettelyä ole tässä tapauksessa saadun selvityksen perusteella syytä arvioida toisin kuin Pankkilautakunta on tapauksessa FINE-051121 asiakkaan menettelyä arvioinut. Näin ollen FINE katsoo asiakkaan vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

FINE ei suosita asiassa hyvitystä.

FINE
Vakuutus- ja rahoitusneuvonta                                                                                                                                                                                           

Jaostopäällikkö Sainio                                                                     
Esittelijä Hidén

Tulosta