Tapahtumatiedot
Asiakas on saanut 22.11.2022 klo 15.35 pankin nimissä lähetetyn tekstiviestin:
”Epätavallisen toiminnan vuoksi korttisi on asetettu pitoon. Käy osoitteessa https://[pankki]fi-digipalvelut.info ja seuraa ohjeita aktivoidaksesi uudelleen”
Asiakas on syöttänyt pankkitunnuksiaan ja korttitietojaan tekstiviestissä olleen linkin kautta avautuneille pankin verkkosivuilta näyttäneille sivuille.
Asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja luku avainlukulistasta) sekä pankin asiakkaan puhelinnumeroon 22.11.2022 klo 15.55 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen rikolliset ovat ladanneet ja ottaneet käyttöönsä phoneksi nimetylle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen ja siinä olevan tunnistusvälineen. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Read carefully! Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named phone. To prevent fraud, continue only if you yourself have downloaded [pankin mobiilisovellus]and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code 13197 only on [pankin mobiilisovellus] app. Don't enter or give this code anywhere else, as that puts your personal information at risk. If you suspect a scam, call [pankki] Deactivation Service now. [pankki]"
Rikolliset ovat tehneet verkossa asiakkaan korttitietoja oikeudetta käyttäen ja em. pankin mobiilisovelluksella vahvistaen 22.11.2022 klo 16.07-16.13 onnistuneesti kolme korttimaksua yhteisarvoltaan 9.885,00 euroa. Ennen em. korttimaksuja rikolliset ovat tehneet klo 16.02 asiakkaan omien tilien välillä 9.800 euron siirron ja nostaneet klo 16.03 asiakkaan kortin turvarajan 500 eurosta 10.000 euroon. Asiakkaan pankkitunnukset on suljettu klo 17.20 asiakkaan tekemän sulkuilmoituksen johdosta.
Asiakkaan valitus
Asiakas vaatii, että pankki korvaa menetetyt rahavarat kokonaisuudessaan tai Pankkilautakunnan suosittaman määrän. Asiakkaan toiminta ei kokonaisuutena arvostellen ole ollut pankin esittämin perustein eikä maksupalvelulain säännösten mukaisella tavalla törkeän huolimatonta.
Tapahtumien kulku
Asiakkaalle tuli tekstiviesti pankin viestiketjuun, johon asiakas oli saanut samasta numerosta aikaisemminkin pankin asiointia koskevia viestejä. Tästä syystä hänellä ei ollut mitään syytä epäillä viestien alkuperää ja perustellusti oletti toimivansa pankin kanssa.
Asiakas kävi ohjeiden mukaisesti pankin mobiilisovelluksessa tarkastamassa tilinsä ja päätteli sen perusteella, että viesti johtui siitä, että tilille olivat edellisenä päivänä tulleet näkyviin hänen ulkomaanmatkalla tehdyt ostokset sekä suorittamansa epätavallisen monet ja normaalia suuremmat siirrot ja asiakkaan äidin suorittama siirto. Asiakas oletti, että pankki oli havainnut hänen tilillään epätavallista toimintaa ja kyseessä oli pankin turvatarkistus. Asiasta varmistuneena hän päätti aktivoida korttinsa.
Linkistä avautui pankin verkkopankin näköinen sivusto, jonne asiakas kirjautui sisään pankkitunnuksillansa. Hänen ollessa kirjautuneena valesivustolle pankki lähetti klo 15.55 englanninkielisen tekstiviestin. Asiakas oletti viestin sisällön olevan rutiininomainen kaksoisvahvistuksen tapainen vahvistusviesti, jollaisia hän oli aiemminkin saanut ja näppäili koodin sivustolle. Asiakkaan englanninkielentaito ei riittänyt täysin ymmärtämään tekstiviestin ydinajatusta. Jos viesti olisi ollut suomeksi, hän olisi varmasti toiminut toisin. Hän seurasi edelleen sivuston ohjeita kortin aktivoimiseksi ja antoi sinne myös korttinsa numeron ja kolminumeroisen turvakoodin.
Asiakas soitti klo 17.06 äidilleen, jolla on käyttöoikeus tileihin, ja kertoi tapahtuneesta. Äiti tarkasti tilit mobiilisovelluksestaan ja huomasi tilien olevan tyhjät. Välittömästi klo 17.07 asiakas ilmoitti asiasta pankille puhelimitse ja kortti suljettiin.
Seuraavana päivänä asiakas puhui useaan otteeseen pankin kanssa ja yhdessä puheluista asiakaspalvelija kertoi, että siirrot näkyivät edelleen katevarauksina ja että rahat pystyisi ehkä vielä palauttamaan. Asiakas toimi tilanteessa täysin pankin ohjeiden mukaisesti ja uskoi puheluiden perusteella, että saisi rahat vielä takaisin.
Perustelut
Asiakas on luullut asioivansa pankkinsa kanssa ja näin ollen hän ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle. Asiakas ei ole myöskään antanut maksutapahtumille suostumustaan tai toiminut törkeän huolimattomasti ja on aina noudattanut erityistä huolellisuutta kortin ja tunnusten säilyttämisessä sekä turvarajojen asettamisessa. Asiakas on myös ilmoittanut tapahtuneesta ilman aiheetonta viivytystä pankille. Turvarajojen muokkaamisen helppous välittömin vaikutuksin on pankin asiakkaan turvallisuuden näkökulmasta selkeä puute pankin järjestelmässä, joka helpottaa rikollisten toimintaa.
Asiakkaan epäilykset eivät pankin englanninkielisestä viestistä heränneet, koska hän oli juuri palannut ulkomailta. Asiakas oletti pankin olevan tarkka ja puuttuvan epänormaaliin toimintaan tilillä. Tarkastettuaan tilinsä asiakas oli varma, että pystyisi aktivoimaan korttinsa, koska tilitapahtumat olivat hänen tekemiään. Asiakkaan asiointikieli pankissa on suomen kieli, joten asiakasta ei voi syyttää törkeästä huolimattomuudesta, koska hän ei ymmärtänyt rutiininomaisen englanninkielisen viestin sisältöä vaan oletti sen olevan rutiininomainen vahvistusviesti kortin avaamiseksi. Pankki kertoo käyttävänsä viestintään pääsääntöisesti asiakkaan asiointikieltä eikä asiakkaalle ei ole missään kerrottu, että asiakkaan ei tule reagoida muun kuin oman asiakkuuskielen viestintään.
Asiakas painottaa myös pankin epäkohtia, jotka ovat mahdollistaneet anastamisen. Rikollinen on pystynyt lähettämään pankin viestiketjuun huijausviestin. Tilin turvallisuus ei ole taattu, jos rikollinen pystyy hetkessä ilman turva-aikaa muuttamaan kaikki asiakkaan turvarajat sekä tyhjentämään tilit.
Asiakaspalvelusta on annettu runsaasti väärää tietoa katevarauksiin liittyen ja myös perättömiä lupauksia siitä, että asiakkaalle maksettaisiin pian pankkitilille osa rahoista takaisin. Asiakas haluaa myös painottaa viestinnän puutetta huijausviesteihin liittyen. Pankki ei ole varoittanut asiakasta.
Pankki kertoo kuunnelleensa puhelinkeskustelut nauhoitteista ja myöntää antaneensa harhaanjohtavaa tietoa. Pankki kuitenkin toteaa, ettei ole havainnut nauhoitetuista puhelinkeskusteluista sellaista, missä asiakkaalle olisi luvattu maksettavan pian korttireklamaation jälkeen osan menetetyistä rahoista takaisin. Asiakas on varma, että hänelle on kerrottu, että hänelle palautetaan reklamaation yhteydessä osa rahoista takaisin. Asiakas vaatii, että nauhat kuunnellaan uudelleen ja asia myönnetään tapahtuneeksi. Asiakas pyytää puhelut lautakunnan kuultavaksi, sillä kokee tulleensa harhaanjohdetuksi ja huijatuksi.
Pankin vastine
Kiistanalaiset korttimaksut on tehty ulkopuolisen saatua asiakkaalta korttimaksujen edellyttämät korttitiedot ja niitä hyväksi käyttäen tehnyt verkossa kolme korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla asiakkaan tunnuksiin liitetyn vahvan tunnistamisen.
Väärinkäyttö on saanut alkunsa asiakkaan vastaanotettua puhelimeensa pankin nimissä lähetetyn tietojen kalasteluviestin, jossa ollut linkki johti osoitteeseen https://[pankki].fi-digipalvelut.info. Pankin verkkosivuilla osoitteessa www.[pankki].fi/tunnukset on listattuna kaikki pankin tarjoamat palvelut, joita pankin asiakkaat voivat tunnuksillaan käyttää. Kyseinen huijausviestin linkin osoite ei ole listalla.
Asiakas on syöttänyt linkin takaa avautuneelle sivustolle verkkopalvelutunnustensa käyttäjätunnuksen, salasanan, yhden avainluvun, joka tarvitaan pankin mobiilisovelluksen ja tunnistusvälineen aktivoimiseksi, sekä asiakkaan lisävahvistusnumeroon turvallisuussyistä pankin klo 15.55 lähettämän tunnistusvälineen aktivointiin tarvittavan koodin. Näillä linkin takaa avautuneelle sivustolle syötetyillä tiedoilla ulkopuolinen on saanut haltuunsa asiakkaan tiedoilla olevan vahvan sähköisen tunnistusvälineen.
Huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuulu se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin asiakkaalle lähettämän tunnistusvälineen aktivoinnista kertoneen viestin tarkka sisältö huomioiden olisi asiakkaan pitänyt ymmärtää kyseenalaistaa asiointinsa asianmukaisuus. Tekstiviestillä on nimenomaan pyritty henkilökohtaisesti varoittamaan asiakasta ja kehotettu huolellisuuteen. Lisäksi pankki julkaisee verkkosivuillaan sekä sosiaalisessa mediassa (Facebook) varoituksia ja tiedotteita erilaisista huijauksista. Myös pankin mobiilisovelluksessa kohdennetaan asiakkaille varoituksia.
Ottaen huomioon pankin asiakkaalle tekstiviestillä lähettämän tunnistusvälineen aktivointipyynnön tarkan sisällön ja ohjeen milloin ja minne koodi tulee syöttää, on asiakkaan menettelyn katsottava olleen sellainen maksuvälineen haltijan vakava varomattomuus, jota maksupalvelulain sekä kortteja ja verkkopalvelua koskevien sopimusehtojen mukaisella törkeällä huolimattomuudella tarkoitetaan. Pankin päätös on ratkaisusuositusten FINE-049424 ja FINE-051121 mukainen. Pankin lähettämät viestit tulee lukea huolella ennen viestissä olevien koodien syöttämistä. Mikäli asiakas ei ole varma mihin pankin tekstiviestitse toimittama koodi on tarkoitettu, ei koodia tule syöttää.
Pankin tunnusten ja verkkopalveluiden yleisissä ehdoissa kielletään luovuttamasta tunnuksiaan tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille. Asiakkaan tekstiviestitse saama linkki ei ole listattu pankin hyväksymäksi palveluksi.
Asian ratkaisu perustuu asiakkaan menettelyn huolellisuuden arviointiin. Keskeistä arvioinnin kannalta on, että uuden tunnistusvälineen aktivoinnille on annettu suostumus syöttämällä tunnistusvälineen aktivointiin tarvittava koodin huijaussivustolle vastoin viestissä ollutta ohjeistusta. Sen, että viesti tuli muulla kielellä kuin asiakkaan asiointikielellä, olisi nimenomaan pitänyt kiinnittää asiakkaan huomion siihen, että jotain poikkeuksellista on tapahtumassa.
Pankki tekee asiakasviestintää käyttäen pääsääntöisesti asiakkaan asiointikieltä, josta syystä asiakkaan on helppo havaita poikkeava tapahtuma, jos viesti saapuu vieraalla kielellä ja tällöin koodeja ei viesteistä tulisi luovuttaa. Näin ollen toiminta osoittaa törkeää huolimattomuutta. Tässä tapauksessa tunnistusvälineen aktivoinnista kertova tekstiviesti on ollut englanninkielinen, sillä laitteen, jolla aktivointi on tehty, kieliasetus on ollut muu kuin suomi tai ruotsi.
Asiakas on kysynyt, miten on mahdollista, että rikollinen pystyy lähettämään pankin viestiketjuun huijausviestin. Rikolliset pyrkivät väärentämään lähettäjän osoitteen näyttämään siltä, että se olisi peräisin luotettavasta lähteestä. Älypuhelimien tekstiviestien luokitteluun sekä ketjun muodostamiseen vaikuttavat pääasiassa lähettäjän puhelinnumero, mutta riippuen esimerkiksi älypuhelimen mallista, käyttöjärjestelmästä, käyttöjärjestelmäpäivityksistä ja laitteen asetuksista, voivat älypuhelimet tehdä päätelmiä analysoimalla viestin sisältöä esimerkiksi tunnistamalla viestiin kirjoitettuja avainsanoja tai yhteystietoja.
Asiakas on halunnut selvityksen siitä, mitä hyötyä on turvarajoista, jos rikollinen pystyy muuttamaan turvarajat hetkessä. Turvarajat rajoittavat kortin käyttöä silloin, kun esimerkiksi fyysinen kortti on kadonnut tai jos ulkopuolinen on saanut kortin tiedot käyttöönsä esimerkiksi tietomurron seurauksena. Pankin suositus on pitää kortille asetetut turvarajat omaan päivittäiseen käyttöön sopivalla tasolla ja korottamaan turvarajaa tarpeen vaatiessa sähköisessä asiointipalvelussa pankin mobiilisovelluksessa tai verkkopalvelussa. Turvarajoja voi nostaa vain vahvasti tunnistautuneena, ja tässä tapauksessa tunnistautuminen on tehty pankin tunnistusvälineellä.
Asiakkaan mukaan siirto on näkynyt katevarauksena ja pankki ilmoitti voivansa mahdollisesti perua siirron asiakkaan pikaisen puuttumisen ansiosta. Pankki pahoittelee, että asiakaspalvelusta on annettu harhaanjohtavaa tietoa. Katevarauksen purkaminen ei estä myyjäliikettä veloittamasta aiemmin korttiin liitetyltä tililtä varaamaansa summaa. Esimerkiksi maksamalla ruokakaupasta ostetun tuotteen tai palvelun kortilla, vaihtaa tuote tai palvelu onnistuneen katevarauskyselyn jälkeen omistajaa. Myyjäliikkeelle annetaan katevarauskyselyn yhteydessä myyntilupa, eli oikeus tapahtuman veloittamiseen tuotteesta tai palvelusta, joka on oston hetkellä (katevarauksen ajankohta) vaihtanut omistajaa. Pankki on kuunnellut puhelut jo ensimmäisen reklamaation yhteydessä ja toimittanut yhteenvedon puheluista. Puhelussa 23.11.2023 klo 10.40 asiakkaalle on ikävä kyllä puhelussa vastoin pankin ohjeistusta kerrottu näin: "en lupaa mitään mutta sinulla on paremmat mahdollisuudet saada rahat takaisin korttireklamaation kautta kuin jos kyseessä olisi ollut tilisiirto, se ei ole mitenkään 100 varmaa, mutta toivoa on." Pankki katsoo, että vahinko on kuitenkin tapahtunut jo ennen kyseistä puhelinsoittoa ja asiakkaalle annettua virheellistä tietoa, eikä tämän puhelun sisällöllä ole vaikutusta asian ratkaisun kannalta. Pankki tekee jatkuvaa parannustyötä ja laadunvalvontaa, jonka vuoksi pankki on asiakkaan ensimmäisen reklamaation yhteydessä, tammikuussa 2023, kuunnellut kyseisen puhelun ja teroittanut asiakaspalveluaan eri organisaatioyksiköissä olemaan ottamatta kantaa mahdolliseen korvaukseen väärinkäytöstilanteissa.
Asiakkaan mukaan hänellä olisi myös annettu puhelinkeskustelussa perättömiä lupauksia siitä, että asiakkaalle maksettaisiin pian pankkitilille osa rahoista takaisin. Tällaista sisältöä pankki ei puheluiden kuuntelussa ole havainnut. Pankki on toimittanut puheluiden sisällöt tiivistettynä sekä asiakkaan viittaaman puhelun 22.11.2022 klo 19.21 litteroinnin.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat
- Yleiset korttiehdot
- Pankin tunnusten ja verkkopalveluiden yleiset ehdot
- Kuvakaappaus asiakkaan tilin tapahtumista
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kuluttajan asemassa olevan asiakkaan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin käyttötavat. Missä voi maksaa kortilla? -kohdan mukaan
Asiakas saa käyttää korttia ja luovuttaa hallussaan olevan Kortin tiedot vain näissä ehdoissa mainittuihin käyttötarkoituksiin.
Korttia voidaan käyttää käteisen nostoon, ostosten ja palveluiden maksamiseen tai rahan tallettamiseen korttiin liitetylle pankkitilille. Lisäksi Kortin tietoja voidaan käyttää ostosten ja palveluiden maksamiseen. Korttia saa käyttää vain pankki- tai luottotilillä olevien varojen tai myönnetyn luottorajan puitteissa.
[…]
Korttiehtojen Kortin käyttö maksukorttina -ehdon mukaan
Kortteja, joilla on credit- tai debit-ominaisuus, voidaan käyttää maksuvälineenä ja käteisen nostoon maksupäätteessä.
[..]
Korttiehtojen Kortin tietojen käyttö etämaksamisessa -kohdan mukaan
Asiakas voi Kortin tiedoilla maksaa etämyynnissä ostamiaan tuotteita ja palveluita.
[…]
Asiakkaan tulee antaa Kortin tiedot vain turvalliseksi tietämilleen kolmansille palveluntarjoajille. […]
Käyttäessään Kortin tietoja asiakas on velvollinen noudattamaan [pankin] antamia ohjeita. Maksa turvallisesti verkossa -ohje on saatavilla tilipankin toimipakoissa [pankin] osoitteessa www.[pankki].fi. […]
Korttiehtojen Asiakkaan velvollisuudet -kohdan Kortista ja Kortin tiedoista huolehtiminen -alakohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.
[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internet-kauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. […]
Korttiehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Kortin tai laitteen ja siihen tallennettujen Kortin tietojen katoamisesta, joutumisesta sivullisen haltuun, […] tai oikeudettomasta käytöstä on viipymättä ilmoitettava [pankille].
[…]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
[…]
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa.
[pankki]-verkkopalveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Pankkitunnusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun. […]
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan mukaan
[pankki]-verkkopalveluiden käyttö –kohdan mukaan
Asiakas tunnistautuu [pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
Asiakas voi tunnistautua [pankki]-verkkopalveluihin myös muulla Palveluntarjoajan tarjoamalla tai Palveluntarjoajan hyväksymällä Kolmannen osapuolen myöntämällä varmenteella tai tunnistusvälineellä. Jos Kolmannen osapuolen tarjoamaa varmennetta tai tunnistusvälinettä koskeva sopimus on tunnistusvälineen tai varmenteen säilyttämisen ja / tai käyttämisen osalta ristiriidassa [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisten ehtojen kanssa, sovelletaan ensisijaisesti [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisiä ehtoja.
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankki]-verkkopalveluissa. Edellä sanottu ei rajoita Asiakkaan oikeutta käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone-laitteelleen. Tämän johdosta pankki on lähettänyt 22.11.2022 klo 15.55 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen englanninkielisen tekstiviestin ja asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneille sivuille. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistusvälineen ja mobiilisovelluksen omalle laitteelleen. Em. koodin syötettyään asiakas on syöttänyt valesivuille myös korttitietonsa. Nyt kyseessä olevat oikeudettomat korttimaksut rikolliset ovat tehneet asiakkaan korttitietoja käyttäen ja em. pankin mobiilisovelluksella vahvistaen.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että saadun selvityksen mukaan asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näytti lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä tekstiviestitse tulleen yhteydenoton asianmukaisuutta ja että hän on voinut perustellusti ymmärtää yhteydenoton liittyneen hänen ulkomaanmatkaansa liittyneisiin tavanomaisuudesta poikkeaviin maksutapahtumiin.
Pankkilautakunta kiinnittää tässä huomiota vielä siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä sulkupalveluun taikka pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti mm., mitä tarkoitusta varten viestissä ollut koodi on ja mihin koodi tulee syöttää. Asiakkaan mukaan hänen englanninkielentaitonsa ei riittänyt täysin ymmärtämään tekstiviestin ydinajatusta ja hän oletti tekstiviestin olevan rutiininomainen kaksoisvahvistuksen tapainen vahvistusviesti. Hän seurasi edelleen sivuston ohjeita kortin aktivoimiseksi ja antoi sinne myös korttinsa numeron ja kolminumeroisen turvakoodin.
Pankkilautakunta katsoo, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsookin tässä tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta.
Asiakas on saadun selvityksen mukaan syöttänyt valesivustolle myös korttitietonsa. Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut myös tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta.
Yhteenvetona Pankkilautakunta katsoo, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnustensa lisäksi pankin tekstiviestitse lähettämän koodin ymmärtämättä tekstiviestin sisältöä, on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Pankin muu vahingonkorvausvastuu tai sitoumukseen perustuva vastuu
Asiakas on vedonnut tapauksessa myös siihen, että pankki on antanut virheellistä tietoa katevarauksiin liittyen ja perättömiä lupauksia siitä, että asiakkaalle maksettaisiin osa rahoista takaisin.
Asiassa on riidatonta, että pankin asiakaspalvelusta on annettu asiakkaalle harhaanjohtavaa tietoa katevarauksista ja rahojen palautumisen mahdollisuudesta. Asiassa on riidatonta myös se, että harhaanjohtavaa tietoa on annettu sen jälkeen, kun kyseessä olevat oikeudettomat maksutapahtumat on tehty ja vahvistettu. Asiassa ei ole edes väitetty, että pankki olisi voinut estää oikeudettomat maksutapahtumat toimimalla toisin.
Pankkilautakunta katsoo asiassa asiakaspuheluista saadun selvityksen perusteella, ettei pankki ole antanut asiakkaalle sellaista harhaanjohtavaa tietoa, jonka perusteella asiakas olisi voinut perustellusti olla varma varojensa palautumisesta. Pankkilautakunta pitää asiassa myös ilmeisenä, ettei pankin antama harhaanjohtava tieto ole syy-yhteydessä korttitietojen ja pankkitunnusten oikeudettomasta käytöstä asiakkaalle aiheutuneeseen vahinkoon. Oikeudettomat korttimaksut on tehty ennen arvioitavana olevia puhelinkeskusteluja, ja vahinko olisi aiheutunut siinäkin tapauksessa, että asiakas olisi saanut asiakaspalvelusta paikkansa pitävää tietoa maksuista. Asiassa ei ole myöskään tuotu esille muuta korvattavaa vahinkoa, joka olisi aiheutunut yksinomaan harhaanjohtavan tiedon seurauksena. Näin ollen pankki vastaa vaaditusta vahingosta ainoastaan, mikäli pankin olisi katsottava antaneen itseään sitovan ilmaisun asiakkaan menettämien rahojen korvaamisesta.
Asiassa asiakaspuheluista saadun selvityksen perusteella Pankkilautakunta katsoo, ettei pankki ole myöskään ilmaissut korvaavansa asiakkaalle asiassa aiheutunutta vahinkoa. Näin ollen lautakunta katsoo, ettei pankille ole syntynyt korvausvelvollisuutta myöskään tällä perusteella.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet
Atrila
Laine
Makkonen
Punakivi