FINE-056954

Tapahtumatiedot

Asiakas on saanut 25.8.2022 tekstiviestin, joka on näyttänyt tulleen pankilta. Asiakas on avannut linkin ja syöttänyt pankkitunnuksensa avautuneelle sivustolle.

Asiakas on saanut 25.8.2022 klo 22.28 pankilta pankin mobiilisovelluksen käyttöönottoon vaadittavan tekstiviestin, jossa on todettu seuraavaa:

”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 5233 [pankin mobiilisovelluksessa}. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki].”

Asiakkaan pankkitunnuksilla (verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku) sekä em. tekstiviestissä olevalla vahvistuskoodilla on otettu käyttöön asiakkaan nimiin pankin mobiilisovellus, joka on ladattu laitteeseen iPhone 6S klo 22.30.

Tällä mobiilisovelluksella on hyväksytty seitsemän oikeudetonta tilisiirtoa 26.8.2022 klo 2.08–2.19, jotka ovat olleet yhteismäärältään 6.154,17 euroa. Lisäksi mobiilisovelluksella on hyväksytty viisi verkossa tehtyä korttiostoa 26.8.2022 klo 9.10–9.13, jotka ovat olleet yhteismäärältään 840 euroa.

Lisäksi asiakkaan nimissä on otettu luotto ja siirretty luotolta 4.737,53 euroa 26.8.2022 klo 02.18 asiakkaan tilille. Pankki on luopunut luoton perinnästä.

Asiakkaan tilille on maksuista palautunut 1.168,58 euroa.

Pankki on sulkenut väärinkäyttöepäilyn vuoksi asiakkaan verkkopankkitunnukset 26.8.2022 klo 9.15, Visa Debit -kortin klo 9.16 ja asiakkaan nimissä haetun luotollisen Visa Credit/Debit -kortin klo 9.15.

Asiakkaan valitus

Asiakas on kertonut, että hän on saanut 25.8.2022 pankin nimissä lähetetyn tekstiviestin, jossa kerrottiin asiakkaan tilillä havaitun epäilyttävää toimintaa ja kehotettiin kiireellisesti käymään annetussa osoitteessa. Asiakas on avannut linkin ja sen takaa avautunut sivu näytti pankin kirjautumissivulta. Asiakas on kertonut valituksessaan seuraavasti:

”Kun painoin linkin pyydettiin oman pankin turvakoodia ja kun laitoin turvakoodin niin samalla pääsin [pankin mobiilisovellukseen] ja pääsin kirjautumaan käyttäjätunnus ja salasana. Sitten tuli minun puhelimeen vahvistus koodia ja laitoin sen.”

Asiakas ei voinut tietää, että kyseessä oli huijaussivusto. Hän luuli, että viesti oli tullut oikeasti pankista ja että jotain epäilyttävää oli tapahtunut.

Asiakas vaatii pankkia korvaamaan hänelle 2.258,64 euroa.

Pankin vastine

Pankin lokitietojen mukaan reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteeseen iPhone 6S 25.8.2022 klo 22:30. Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.

Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä asiakkaan numeroon 25.8.2022 klo 22.28.

Rikollinen on tehnyt asiakkaan tiedoilla 4.735,53 euron suuruisen luotolta siirron ja tilisiirtoja sekä korttiostoja yhteensä 6.994,17 euron edestä. Reklamoidut tapahtumat on tehty ennen korttien ja pankkitunnusten sulkemista. Pankki on päättänyt luopua rikollisen ottaman luoton perinnästä. Lisäksi pankki on saanut palautettua varoja yhteensä 1.168,58 euroa, joka on kohdistunut 26.8.2022 klo 2.11 tehtyyn 2.000 euron tilisiirtoon. Näin ollen asiakkaan vahingoksi on jäänyt 1.090,06 euroa.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin pankkitunnusten ehtojen nimenomaista kieltoa. Kohdassa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Asiakas on edellä kuvatun mukaisesti antanut verkkopankkitunnuksensa sekä pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin huijaussivustolle, vaikka pankin lähettämässä tekstiviestissä yksiselitteisesti kiellettiin antamasta koodia toiseen sovellukseen tai verkkosivulle.

Pankki katsoo asiakkaan näin ollen toimineen törkeän huolimattomasti ja vastaavan hänen vahingokseen jääneistä 1 090,06 eurosta.

Selvitykset

Osapuolten välisten kirjelmien lisäksi Pankkilautakunnalle on toimitettu pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan:

”Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.”

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa.

Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot), jotka koskevat asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

”Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].”

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

”Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.

Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.

Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.”

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone-laitteelleen. Tämän johdosta pankki on lähettänyt 25.8.2022 klo 22.28 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen.

Asiassa on jäänyt epäselväksi, miten asiakkaan korttitiedot ovat päätyneet ulkopuolisen tietoon.

Asiakkaan reklamoimat oikeudettomat maksutapahtumat, yhteensä 6.994,17 euroa, on vahvistettu 26.8.2022 klo 2.08–9.13 rikollisten iPhone-puhelimelle asiakkaan pankkitunnuksilla ja em. vahvistuskoodilla käyttöön otetulla pankin mobiilisovelluksella.

Pankki on sulkenut asiakkaan pankkitunnukset ja kortit 26.8.2022 klo 9.15–9.16.

Rikolliset ovat ottaneet asiakkaan nimissä luoton, josta on siirretty 4.735,53 euroa asiakkaan tilille ja näitä varoja on käytetty em. maksutapahtumissa. Pankki on luopunut luoton perinnästä asiakkaalta, joten sen osalta asiakkaalle ei ole aiheutunut vahinkoa. Asiakkaalle on myöhemmin palautunut tilisiirrosta 1.168,58 euroa. Asiakkaan vahingoksi on siten jäänyt 1.090,06 euroa.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti on asiakkaan mukaan näyttänyt tulleen pankilta. Lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, kielletään antamasta koodia verkkosivulle ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole ottamassa pankin mobiilisovellusta käyttöön.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta katsoo, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään. Edellä todettuun viitaten lautakunta katsoo, että asiakkaan olisi tässä tapauksessa tullut ymmärtää keskeyttää asiointinsa.

Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Pankkilautakunta ei suosita hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Haku