Tapahtumatiedot
Asiakas on saanut 15.12.2022 pankin nimissä lähetetyn tekstiviestin:
”Olemme havainneet epätavallista toimintaa. Tarkista maksu: turvallisuus-[pankki].fi”
Asiakas on viestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä valesivuilla käyttänyt pankkitunnuksiaan kirjautuakseen pankin palveluun.
Rikolliset ovat em. valesivujen kautta saamillaan tiedoilla kirjautuneet asiakkaan verkkopankkiin ja tehneet 15.12.2022 klo 11.14 verkkopankissa asiakkaan käyttötililtä 12.000,00 euron tilisiirron Ranskaan. Verkkopankkiin kirjautuminen ja em. ulkomaanmaksu on vahvistettu asiakkaan verkkopankkitunnusten avainlukulistan tietyillä kertakäyttöisillä avainluvuilla, joita vastaavat järjestysnumerot pankki on ilmoittanut asiakkaalle lähettämissään tekstiviesteissä klo 11.11 ja 11.13. Pankki on lähettänyt asiakkaalle klo 11.15 vielä toista 12.000 euron maksun vahvistamista koskevan viestin, mutta toista maksua ei ole vahvistettu.
Asiakas on ollut yhteydessä pankin puhelinpalveluun 15.12.2022 klo 12.04 ja asiakkaan verkkopalvelutunnukset on suljettu puhelun aikana.
Asiakkaan valitus
Asiakas vaatii pankilta täysimääräistä 12.000 euron korvausta.
Asiakas sai 15.12.2022 klo 11.07 pankin nimissä huijausviestin, jossa pyydettiin tarkistamaan lasku. Asiakas oli saanut maaliskuusta 2021 alkaen kuusi viestiä nettihuijareilta ja vasta viimeisimpään asiakas vastasi. Typeryyttään hän klikkasi viestiä ja vielä seuraavaakin, minkä seurauksena tililtä hävisi 12.000 euroa. Asiakas myöntää toimineensa erittäin harkitsemattomasti, mutta asiakkaan mielestä pankinkaan toiminta ei ole ollut täysin asianmukaista.
Asiakas oli juuri palannut kuuden viikon ulkomaanmatkalta, joten hän ajatteli, että hänen korttinsa oli joutunut kopioiduksi. Asiakas oli omasta mielestään erittäin huolellinen korttinsa käytössä: hän ei nostanut kertaakaan rahaa, mutta monessa paikassa käytti korttia, koska käteistä ei voinut käyttää, esim. lippuautomaateilla. Asiakas antoi avainluvun siihen viestiin, jossa klikkaamalla saattoi peruttaa maksun. Pankin tulkinnan mukaan asiakas on silloin vahvistanut maksun. Asiakas haluaa kuitenkin korostaa, ettei ole tietoisesti vahvistanut maksua, vaan silloin aivan pankin sivustoa muistuttavalla sivulla luki vihreässä kohdassa "Peruuta maksu", jota asiakas painoi. Asiakas ei pysty näyttämään enää viestejä, koska huijarit ovat estäneet pääsyn linkistä. Viestit tulivat siis huijarien linkin takana olevalle sivustolle. Viesti ei ole aivan sama kuin mitä pankki väittää. Viestissä oli mm. mainittu tilin omistajan nimi.
Kun asiakkaan epäilykset heräsivät minuutissa, asiakas otti välittömästi yhteyttä asiakaspalveluun tarkistaakseen, onko viestin lähettäjä pankki. Asiakas soitti ensimmäisen kerran puolisonsa puhelimella kuusi minuuttia tilisiirron jälkeen klo 11.20. Asiakaspalvelija kertoi, että asiakkaan tililtä oli lähtenyt 12.000 euroa. Sen jälkeen hän ilmoitti siirtävänsä puhelun asiakaspalvelijalle, jolta asiakas saisi tarkat ohjeet, miten toimia. Hän ohjeisti ainoastaan, ettei puhelinta saa sulkea. Asiakas noudatti ohjetta, mutta sulki toisella puhelimella tilinsä ja lähti samalla hakemaan konttorista uutta salasanaa ja avainlukulistaa. Puhelin oli päällä koko ajan. Asiakas odotteli vastausta sieltä yli tunnin ja katkaisi itse puhelun astuessaan sisälle pankkiin. Asiakas on sitä mieltä, että tämä viivytti mahdollisia toimenopiteitä kohtuuttomasti.
Pankin asiakaspalvelija neuvoi menemään poliisilaitokselle, jossa asiakas teki rikosilmoituksen. Sen jälkeen asiakas vei pankkiin poliisin antaman ilmoituksen rikosilmoituksen tekemisestä. Pankissa kaksi asiakaspalvelijaa käsitteli asian ja kuulemma kaikki oli nyt tehty. Myöhemmin asiakas sai klo 16.04 puhelun, jossa kysyttiin lupaa palautuspyynnön lähettämiseen. Ensimmäisestä yhteydenotosta oli kulunut siis 4,5 tuntia ja vasta klo 16.25 lähetettiin palautuspyyntö. Asiakas tunsi itseään kohdeltavan välinpitämättömästi. Jos asiakas itse pankin yleisten ohjeiden mukaan piti kiirettä toimissaan, asiakas ei voi hyväksyä sitä, että asiakaspalvelijat unohtavat pyytää luvan välittömästi palautuspyynnön lähettämiseen, oli sillä sitten lopputuloksen kannalta merkitystä tai ei.
Asiakkaan mielestä prosessi ei toimi asiakkaan parhaalla mahdollisella tavalla, jos tilisiirtoa ei voi mitenkään pysäyttää tai jäädyttää rahojen käyttöönottoa, vaikka välittömästi tiedetään, että on tapahtunut rikos. Tilisiirroissa pitäisi aina vaatia myös vahvistus.
Asiakas myöntää toimineensa huolimattomasti, mutta kuitenkin viivytyksettä, mitä ei voi sanoa pankin toiminnasta. Asiakas ihmettelee, ettei hänen virheensä takia tapahtunutta tilinsiirtoa voi peruttaa tai tiliä, jonne tilinsiirto on mennyt, jäädyttää siten, ettei rahaa voi sieltä nostaa. Näin olisi mahdollista tehdä ainakin joissain tapauksissa, mikäli mediassa olevat vastaavista tilanteista tehdyt uutiset pitävät paikkansa.
Pankki vetoaa lähettämiinsä varoituksiin huijausviesteistä, mutta asiakkaan kannalta olisi syytä ilmoittaa varoitusviesteissä selkeästi se, että kun raha lähtee tililtä, sitä ei pysty millään keinolla pysäyttämään tai jäädyttämään.
Pankin vastine
Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo ensisijaisesti, että asiakas on antanut maksulle maksupalvelulain mukaisen suostumuksen eikä kysymys siten ole oikeudettomasta maksutapahtumasta. Toissijaisesti pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti verkkopalvelutunnuksensa käytössä.
Selvitys tapahtumasta
Asiakkaalta pankin saaman selvityksen mukaan hän on saanut viestin, jossa on ollut linkki huijaussivustolle, johon asiakas on syöttänyt avainluvun maksuun ja tällöin rahat ovat lähteneet hänen tililtään. On riidatonta, että asiakkaan tunnuksilla on kirjauduttu pankin verkkopalveluun ja sieltä tehty tilisiirto on vahvistettu palvelussa maksupalvelulain mukaisesti asiakkaan tunnuksilla.
Asiakkaan tunnuksiin liitettyyn puhelinnumeroon on lähetetty pankin toimesta turvallisuussyistä 15.12.2022 klo 11.11 seuraava tekstiviesti:
"Olet kirjautumassa tunnuksillasi [pankki]-verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa xx vastaavalla avainluvulla. [pankki]"
Klo 11.13 on lähetetty tekstiviesti:
"Olet maksamassa 12 000,00 EUR tilille FR76 xxxx xxxx xxxx xxxx xxxx xxx. Vahvista maksu avainlukulistan järjestysnumeroa xx vastaavalla avainluvulla. [pankki]"
Klo 11.15 on vielä lähetetty viesti:
"Olet maksamassa 12 000,00 EUR tilille FR76 xxxx xxxx xxxx xxxx xxxx xxx. Vahvista maksu avainlukulistan järjestysnumeroa xx vastaavalla avainluvulla. [pankki]"
Kirjautuminen verkkopalveluun sekä tilisiirto 12.000,00 euroa on vahvistettu asiakkaan puhelinnumeroon toimitetun tekstiviestissä pyydetyn avainlukulistan numeroilla. Tilisiirto on hyväksytty klo 11.14. Viimeistä tekstiviestitse pyydettyä maksunvahvistusta ei ole vahvistettu, eikä summaa ole siirretty asiakkaan tililtä. Verkkopalveluun kirjautuneella ja maksun tehneellä taholla on täytynyt olla tiedossaan asiakkaan verkkopalvelun käyttäjätunnus ja salasana sekä asiakkaan hallussa olevasta paperisesta avainlukulistasta tekstiviesteissä pyydetyt avainluvut. Pankki ei ole lähettänyt asiakkaalle tuona ajankohtana muita viestejä.
Asiakas on ollut yhteydessä pankin puhelinpalveluun 15.12.2022 klo 12.04 ilmoittaakseen väärinkäytöksestä ja käynyt samana päivänä konttorissa hakemassa uudet verkkopalvelutunnukset. Asiakkaan verkkopalvelutunnukset on suljettu edellä mainitun puhelun aikana. Uusien tunnusten pikaisen hakemisen vuoksi pankissa on sattunut sekaannus ja uudet tunnukset on vahingossa suljettu ja uudelleen avattu 16.12.2022. Pankki pahoittelee sekaannuksesta aiheutunutta hämmennystä asiassa.
Maksunpalautuspyynnöstä huolimatta maksua ei ole saatu palautettua, eikä saajan pankki ole pyyntöön vastannut. Pankki on lähettänyt saajan pankille palautuspyynnön joutuisasti sen jälkeen, kun asiakas oli ilmoittanut tapahtuneesta siirrosta. Pankki katsoo, ettei vieläkin nopeampi toiminta olisi johtanut toisenlaiseen lopputulokseen, eikä palautusta olisi saatu. Palautuspyynnön toimittamisnopeudella ei ole käytännössä ollut merkitystä asiassa, sillä saajan pankki ei ole siihen vastannut lainkaan. Kyseessä on ollut Sepa-maksun recall, johon saajan pankilla on 15 päivää aikaa vastata tai palauttaa maksu. Ellei vastausta saada, katsotaan maksun palautuspyyntö tuloksettomaksi. Tässä tapauksessa vastausta tai palautusta ei ole tullut.
Sopimusehtojen mukaisesti asiakkaan tekemä maksutoimeksianto on peruuttamaton, eikä sitä enää hyväksymisen (maksun vahvistaminen verkkopalvelussa) jälkeen ole mahdollista peruuttaa. Edes välittömästi maksun vahvistuksen jälkeen lähetetty palautuspyyntö ei siis takaa palautusta.
Pankki katsoo toimineensa asiassa huolellisesti ja nopeasti. Asiakas on itse hyväksynyt maksun, joka ehtojen mukaisesti on peruuttamaton. Pankki katsoo edelleen, ettei ole korvausvelvollinen asiassa.
Pankin toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittaneet asiakkaitamme verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla:
12.12.2022 Arpajaishuijaukset Leviävät sosiaalisessa mediassa — näin tunnistat huijauksen
28.11.2022 Varoitus: rikolliset kalastelevat [pankin] nimissä verkkopankkitunnuksia tekstiviestillä
10.10.2022 Varoitus: huijausviestejä [pankin] nimissä
20.7.2022 Varoitus: rikolliset kalastelevat verkkopalvelutunnuksiasi tekstiviestillä
Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.
Sääntely
Pankki viittaa maksupalvelulain 38 §:n 1 momentin, 53 §:n 1 momenttiin ja 62 §:n 1 momenttiin sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.
Asiakkaalle pankin verkkopalvelusopimuksen tekemisen yhteydessä on myös annettu tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan "Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Asian arviointi
Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumalle
Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksulle. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle tekstiviestin, joka on sisältänyt tiedon maksun määrästä ja viestissä maksu on pyydetty vahvistamaan asiakkaan hallussa olevassa paperisessa avainlukulistassa olevalla avainlukulistan numerolla. Luovuttamalla paperisesta avainlukulistastaan pyydetyn luvun, jolla viestin mukaisesti maksu vahvistetaan, on asiakas antanut maksupalvelulain 38 §:n mukaisen suostumuksen maksulle, eikä kysymys ole oikeudettomasta käytöstä.
Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttää ja käyttää.
Pankki on useaan otteeseen syksyn 2022 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Maksun tehneellä taholla on täytynyt ollut käytössään asiakkaan pankin verkkopalvelutunnuksen käyttäjätunnus ja salasana sekä tarvittavat avainlukulistan numerot, jotka on mahdollista saada vain asiakkaan hallussa olevasta paperisesta avainlukulistasta. Asiakas on myöntänyt kirjautuneensa pankin palveluun tekstiviestillä tulleen linkin kautta. Pankki on aina kieltänyt asiakkaitaan kirjautumaan linkin kautta palveluihinsa mm. tärkeää tietoa tunnuksia -asiakirjassa sekä viestinnässään muutoinkin. Lisäksi asiakas on laiminlyönyt tarkastaa verkko-osoitteen, jolle tietonsa on syöttänyt. Asiakas on saanut pankilta tekstiviestin, joka on sisältänyt tiedon siitä, että avainlukulistan numerolla ollaan vahvistamassa maksua ja tämä viesti on sisältänyt myös tiedon maksun määrästä. Kun huomioon otettaan kirjautuminen linkin kautta ja se, että asiakas ei ole tarkastanut verkko-osoitetta, jolla tunnuksiaan käyttää sekä se, että asiakas on joko jättänyt lukematta pankin lähettämän viestin tai ainakin jättänyt huomiotta viestin sisällön ja luovuttanut maksunvahvistamiseen tarvittavan avainlukulistansa numeron, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Näillä perustein pankki ei katso olevansa asiassa korvausvelvollinen.
Edellä mainituilla perusteilla pankki katsoo, ettei se ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot
- Kuvakaappaus rikollisten pankin nimissä asiakkaalle lähettämistä tekstiviesteistä (14.8.2021 ja 15.12.2021) samassa viestiketjussa
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko tilisiirtoa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Lain 72 §:n 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.
Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.
Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. [Pankki] voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]
Asian arviointi
Tapahtumienkulku
Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. ulkomaanmaksu vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa.
Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloit-taneet omalla laitteellaan kirjautumisen asiakkaan verkkopankkiin. Pankki on tämän johdosta lähettänyt asiakkaalle verkkopankkiin kirjautumista koskevan viestin 15.12.2022 klo 11.11:
"Olet kirjautumassa tunnuksillasi [pankki]-verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa xx vastaavalla avainluvulla. [pankki]"
Pankkilautakunta katsoo asiassa riidattomaksi, että asiakas on syöttänyt em. viestissä mainitun avainluvun valesivustolle luulleessaan olevansa oikeilla pankin verkkosivuilla kirjautumassa verkkopankkiinsa. Rikolliset ovat näin saaneet tietoonsa asiakkaan verkkopankkiin kirjautumisen edellyttämän avainluvun ja päässeet kirjautumaan asiakkaan verkkopankkiin.
Tämän jälkeen rikolliset ovat tehneet verkkopankissa maksutoimeksiannon ulkomaille, minkä seurauksena pankki on lähettänyt klo 11.13 asiakkaalle teksti-viestin:
"Olet maksamassa 12 000,00 EUR tilille FR76 xxxx xxxx xxxx xxxx xxxx xxx. Vahvista maksu avainlukulistan järjestysnumeroa xx vastaavalla avainluvulla. [pankki]"
Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas on syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet klo 11.14 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.
Rikolliset ovat tehneet asiakkaan verkkopankissa vielä toisen 12.000 euron maksutoimeksiannon, minkä seurauksena pankki on lähettänyt asiakkaalle klo 11.15 toisen samansisältöisen maksun vahvistamista koskevan tekstiviestin, mutta toista maksua ei ole vahvistettu asiakkaan verkkopankissa eikä summaa ole siirretty asiakkaan tililtä.
Asiakkaan suostumus maksutapahtuman toteuttamiselle
Vaikka asiakkaan vastaanottamassa pankin lähettämässä tekstiviestissä on näkynyt ko. maksun tiedot, ei asiakas kuitenkaan itse ole syöttänyt viestissä mainittua avainlukua verkkopankissaan vaan rikollisten luomilla valesivuilla. Ko. ulkomaanmaksua koskevan toimeksiannon ovat luoneet ja vahvistuksen sille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoa eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiannon toteuttamiselle. Näin ollen tilisiirtoa on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomana.
Pankkitunnusten ja maksuvälineen luovuttaminen
Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.
Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.
Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan luovuttaa tekstiviestillä tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluilla ja sovelluksille. Tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.
Pankkilautakunta kiinnittää kuitenkin huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle digitaalisesti lähetetyn linkin kautta, lautakunnan tietojen mukaan pankki itse tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat ovat kuitenkin joissain tilanteissa voineet lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Vaikka tällaisissa tilanteissa linkin kautta avautuneilla sivuilla ei edellytettäisi pankkitunnuksien käyttämistä, voi tämä toimintatapa osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.
Tässä tapauksessa lautakunta kiinnittää huomiota myös siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta, ja katsoo, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuluneen tietoa siitä, että rikolliset voivat lähettää tekstiviestejä, jotka lähettäjätiedon mukaan näyttävät tulleen pankilta. Tämän lisäksi lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä.
Edellä mainitun lisäksi lautakunta kiinnittää huomiota kuitenkin myös siihen, että asiakas on kertomansa mukaan saanut maaliskuusta 2021 alkaen kuusi viestiä nettihuijareilta ja on vastannut niistä vasta tähän viimeisimpään. Edelleen lautakunta kiinnittää huomiota siihen, että nyt kyseessä ollut rikollisten 15.12.2022 lähettämä tekstiviesti on asiakkaan toimittaman kuvakaappauksen perusteella tullut asiakkaan puhelimessa samaan viestiketjuun rikollisten aiemmin lähettämän viestin kanssa, johon on asiakas ymmärtänyt olla reagoimatta. Lautakunta katsookin, että huolellisesti toimiessaan asiakkaan olisi tullut kiinnittää huomiota edellä todettuun, ymmärtää kyseenalaistaa myös samaan viestiketjuun tullut viimeisin viesti ja esimerkiksi olla suoraan yhteydessä pankkiinsa tarkistaakseen yhteydenoton asianmukaisuuden.
Ottaen kaiken edellä todetun lisäksi huomioon, että tekstiviestissä olleesta linkistä on kuitenkin avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan pankiltaan maksun vahvistamista koskevan tekstiviestin, jossa on näkynyt vahvistettavan maksun tiedot, asiakkaan olisi tullut ymmärtää olla antamatta tekstiviestissä mainittua järjestysnumeroa vastaavaa avainlukua verkkosivuille. Asiakas on kertomansa mukaan antanut koodin pankin sivustoa muistuttavilla sivuilla painettuaan vihreää Peruuta maksu -kohtaa klo 11.13. Ottaen huomioon, että asiakkaan pankilta saama tekstiviesti on kuitenkin ollut tavanomainen pankin lähettämä maksun vahvistamista koskeva viesti, joka alkaa sanoin ”Olet maksamassa..” ja jossa on näkynyt vahvistettavan maksun tiedot, lautakunta katsoo, että vaikka pankin verkkosivuilta näyttävillä valesivuilla olisi esitetty kyseistä avainlukua edellytettävän viestissä ilmoitetun suuruisen maksun perumiseen, asiakkaan olisi tullut ymmärtää keskeyttää asiointinsa ja jättää pyydetty avainluku syöttämättä sivuille. Mikäli asiakas olisi viimeistään tuossa vaiheessa esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Asiakkaan annettua kyseisen tilisiirron vahvistamista varten pyydetyn avainluvun verkkosivuille asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen erittäin vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon erityisesti sen, että asiakkaan pankiltaan saamassa tavanomaisessa maksun vahvistamista koskevassa tekstiviestissä selvästi ilmaistaan asiakkaan olevan maksamassa ja kerrotaan vahvistettavan maksun tiedot, lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirrolle maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta kuitenkin katsoo oikeudettoman käytön johtuneen siitä, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan ja asiakkaan siten vastaavan oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti asiakkaan ja pankin välisessä suhteessa.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Laine
Tervonen