Haku

FINE-057351

Tulosta

Asianumero: FINE-057351 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 23.04.2024

Miten vastuu asiakkaan verkkopankissa oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Törkeä huolimattomuus.

Tapahtumatiedot

Rikolliset ovat 14.9.2022 ottaneet käyttöön omalla puhelimellaan asiakkaan nimissä olevan pankin tunnistussovelluksen. Sovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset pankkitunnukset, avainkortin tunnusluku ja asiakkaan puhelinnumeroon lähetetyssä tekstiviestissä ollut koodi. Pankin asiakkaalle 14.9.2022 klo 11.18 lähettämässä tekstiviestissä on lukenut seuraavaa:

"Tietoturvavaroitus: Seuraava koodi syötetään aina mobiililaitteessa olevaan [pankin tunnistussovellus]-sovellukseen, sitä ei ikinä kysytä tietokoneen web-selaimessa. Jos et ole tekemässä käyttöönottoa itse mobiililaitteessa, soita asiakaspalveluumme [pankin puhelinnumero]. Viesti-id: MTCSB. Vahvista [pankin tunnistussovellus] -sovelluksen käyttöönotto vahvistuskoodilla: 259999. [Pankki]."

Lisäksi pankista on lähetetty klo 11.20 asiakkaalle seuraava viesti:

”Melkein valmista. Turvallisuussyistä [pankin tunnistussovellus]-sovellus ei ole heti käytettävissä. Kirjaudu verkkopankin selainversioon kirjoittamalla [pankin verkkosivujen osoite] selaimen osoitekenttään ja kirjaudu avain-tunnuskortilla ja tekstiviestillä. Ethän käytä hakukoneita, esim. Google kun kirjaudut verkkopankkiin. Avaa oman nimesi alta [pankin tunnistussovellus]-sovelluksen asetukset, ja avaa käyttäjäprofiilin lukitus. Tämän jälkeen sovellus on käytettävissäsi. Tarvittaessa voit myös olla yhteydessä asiakaspalveluumme chatilla tai soittamalla numeroon [pankin puhelinnumero]. Terveisin, [pankki]”

Asiakkaan numeroon on lähetetty tämän jälkeen klo 11.21 verkkopankkiin kirjautumista varten tekstiviesti, jossa on todettu seuraavaa:

”Viesti-id B2D0X. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 028353. [Pankki]"

Asiakkaan verkkopankkitunnuksilla ja klo 11.21 lähetetyllä vahvistuskoodilla on kirjauduttu marokkolaisesta IP-osoitteesta asiakkaan verkkopankkiin ja poistettu tunnistussovelluksen lukitus klo 11.23.

Ensimmäinen kirjautuminen rikollisten laitteella käyttöön otetulla tunnistussovelluksella on tapahtunut toisesta marokkolaisesta IP-osoitteesta klo 11.26.

Rikollisten käyttöönottamalla tunnistussovelluksella on klo 11.27–11.42 hyväksytty 12 tilisiirtoa, jotka ovat olleet 4.500 euron ja 9.000 euron suuruisia, ja joiden yhteissumma on ollut 85.500 euroa. Nämä maksut on vahvistettu samasta marokkolaisesta IP-osoitteesta kuin tunnistussovelluksen käyttöönotto.

Asiakkaan tililtä on klo 11.42–11.51 tehty neljä tilisiirtoa (149,95 e, 72,00 e, 404,01 e ja 32,40 e), jotka on hyväksytty erillisellä tekstiviestivahvistuksella. Asiakas on kertonut tehneensä viimeisen eli 32,40 euron maksun. Muita maksuja asiakas ei ole kiistänyt tehneensä. Nämä neljä tilisiirtoa on vahvistettu samasta suomalaisesta IP-osoitteesta.

Pankki on sulkenut asiakkaan pankkitunnukset klo 11.57. Ennen kuin pankki ilmoitti asiakkaalle pankkitunnusten sulkemisesta, asiakas soitti pankkiin yhdessä toisen henkilön kanssa klo 13.17 ja he tiedustelivat verkkopankin toimimattomuutta.

Asiakkaan valitus

Asiakas on tehnyt itse valituksen FINElle ja kertonut oman näkemyksensä tapahtumista. Asiakas on kertonut maksaneensa laskun verkkopankissa toisen henkilön kanssa, jota asiakas ei ole nimennyt. He olivat menneet tutusta kirjanmerkistä verkkopankkiin ja maksoivat laskun normaalisti puhelimeen tulleella koodilla. Sen jälkeen verkkopankki meni jumiin. Asiakas ja toinen henkilö ”sulkivat verkkopankin” ja soittivat pankkiin, jolloin verkkopankki suljettiin. Seuraavana päivänä asiakas sai tietää rahojensa kadonneen. Asiakas ei enää uskaltanut ottaa verkkopankkia käyttöön tämän jälkeen. Asiakkaan tyttäret kävivät auttamassa verkkopankin avaamisen kanssa, mutta pankilla olikin virheelliset tiedot sopimuksessa puhelinnumerosta, josta maksut ja verkkopankin käyttö hyväksytään.

Asiakas on kuollut tammikuussa 2023. Asiakkaan kuolinpesä on jatkanut asian hoitamista asiakkaan kuoleman jälkeen. Kuolinpesän edustaja on kertonut, että asiakas oli tapahtuma-aikaan 89-vuotias. Asiakkaan avopuoliso avusti asiakasta päivittäisissä asioissa, kuten ruokailussa, liikkumisessa, laskujen maksussa ja muissa pankkiasioissa. Pankki on ollut tietoinen avopuolison toimimisesta asiakkaan omaishoitajana.

Asiakas oli matkustanut avopuolisonsa kanssa lapsensa luokse käyttämään tietokonetta ja maksamaan 32 euron suuruista laskua verkkopankissa. Puoliso on vastannut teknisestä asioinnista asiakkaan ollessa mukana vieressä puhelimensa kanssa. He ovat kirjautuneet verkkopankkiin kirjanmerkin kautta, kuten aina aikaisemminkin. He ovat maksaneet laskun tekstiviestissä olevan vahvistuskoodin avulla. Tekstiviestin vastaanottamisen jälkeen verkkopankki on mennyt lukkoon ja verkkopankkiin on tullut ilmoitus käyttäjäoikeuden lukittumisesta.

Asiakas ja hänen avopuolisonsa ovat ymmärtäneet, että verkkopankkiin liittyy ongelmia ja he ovat pyrkineet ottamaan välittömästi yhteyttä pankkiin. Avopuoliso on yrittänyt soittaa pankkiin useita kertoja siinä onnistumatta, ja tästä johtuen verkkopankin sulkeminen on viivästynyt. Useiden soittoyritysten jälkeen avopuoliso on saanut yhteyden pankkiin ja ilmoittanut tapahtuneesta.

Myöhemmin asiakas on asioinut pankissa uudelleen avatakseen suljetun verkkopankin ja pitkien selvitysten jälkeen on käynyt ilmi, että pankki on merkinnyt asiakkaan matkapuhelinnumeron väärin.

Verkkopankkiin hakeutumista tallennettua kirjanmerkkiä tai hakukonetta käyttäen ei ole kielletty pankin ehdoissa.

Kuolinpesä on ilmoittanut, että asiakas ei ole vastaanottanut pankilta tunnistussovelluksen käyttöönottoon liittyviä tekstiviestejä. Myöhemmin asian käsittelyn aikana kuolinpesä on todennut, että lisäselvityksissä on käynyt ilmi, että asiakas on vastaanottanut pankilta tekstiviestejä. Asiakkaan kuoltua ei ole ollut mahdollisuutta saada selville, miksi kyseisiä tekstiviestejä ei ole puhelimessa enää tallella. Asiakkaan avopuoliso ei ole osannut lausua asiasta.

Asiakas ei ole viestejä vastaanottaessaan ymmärtänyt, että viestien perusteella pankin sovelluksia ollaan asentamassa kolmannen tahon laitteeseen. Ensimmäisessä viestissä, ei sanota tai tiedustella, onko asiakas ottamassa käyttöönsä uutta laitetta tai muuta aiemmasta poikkeavaa järjestelmää. Viestissä puhutaan ainoastaan käyttöönotosta. Vanhemmalle henkilölle, kuten asiakas oli, viesti ei anna selkeästi ymmärrystä siitä, että kyseisen koodin asettaminen voisi olla tavanomaisesta poikkeava tilanne. Kyseisen viestin voi ymmärtää myös niin, että käyttöönotolla tarkoitetaan kyseisen sovelluksen käyttöä.

Saapuneet tekstiviestit ovat todella hämääviä, kun ensin varoitetaan laittamasta tunnusta verkkopankkiin ja samassa viestissä on kuitenkin koodit, joita nimenomaan ei pitäisi laittaa verkkopankkiin. 89-vuotiaan asiakkaan on ollut täysin mahdotonta ymmärtää viestien sisältöä.

Asiakkaalla on ollut perusteltu syy ajatella, että viestien sisältö on tarkoitettu hänen toimintaansa liittyen, sillä asiakas on samassa yhteydessä käyttänyt verkkopankkia. Viesteissä ei anneta varoitusta siitä, että kyseinen toiminta voi viitata ulkopuoliseen tahoon.

Asiakas on toiminut huolellisesti ja pankin antamien ohjeistusten mukaisesti. Lisäksi asiakkaan avopuoliso on osallistunut verkkopankkiasiointiin eikä kumpikaan heistä ole huomannut mitään tavanomaisesta poikkeavaa. Pankkitunnusten päätyminen rikollisille ei ole johtunut millään tavalla tunnusten luovutuksesta avopuolisolle asiakkaan läsnä ollessa.

Pankkiin on yritetty soittaa useita kertoja sekä asiakkaan puhelimesta että hänen naisystävänsä puhelimesta ja jätetty soittopyyntö. Numero, johon he ovat soittaneet, on siis pankin asiakaspalvelunumero. Soittoa ei soittopyynnöstä huolimatta kuulunut takaisin, jolloin asiakas ja hänen naisystävänsä soittivat pankkiin vielä kerran ja tällöin he ilmeisesti saivat yhteyden johonkin pankkivirkailijaan tai muuhun tahoon, jolta saivat ohjeet käydä pankissa seuraavana päivänä.

Kuolinpesän saatua asiakkaan puhelimen takaisin poliisilta siinä ei ollut lainkaan puhelutietoja ajalta 15.1.–23.9.2022. Kuolinpesällä ei ole tietoa, miten tiedot ovat kadonneet tuolta ajalta. Myöskään asiakkaan avopuolison puhelimesta eikä teleoperaattorilta ole löytynyt enää puhelutietoja yli vuoden takaa.

Pankin edustajat eivät ole missään vaiheessa ehdottaneet, että avopuolisolle tulisi antaa asiakkaan tilille erillinen käyttöoikeus. Pankin edustajat eivät ole tuoneet asiakkaalle esille, että avopuoliso ei saa hoitaa asiakkaan pankkiasioita ilman asianmukaista valtuutusta tai verkkopankkiasiointia asiakkaan läsnä ollessa asiakkaan verkkopankkitunnuksilla.

Verkkopankkisopimusta tehdessään asiakkaan mukana pankissa oli kaksi avustajaa – hänen iäkäs naisystävänsä ja iäkäs veljensä. Pankin olisi pitänyt huomata, että asiakas ei pystyisi hoitamaan pankkiasioitaan verkkopankista ilman avustamista, ja vaatia, että joku toinen ottaisi myös pankkitunnukset.

Asiakas ei ole vastaanottanut matkapuhelimeensa muita vahvistusviestejä tai varoitusviestejä pankilta verkkopankin käyttöön liittyen. Lisäksi pankki ei ole käynyt läpi asiakkaan saamia turvallisuusohjeita, vaan ne on vain annettu asiakkaalle itse luettaviksi.

Pankista on neuvottu asiakasta myymään osakkeensa kesällä 2022, kun pankki lopetti sijoitustoimintansa. Pankin olisi pitänyt neuvoa asiakasta avaamaan toinen tili näille sijoitusvaroille.

Kuolinpesä vaatii pankkia korvaamaan 85.500 euroa ja asian selvityskulut viivästyskorkoineen.

Pankin vastine

Pankki on vastineessaan kertonut käsityksensä tapahtumankulusta. Asiakas oli 14.9.2022 yrittänyt kirjautua verkkopankkiinsa kirjoittamalla kyseisen si­vun nimen verkkoselaimen hakukenttään. Hakukenttä on tuottanut haun näkyville pankin verkkopankin huijaussivustolle, jonne asiakas on siirtynyt.

Asiakkaan puhelinnumeroon on lähetetty klo 11.18 tekstiviesti, jossa on ollut tunnistussovelluksen käyttöönottoon vaadittava vahvistuskoodi. Pankin käsityksen mukaan asiakas on syöttänyt vahvistuskoodin huijaussivustolle, minkä jälkeen rikollinen on saanut tunnistussovelluksen käyt­töönsä ja kirjautunut sen avulla verkkopankkiin klo 11.26. Tunnistussovelluksen käyttöönoton vahvistuskoodi oli siis syötetty web-selaimeen pankin nimenomaisesti tekstiviestivaroituksesta huoli­matta.

Pankki on lähettänyt vahvistuskoodin sisältävän tekstiviestin lisäksi toisen tekstiviestin, jossa on ohjeistettu tunnistussovelluksen käyttöönottoon vaadittavasta toimista asiakkaan verkkopankin selainversiossa. Tästäkään varoitusviestistä huolimatta asiakas ei itse ollut asiasta pankkiin yhtey­dessä, vaan on käynyt verkkopankissa avaamassa tunnistussovelluksen lukituksen. Asiakas on kirjautunut verkkopankkitunnuksillaan sisään verkkopankkiin, jonka jälkeen hän on vahvasti tunnistautuneena voinut poistaa tunnistussovelluksen lukituksen.

Pankki on lähettänyt edellä mainitut tekstiviestit pankin asiakastietojärjestelmässä olevaan asiakkaan puhelinnumeroon. Pankki lähettää viestit jostain neljästä sen käyttämästä numerosta. Pankilla ei ole enää järjestelmässään näkyvissä lähettäjän numeroa. Asiakkaan puhelinnumeroa ei ole ajankohtana vaihdettu. Asiakas on myös onnistunut itse omalla puhelimellaan vahvistamaan neljä maksua rikollisen tekemien maksujen jälkeen.

Asiakkaan huijaussivustolle syöttämien tietojen avulla rikollinen on vahvistanut vahvasti tunnistautuneena asiakkaan tililtä tilisiirtoja verkkopankkitunnuksia ja tunnistussovellusta hyö­dyntäen.

Asiakas ei huomannut itse joutuneensa verkkohuijauksen kohteeksi vaan pankin val­vonta havaitsi tunnistussovelluksen lataamisen ulkomailla ja sulki turvallisuussyistä asiakkaan verkkopankin. Ennen kuin pankki ennätti ilmoittamaan asiakkaalle verkkopankin sulkemisesta, soitti asiakas klo 13.17 pankkiin yhdessä toisen henkilön kanssa, joka rikosilmoituksessa on nimetty todistajaksi. Soittajat ihmettelivät verkkopankin toimimattomuutta, jolloin heille annettiin ohjeistus tulla konttorille henkilökohtai­sesti sopimaan verkkopankin avaamisesta sekä tekemään rikosilmoitus ja petosperusteinen maksunpalautuspyyntö.

Asiakkaan sopiessa verkkopankin käytöstä pankin kanssa käydään turvallisuusasiat huolella läpi ja asiakkaalle annetaan esite verkkopankin turvallisesta käytöstä, jossa todetaan hakukoneista ja linkeistä mm. seuraavaa:

”Kirjaudu [pankin] verkkopankkiin vain kotisivujemme kautta osoitteesta [pankin verkkosivujen osoite] kirjoittamalla osoite suoraan internetselaimen osoitekenttään tai käytä [pankin tunnistussovellus]-sovellusta. Älä siis koskaan kirjaudu verkkopankkiin hakukoneen linkin kautta (kuten Google tai Bing) tai tekstiviestillä tai sähköpostilla saapuvasta linkistä.”

Pankki on tiedottanut huijausyrityksistä kotisivuillaan mm. 16.3. ja 14.7.2022.

Asiakkaan sopiessa verkkopankista on silloiset ehdot, joissa on mm. kerrottu pankkitunnusten tunnusten säilyttäminen ja käyttö sekä pankin tiedottaminen turvallisuusuhkista, käyty asiakkaan kanssa läpi ja asiakas on vahvistanut verkkopankkisopimuksen allekirjoittaessaan asian.

Pankki on luopunut arvo-osuustileistä 2022 ja asiakkaille tarjottiin vaihtoehtoina siirtää arvo-osuustilit toiselle palveluntarjoajalle tai myydä arvo-osuustilit.

Pankki katsoo, että asiakkaan toiminta on kokonaisuutena arvioiden ollut poikkeavaa sekä kokonaisuutena arvioituna törkeän huolimatonta. Asiakas ei itse käyttänyt verkkopankkitunnuksia tai sai ainakin niiden käytössä apua, mikä on myös osittain saattanut johtaa siihen, että pankin tietoturvavaroituksia ei huomioitu niiden edellyttämällä vakavuudella. Verkkopankkitunnukset on tarkoitettu ainoastaan henkilökohtaiseen käyttöön. Asiakkaan olisi pitä­nyt huolellisesti lukea saamansa tekstiviesti liittyen tunnistussovelluksen käyttöön­ottoon sekä viestiin sisältyvä tietoturvavaroitus ja olla välittömästi yhteydessä pank­kiin. Asiakas ei ollut myöskään reagoinut tunnistussovelluksen käyttöönoton jäl­keen tulleeseen tekstiviestiin, joka sisälsi myös ohjeistuksen ottaa pankkiin välittö­mästi yhteyttä, mikäli ei omalle laitteelleen sovellusta ollut asentamassa. Asiakas ei ole riittävän huolellisella tasolla huomioinut saamiensa tekstiviestien sisältöä, varsin­kin, kun pankki on myös yleisesti tiedottanut huijauksista.

Edellä kuvatusta asiakkaan käyttäytymisen kokonaisarviosta, joka on pankin käsityk­sen mukaan täyttää kokonaisuutena arvioiden törkeän huolimattomuuden, katsoo pankki, ettei se ole korvausvelvollinen asiakkaan menettämistä varoista, vaan ne jää­vät asiakkaan vastuulle.

Asiakaspalvelusta ei ole löytynyt puhelutallennetta asiakkaalta eikä hänen avopuolisoltaan tapahtumapäivänä 14.9.2022, paitsi klo 13.17 avopuolison numerosta soitettu puhelu, josta on toimitettu puhelutallenne. Kaikki asiakaspalveluun tulevat vastatut puhelut tallennetaan ja säilytetään pankin arkistointiohjeiden mukaisesti useamman vuoden ajan. Soittoyrityksistä pankin asiakaspalveluun ei jää merkintää, jos soittaja on katkaissut puhelun ennen kuin siihen on vastattu. Asiakaspalvelun keskimääräinen jonotusaika on puhelimitse noin 2–3,5 minuuttia.

Selvitykset

Asiakas on 13.6.2022 allekirjoituksellaan hyväksynyt verkkopankkisopimuksen. Allekirjoituksellaan asiakas on ilmoittanut vastaanottaneensa pankkitunnusten ehdot, tutustuneensa niihin ja hyväksyvänsä ne.

Asiakkaan avopuoliso on todistajan roolissa 15.9.2022 tehnyt tutkintailmoituksen poliisille törkeästä maksuvälinepetoksesta, jossa asianomistajana on asiakas. Ilmoituksen mukaan asiakkaan tililtä yritettiin maksaa laskuja verkkopankissa 14.9.2022. Kun pankkiin kirjauduttiin, järjestelmä pyöritti sivua ehkä noin 10 minuuttia ennen kuin sivusto meni pankin sivulle. Laskut kirjattiin koneelle ja puhelimeen tuli hyväksyminen tiettyä varmistustunnusta käyttäen aivan tavalliseen tapaan. Kun maksut oli laitettu maksuun, sen jälkeen tarkistettiin, että lähtikö maksut. Tätä tarkistusta tehdessä tuli näytölle ilmoitus, että käyttäjätunnus on lukittu. Asiasta soitettiin pankkiin klo 12 jälkeen ja klo 14 maissa avopuoliso soitti uudelleen ja pankista opastettiin tekemään rikosilmoitus.

Poliisilaitos on suorittanut teknisen tutkinnan asiakkaan puhelimesta 9.5.2023. Tutkinnassa on käynyt ilmi, että asiakkaan puhelin on vastaanottanut kolme pankin ilmoituksen mukaan lähettämää viestiä (”Tietoturvavaroitus…”, ”Melkein valmista…” ja ” Viesti-id B2D0X…”). Kaikki tekstiviestit on lähetetty samasta puhelinnumerosta.

Asiakkaan avopuoliso on soittanut pankin asiakaspalveluun 14.9.2022 klo 13.17. Asiakas on taustalla puhelun aikana. Pankin toimittamalla puhelutallenteella avopuoliso kertoo, että verkkopankki lukkiutui, kun he olivat maksamassa laskuja verkkopankissa. Asiakaspalvelija epäilee, että pankkitunnukset ovat päätyneet huijaussivustolle, minkä vuoksi asiakkaan tunnukset ja pankkikortti on lukittu. Myöhemmin puhelun aikana asiakaspalvelija kertoo, että tunnistussovellus on otettu käyttöön ulkomailla. Asiakaspalvelija tiedustelee avopuolisolta, onko verkkopankkiin menty hakukoneen kautta. Avopuoliso antaa puhelimen pojalleen, joka kertoo, että verkkopankkiin on menty Googlen kautta. Avopuolison poika kertoo myös, että hänellä on jäänyt verkkopankissa laskujen maksu kesken, kun sivuille tuli häiriö. Puhelussa keskustellaan myös siitä, miten tunnukset ja kortti saadaan uudelleen käyttöön.

Lisäksi asiassa on toimitettu tiedot tilitapahtumista, kuva 32,40 euron maksun vahvistamiseksi käytettävästä koodista ja pankkitunnusehdot.

Ratkaisusuositus

Kysymyksenasettelu

Pankki on todennut, että asiakas ei itse käyttänyt verkkopankkitunnuksia tai sai ainakin niiden käytössä apua, mikä on myös osittain saattanut johtaa siihen, että pankin tietoturvavaroituksia ei huomioitu niiden edellyttämällä vakavuudella. Pankkilautakunta katsoo kuitenkin, että pankki ei ole vedonnut asiassa vastuuperusteena maksupalvelulain 62 §:n 1 momentin 1 kohdan mukaiseen kieltoon olla luovuttamatta tunnuksia ulkopuoliselle. Lautakunta ei siten arvioi, onko asiakas vastuussa tunnusten oikeudettomasta käytöstä sillä perusteella, että asiakas on luovuttanut ne avopuolisolleen. Lautakunta katsoo, että pankki on kuitenkin vedonnut tunnusten luovuttamiseen avopuolisolle siltä osin, kun arvioidaan asiakkaan huolellisuutta tunnusten käytön suhteen.

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on siten arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Pankin henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot), jotka koskevat asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan:

”Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista. Asiakas voi kuitenkin käyttää omalla suostumuksellaan tunnisteita maksupalvelulaissa tarkoitettujen rekisteröityneiden maksutoimeksianto- ja tilitietopalvelun tarjoajien tuottamien palveluiden toteuttamiseksi.

Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.”

Asian arviointi

Tapahtumienkulku

Asiakas on kertonut asioineensa 14.9.2022 verkkopankissa avopuolisonsa kanssa. Asiakkaan kuolinpesä on myöhemmin kertonut, että avopuoliso on vastannut teknisestä asioinnista asiakkaan ollessa mukana vieressä puhelimensa kanssa.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet ladata ja aktivoida omalle laitteelleen uuden asiakkaan nimissä olevan pankin tunnistussovelluksen, jolla riidanalaiset tilisiirrot on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Asiakas on kertonut menneensä verkkopankkiin kirjanmerkistä ja maksaneensa laskun verkkopankissa puhelimeen tulleella koodilla, minkä jälkeen verkkopankki on mennyt lukkoon. Asiakkaan avopuolison poika on kertonut pankin asiakaspalveluun soitettaessa 14.9.2022 klo 13.17, että verkkopankkiin oli menty hakukoneen kautta.

Pankin antaman selvityksen mukaan erillisillä tekstiviestivahvistuksilla samasta suomalaisesta IP-osoitteesta on hyväksytty yhteensä neljä tilisiirtoa klo 11.42–11.51, joista viimeinen on asiakkaan mainitsema lasku. Pankkilautakunta katsoo siten, että asiakas on avopuolisonsa kanssa tehnyt ja tekstiviestikoodilla vahvistanut nämä neljä maksua. Asiakkaan kiistämät oikeudettomat maksut on hyväksytty ennen asiakkaan maksujen hyväksymistä klo 11.27–11.42.

Asiakkaan avopuoliso on poliisin tutkintailmoituksessa kertonut, että heidän yrittäessään kirjautua verkkopankkiin järjestelmä pyöritti sivua ehkä noin 10 minuuttia ennen kuin he pääsivät verkkopankkiin. Asiakkaalle on lähetetty tunnistussovelluksen aktivointia varten tekstiviesti klo 11.18, joten rikollisten on täytynyt saada asiakkaan henkilökohtaiset pankkitunnukset ja tunnusluvun avainkortista tietoonsa ennen tätä. Asiakas on päässyt kirjautumaan oikeaan verkkopankkiin noin 20 minuuttia myöhemmin, jolloin hän on voinut maksaa laskunsa.

Asiassa ei ole esitetty tarkempaa selvitystä siitä, miten asiakkaan pankkitunnukset ja avainkortin tunnusluku ovat voineet päätyä rikollisten tietoon. Pankkilautakunta pitää kuitenkin todennäköisenä, että asiakas ja hänen avopuolisonsa ovat hakukoneen kautta päätyneet valesivuille, jonne he ovat syöttäneet asiakkaan pankkitunnuksia luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen.

Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle klo 11.18 tunnistussovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:

"Tietoturvavaroitus: Seuraava koodi syötetään aina mobiililaitteessa olevaan [pankin tunnistussovellus]-sovellukseen, sitä ei ikinä kysytä tietokoneen web-selaimessa. Jos et ole tekemässä käyttöönottoa itse mobiililaitteessa, soita asiakaspalveluumme [pankin puhelinnumero]. Viesti-id: MTCSB. Vahvista [pankin tunnistussovellus] -sovelluksen käyttöönotto vahvistuskoodilla: 259999. [Pankki]."

Pankin selvityksen mukaan asiakkaan puhelinnumeroa ei ole vaihdettu tapahtuman ajankohtana. Pankin mukaan asiakkaalle lähetetyt tekstiviesti on lähetetty samaan numeroon, jonka asiakas on ilmoittanut FINElle numerokseen. Asiakas on myös onnistunut itse edellä mainitulla tavalla tekstiviestitse lähetetyillä koodeilla vahvistamaan neljä maksua rikollisen tekemien maksujen jälkeen.

Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin, että tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun kohtaan. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen. Tämän seurauksena pankki on lähettänyt asiakkaalle vielä seuraavan vahvistusviestin klo 11.20:

”Melkein valmista. Turvallisuussyistä [pankin tunnistussovellus]-sovellus ei ole heti käytettävissä. Kirjaudu verkkopankin selainversioon kirjoittamalla [pankin verkkosivujen osoite] selaimen osoitekenttään ja kirjaudu avain-tunnuskortilla ja tekstiviestillä. Ethän käytä hakukoneita, esim. Google kun kirjaudut verkkopankkiin. Avaa oman nimesi alta [pankin tunnistussovellus]-sovelluksen asetukset, ja avaa käyttäjäprofiilin lukitus. Tämän jälkeen sovellus on käytettävissäsi. Tarvittaessa voit myös olla yhteydessä asiakaspalveluumme chatilla tai soittamalla numeroon [pankin puhelinnumero]. Terveisin, [pankki]”

Asiakkaan numeroon on lähetetty tämän jälkeen klo 11.21 verkkopankkiin kirjautumista varten tekstiviesti, jossa on todettu seuraavaa:

”Viesti-id B2D0X. Vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 028353. [Pankki]"

Asiakkaan verkkopankkitunnuksilla ja klo 11.21 lähetetyllä vahvistuskoodilla on kirjauduttu marokkolaisesta IP-osoitteesta asiakkaan verkkopankkiin ja poistettu tunnistussovelluksen lukitus klo 11.23.

Pankkilautakunta katsoo, että myös viimeksi mainitussa tekstiviestissä ollut ja verkkopankkiin kirjautumisen mahdollistanut vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille.

Ensimmäinen kirjautuminen rikollisten laitteella käyttöön otetulla tunnistussovelluksella on tapahtunut toisesta marokkolaisesta IP-osoitteesta klo 11.26. Rikollisten käyttöönottamalla tunnistussovelluksella on klo 11.27–11.42 hyväksytty asiakkaan reklamoimat 12 tilisiirtoa.

Pankki on sulkenut asiakkaan pankkitunnukset turvallisuussyistä klo 11.57.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehtojen mukaan tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle eikä myöskään palvelulle, jota pankki ei ole hyväksynyt.

Tässä tapauksessa asiakkaan avopuoliso on avustanut asiakasta verkkopankkiasioinnissa. Annetun selvityksen mukaan avopuoliso on ollut tietokoneella, ja asiakas on ollut puhelimensa kanssa hänen vieressään. Lautakunta katsoo asiakkaan luovuttaneen pankkitunnuksensa ehtojen vastaisesti avopuolisolleen. Asiassa esitetyn selvityksen mukaan asiakas on kuitenkin ollut koko asioinnin ajan avopuolisonsa kanssa asioimassa. Lautakunta katsoo, että tämä pankkitunnusehtojen vastainen menettely ei ole ollut syy-yhteydessä asiassa aiheutuneeseen vahinkoon.

Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka sinne kirjautuessaan. Pankki on vedonnut pankin esitteeseen verkkopankin turvallisesta käytöstä. Pankkilautakunta katsoo kuitenkin, että asiassa on jäänyt osoittamatta asiakkaan saaneen em. esitettä tai muuta aineistoa, josta olisi käynyt ilmi varoitusta kirjautua verkkopankkiin hakukoneen kautta.

Pankkilautakunta on edellä katsonut, että asiakas on todennäköisesti päätynyt huijaussivulle hakukoneen kautta. Tämän todennäköisen tapahtumienkulun osalta lautakunta toteaa, että verkkopankkiin hakeutumista hakukonetta käyttäen ei ole kielletty pankkitunnusehdoissa, ja lisäksi lautakunta katsoo, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Asiassa saadun selvityksen perusteella lautakunta katsoo, ettei asiakkaan voida katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan pankin sivuille ja käyttäessään pankkitunnuksia näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiin.

Pankkilautakunta katsoo kuitenkin, että asiakkaan olisi tullut keskeyttää asiointinsa viimeistään siinä vaiheessa, kun hän vastaanotti tavanomaisesta pankkitunnuksilla verkossa tehtävästä tunnistautumistilanteesta poikkeavalla tavalla klo 11.18 pankin lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja sulkenut tunnuksensa soittamalla viestissä olleeseen pankin numeroon, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta koodia käytetään, ja toisaalta ohjeistetun soittamaan pankkiin, jos ei ole itse tekemässä käyttöönottoa mobiililaitteessa. Lisäksi viestissä on ilmoitettu, että koodia ei ikinä kysytä tietokoneen web-selaimessa. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä vahvistuskoodia sitä valesivuille laittaessaan. Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit.

Pankki on vedonnut lisäksi siihen, että pankin tunnistussovelluksen käyttäminen on vielä em. viestissä olleen koodin lisäksi edellyttänyt sovelluksen turvallisuussyistä asetetun lukituksen avaamista ja pankki on lähettänyt asiakkaalle klo 11.20 asiaa koskevan tekstiviestin, jossa kerrotaan pankin tunnistussovelluksen käyttöönotosta ja sen lukitustilan avaamisesta.

Asiakas on saadun selvityksen mukaan tämän viestin jälkeen klo 11.21 saanut pankilta uuden verkkopankkiin kirjautumista koskevan viestin. Lautakunta katsoo, että asiakkaan on täytynyt syöttää myös viestissä olleen vahvistuskoodin valesivuille, minkä seurauksena rikolliset ovat päässeet asiakkaan verkkopankkiin, avanneet verkkopankissa pankin tunnistussovelluksen lukituksen ja tehneet sovellusta oikeudetta käyttäen ko. tilisiirrot.

Poliisin tekemän teknisen tutkinnan perusteella pankin lähettämät tekstiviestit on lähetetty samasta puhelinnumerosta. Pankkilautakunta katsoo siten, että viestit ovat tulleet samaan viestiketjuun asiakkaan puhelimessa. Koska tunnistussovelluksen aktivointiin on tarvittu viestiketjun ensimmäisessä viestissä ollutta aktivointikoodia ja tunnistussovelluksen lukituksen poistoon on tarvittu kolmannessa viestissä ollutta verkkopankin kirjautumiskoodia, lautakunta katsoo, että asiakkaan on täytynyt nähdä kaikki kolme pankin lähettämää tekstiviestiä.

Lautakunta katsoo, että lukituksen poistoa koskevassa viestissä on kerrottu tunnistussovelluksen käyttöönotosta ja käyttäjäprofiilin lukituksen avaamisesta. Lisäksi viestissä on varoitettu hakukoneiden käyttämisestä verkkopankkiin kirjautuessa. Lautakunta katsoo, että huolellisen pankkitunnusten haltijan olisi tullut kiinnittää huomiota myös tähän normaalista verkkopankkiasioinnista poikkeavan viestin sisältöön.

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankin klo 11.18 lähettämän pankin tunnistussovelluksen aktivointia koskevan tekstiviestin yksityiskohtaisen sisällön lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan ja pankin välisessä suhteessa asiakas vastaa näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta.

Tunnusten sulkeminen

Asiakkaan kuolinpesä on vedonnut siihen, että asiakas ja hänen avopuolisonsa yrittivät soittaa tapahtuman jälkeen soittaa pankkiin useita kertoja ja he jättivät pankkiin soittopyynnön, johon ei kuitenkaan vastattu. Asiakkaan kuolinpesä ei ole kyennyt esittämään näyttöä väitetyistä soitoista.

Pankin mukaan asiakaspalvelusta ei ole löytynyt muita puhelutallenteita asiakkaalta tai hänen avopuolisoltaan tapahtumapäivänä 14.9.2022 kuin klo 13.17 avopuolison numerosta soitettu puhelu. Pankin mukaan kaikki asiakaspalveluun tulevat vastatut puhelut tallennetaan ja säilytetään pankin arkistointiohjeiden mukaisesti useamman vuoden ajan. Edelleen pankin mukaan soittoyrityksistä pankin asiakaspalveluun ei jää merkintää, jos soittaja on katkaissut puhelun ennen kuin siihen on vastattu.

Pankkilautakunta katsoo, että asiassa on jäänyt näyttämättä, että asiakas tai hänen avopuolisonsa olivat yrittäneet soittaa pankin asiakaspalveluun ennen klo 13.17 soitettua puhelua.

Muut seikat

Asiakkaan kuolinpesä on vedonnut myös siihen, että pankin olisi tullut huomata pankkitunnuksia myönnettäessä, että asiakas ei kykene hoitamaan pankkiasioitaan verkkopankissa ilman avustusta, ja että asiakkaan avopuolisolle olisi tullut myöntää omat pankkitunnukset ja käyttöoikeus asiakkaan tiliin. Pankkilautakunta toteaa, että asiassa ei ole esitetty selvitystä asiakkaan ymmärryskyvystä pankkitunnuksia myönnettäessä eikä siitä, mitä pankin olisi pitänyt tällöin asiasta huomata. Lautakunta toteaa lisäksi, että asiakkaan avopuoliso on avustanut asiakasta pankkitunnusten käytössä, mutta asiakas on joutunut onnistuneen huijauksen uhriksi tästä huolimattakin.

Lisäksi asiakkaan kuolinpesä on vedonnut siihen, että pankki ei ollut neuvonut avaamaan toista tiliä kesällä 2022 pankin sijoitustoiminnan lopettamisen vuoksi osakkeiden myynnistä saaduille varoille. Lautakunta katsoo, että vaikka pankki olisikin voinut antaa asiakkaalle neuvontaa varojen turvallisesta säilyttämisestä, viime kädessä on asiakkaan oma päätös se, miten hän haluaa varojaan säilyttää tai sijoittaa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta