FINE-058023

Tapahtumatiedot

Kun asiakkaan tyttären A:n tarkoituksena 13.9.2022 on ollut hakeutua tietokoneensa selaimessa pankin verkkosivuille ja kirjautua äitinsä puolesta tämän verkkopankkitunnuksilla verkkopankkiin, on hän päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille ja joutunut verkkourkinnan uhriksi. Asiakkaan tililtä on tehty 13.9.2022 klo 11.06-11.24 yhteensä 33 oikeudetonta tilisiirtoa yhteisarvoltaan 66.000 euroa käyttäen pankin mobiilisovellusta, joka on aktivoitu käyttöön 13.9.2022 klo 11.00 laitteelle Apple iPhone.

Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaan tunnuksiin liitettyyn puhelinnumeroon klo 10.58 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 1822 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."

A on soittanut pankin asiakaspalveluun ja asiakkaan verkkopankkitunnut on suljettu 13.9.2022 klo 13.01.

Asiakkaan valitus

Asiakkaan tytär A hoitaa yli 90-vuotiaan äitinsä ja isänsä pankkiasiat. A:lla on laajat käyttöoikeudet heidän tileihinsä oman verkko- ja mobiilipankkinsa kautta. A on myös mukana, jos ja kun vanhemmat asioivat pankissa. He eivät omista eivätkä osaa käyttää tietokonetta.

Asiakas purki pari vuotta sitten toisessa pankissa olleen eläkerahastonsa ja siirsi rahat pankkiin tuottotilille, jolla oli noin 80.000 euroa. Asiakas oli huolissaan isosta summasta pankkitilillä. A ehdotti, että osan voisi siirtää rahastoon. Rahastotiliä ei voi avata toiselle omilla verkkopankkitunnuksilla ja he menivät pankkiin kysymään neuvoa. Asiakkaalle neuvottiin avaamaan verkkopankki ja hoitamaan rahastotalletuksia sitä kautta. Tunnukset siis hankittiin nimenomaan sitä varten, että asiakas pystyi A:n avulla seuraamaan rahastonsa tilannetta, eikä tunnuksia käytetty koskaan mihinkään muuhun tarkoitukseen. He sopivat, että A siirtää rahastoon osan äitinsä talletuksista pikkuhiljaa. A ei ole koskaan käyttänyt äitinsä verkkopankkitunnuksia hänen tietämättään eikä muuhun kuin pankissa asiointiin. Tunnuksia A säilytti asianmukaisesti, niin että kukaan ei ole niihin voinut päästä käsiksi.

Pankissa tiedettiin, miten yhteistyö nettipankin käytössä toimi, koska 91-vuotias asiakas ei osaa käyttää tietokonetta. A kävi vastikään 95-vuotiaan isänsä kanssa pankissa vaihtamassa hänen tilinsä tuottotiliksi ja samassa yhteydessä virkailija ehdotti, että aktivoidaan isän verkkopankkitunnukset. Varmasti kävi selväksi, että isä ei verkkopankista ymmärrä mitään, eikä hänellä ole tietokonetta eikä älypuhelinta. Hänen pankkitunnuksensa aktivointi olisi siis pankin ehtojen mukaan kiellettyä, koska hän ei pysty sitä itse tekemään. Pankki selvästi tietää, miten toimitaan, mutta hyväksyy sen käytännöllisistä syistä.

Tapahtumat 13.9.

Asiakas oli pyytänyt A:ta tarkistamaan rahastonsa tilanteen. A kirjautui verkkopankkiin kannettavallaan, joka on henkilökohtainen työkone ajantasaisella tietoturvalla ja virustorjunnalla.

A ei missään vaiheessa toiminut vastoin pankkitunnusehtoja. Varovaisuussyistä A ei ole koskaan kirjautunut äitinsä verkkopankkiin kännykällä. Mitään linkkejä ei asiakkaalle ole tullut sähköpostissa eikä millään muullakaan sähköisellä tavalla. A ei myöskään googlettanut pankin osoitetta, vaan käytti tallennettua osoitetta kuten aina ennenkin.

Kun A oli kirjautunut äitinsä pankkisivulle, hän sai viestin kännykkäänsä: ”Hei! Verkkopankkitunnuksellasi ollaan ottamassa käyttöön pankin mobiilisovellusta uudessa laitteessa…” Kun A sai viestin, oli hän pankin verkkosivuilla eikä havainnut sivustossa mitään poikkeavaa. Viesti on todella hämäävä, kun ei tunne tämän tyyppistä terminologiaa. A tulkitsi väärin pankin viestin, koska se oli hänen mielestään mahdoton. Kukaan ei voinut olla avaamassa mitään mobiilia, koska siihen tarvittavat tunnukset olivat vain A:lla. A:n mielestä kukaan ei myöskään voinut päästä A:n jo antamien verkkopankin tunnusten väliin. A luki viestin ja ajatteli, että ei tässä ole mitään huijausta, koska kenelläkään ei voi olla äidin pankkitunnuksia ja eihän hänellä ole mobiilipankkia. A tarkisti vielä viestiketjusta, että varmasti kyse on pankista tulleesta viestistä ja ajatteli, että tämä on vain jokin lisävarmistus, että A on luvallinen verkkopankin käyttäjä.

Tietokoneella pankin verkkosivu odotti vahvistuskoodia. A ei ollut avaamassa pankin mobiilisovellusta, vaan oli jo kirjautunut pankkiin tunnusluvuilla. A ajatteli, että ei ole tietokoneen verkkosivuilla, vaan pankissa, ja jos laittaa annetun tunnuksen odottavaan kohtaan pankin sivulla, se ei voi olla väärin. A kirjoitti vahvistuskoodin odottavaan kohtaan ja sivu sulkeutui. Verkkopankin sulkeutuminen kesken asioinnin ei ole mitenkään epätavallista. A ei vielä silloinkaan ajatellut, että teki jotain väärin, vaan että yhteydet katkesivat ja täytyy koettaa uudestaan.

Kun A kirjautui uudestaan, kaikki toimi hyvin ja A näki tilisiirrot, muttei ei vielä silloinkaan ymmärtänyt, mitä oli tapahtumassa. A:n äiti kielsi maksaneensa kenellekään yhtään mitään. A seurasi shokissa, kun äidin tuottotililtä tehtiin 50.000 euron tilisiirto toiselle avatulle tilille ja sieltä nopeassa tahdissa 2.000 euron siirtoja tuntemattoman tilille. A yritti paniikissa soittaa pankkiin johonkin numeroon, mutta siellä oli pitkä jono. A etsi toisen numeron, josta vastattiin aika nopeasti ja verkkopankki saatiin suljettua. A ei ole vieläkään ymmärtänyt syöttämänsä koodin yhteyttä ryöstöön, vaan ajatteli että oli sattumalta osunut verkkopankkiin samaan aikaan, kun joku tyhjensi tiliä.

Pankki ilmoittaa, että tekstiviestin lähettäjän nimen väärentäminen on mahdollista pankista riippumatta. Näin varmasti on, mutta tässä tapauksessa asiakas ei näe asiayhteyttä, sillä hän ei ole saanut muita tekstiviestejä kuin pankin lähettämän. Pankki myös viittaa ehtojen kohtaan, jonka mukaan asiakas ei saa käyttää tunnuksia kirjautumiseen, jos linkki kirjautumissivulle on lähetetty sähköisellä tavalla. Asiakas ihmettelee, mistä pankki on keksinyt, että A olisi saanut tekstiviestillä jonkin linkin, jonka kautta olisi äitinsä pankkitunnukset luovuttanut. Tässä on jokin sekaannus tai pankissa yritetään tahallaan vääristellä tietoja.

A ymmärtää kyllä nyt, että teki virheen, mutta ei huolimattomuuttaan eikä varsinkaan törkeää huolimattomuuttaan. A on ollut todella huolellinen, koska vanhemmat luottavat A:han omaisuuden hoidossa. A ei vieläkään ymmärrä, miten olisi voinut ollut jollakin pankin huijaussivustolla, kun sivujen sulkeuduttua kirjautui uudelleen pankkiin samaan tapaan kuin aiemmin ja pankin sivut aukesivat normaalisti. A oli mielestään verkkopankissa, kun antoi tunnuksen, jonka pankki hänelle lähetti.

Törkeä huolimattomuus on A:n mielestä välinpitämättömyyttä ja tahallistakin. Se, että ei ymmärrä viestiä oikein, ei ole huolimattomuutta. Nettitunnusten käyttäjiä on kaiken ikäisiä ja erilaisin tietoteknisin tiedoin varustettuja. Pankin viestien ja toimien täytyy huomioida, etteivät kaikki käyttäjät ole mobiileja ja rivien välistä lukijoita.

Verkkopankkitunnuksia ei ole annettu missään vaiheessa ulkopuolisille. Niitä ei ole kyselty mitään kautta ei tekstiviestillä, sähköpostiviestillä tai puhelimitse. Minkäänlaisia huijausviestejä tai kyselyjä ei ole tullut, joihin olisi voitu vastata. Tunnuksia, salasanaa ja taulukkoa säilytettiin huolellisesti erillään kotona. Sieltä ne eivät mitenkään voineet joutua vääriin käsiin. Poliisin tutkimuksen mukaan rahat siirrettiin ensin suomalaisen pankin tilille, sieltä Liettuaan, jossa ne olivat jäädytettynä ja sieltä edelleen Caymansaarille.

A perustelee vaatimuksen menetettyjen säästöjen korvaamisesta ehdottomalla huolellisuudella, jota nettipankkiasioinnissa on noudatettu. Tunnukset olivat muiden ulottumattomissa asianmukaisesti säilytettyinä eikä niitä käytetty tai tarvittu muuhun kuin asiakkaan pankin rahaston seuraamiseen. Pankkiin kirjauduttiin aina kotikoneella, ei kännykällä. A ei voinut ymmärtää pankin lähettämän viestin sisältöä, koska kaikki tiedot olivat turvassa, ja oli omasta mielestään jo verkkopankin sivuilla.

Pankin vastine

Pankin lokitietojen mukaan reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteeseen Apple iPhone 13.9.2022 klo 11.00. Mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä asiakkaan numeroon 13.9.2022 klo 10.58 lähetetty vahvistuskoodi. Viestin sisältö on ollut:

Asiakkaan reklamoimat oikeudettomat tapahtumat tehtiin 13.9.2022 klo 11.06–11.24 välisenä aikana. Asiakas on tämän jälkeen huomannut tililtä tehdyt maksut ja sulkenut verkkopankkitunnuksensa soittamalla asiakaspalveluumme 12.8.2022 klo 13.01.

Tekstiviestin lähettäjän nimen väärentäminen on valitettavasti mahdollista pankista riippumatta. Teleoperaattorit yhdessä poliisin kanssa pyrkivät löytämään keinoja lähettäjätiedon väärentämisen estämiseksi.

Pankki ei koskaan kysy asiakkaan pankkitunnuksia, luottokorttitietoja tai muita arkaluonteisia tietoja tekstiviestillä, sähköpostiviestillä tai puhelimitse. Pankin sivuilla on kerrottu laajasti turvallisesta pankkiasioinnista. Myös mediassa on tiedotettu pankkien nimissä esiintyvistä huijauksista. Näin ollen voidaan todeta, että keskivertokuluttajan voidaan olettaa tietävän liikkeellä olevista huijausviesteistä ja -sivustoista.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas on luovuttanut verkkopankkitunnuksensa pankin digitaalisia palveluita koskevien ehtojen vastaisesti tyttärelleen, ja huijari on saanut verkkopankkitunnukset kalastelemalla tiedot huijaussivuston kautta.

Jos A on luovuttanut tunnukset tekstiviestillä saamastaan linkistä avautuneelle sivustolle, on hän toiminut vastoin pankin Digitaalisia palveluja koskevien ehtojen nimenomaista kieltoa. Ehdoissa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Huijari on saanut verkkopankkitunnukset käyttöönsä kalastelemalla tiedot huijaussivuston kautta. Mikäli asiakas ei ole mennyt esim. tekstiviestissä tulleen linkin kautta tällaiselle sivustolle, hän on voinut päätyä sinne myös hakukoneen tuloksissa olleen linkin kautta. Nämä huijaussivustot ovat valitettavasti nykyään hyvin tehtyjä, eikä niissä helposti huomaa mitään poikkeavaa.

Siitä ei ole varmuutta, miten asiakas on sivuille päätynyt, mutta pankin verkkosivuista ei kuitenkaan ollut kyse, koska pankin verkkosivuilla ei ikinä ole ruutua kyseisen vahvistuskoodin kirjoittamiseen. Ainoastaan huijaussivustoilla on.

Tästä syystä pankin lähettämässä tekstiviestissä yksiselitteisesti kielletään laittamasta koodia verkkosivulle: "Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle." Asiakas on antanut verkkopankkitunnuksensa sekä pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin "1822" huijaussivustolle, vaikka tekstiviestissä yksiselitteisesti kiellettiin antamasta koodia toiseen sovellukseen tai verkkosivulle. Näin ollen asiakas on pankin näkemyksen mukaan toiminut törkeän huolimattomasti ja näin huijarit ovat saaneet asiakkaan tunnukset kokonaisuudessaan käyttöönsä.

Asiakas on ilmeisesti oikeudettomat tapahtumat huomattuaan soittanut pankin asiakaspalvelun numeroon, eikä tunnusten sulkupalvelun numeroon. Sulkupalvelun numero on mainittu Digitaalisia palveluja koskevien ehtojen etusivulla. Ehtojen kohdassa "Katoamisilmoituksen tekeminen" pyydetään asiakasta tekemään ilmoitus ensisijaisesti sulkupalvelun numeroon. Myös pankin verkkosivuilla ohjeistetaan soittamaan kyseiseen numeroon. Asiakas ei voi odottaa pikaista vastausta ja asian käsittelyä soittaessaan pankin tavalliseen asiakaspalvelun numeroon.

Pankki katsoo näin ollen asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella vahvistetuista oikeudettomista maksutapahtumista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

Tutkintailmoitus (Ilmoitusaika 13.8.2022)
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset maksutapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella selvitetyksi, että kun A:n tarkoituksena on ollut mennä pankin verkkosivuille, on hän asiaa itse huomaamatta ja nyt epäselväksi jääneellä tavalla päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt äitinsä verkkopankkitunnuksia kirjautuakseen tämän verkkopankkiin.

Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen käyttöönoton omalle iPhone-laitteelleen ja pankki on tämän seurauksena lähettänyt tunnuksiin liitettyyn puhelinnumeroon tekstiviestitse mobiilisovelluksensa vahvistuskoodin 13.9.2022 klo 10.58. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

Pankkilautakunta katsoo riidattomaksi, että myös em. viestissä ollut vahvistuskoodi on päätynyt rikollisten tietoon siten, että A on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä 13.9.2022 klo 11.00 asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja tehdä mobiilisovellusta käyttäen ko. oikeudettomat tilisiirrot klo 13.9.2022 klo 11.06-11.24.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Tässä tapauksessa asiakkaan tytär A on käyttänyt äitinsä pankkitunnuksia tämän pyynnöstä ja puolesta. Pankki ei ole kiistänyt A:n kertomaa siitä, että tämä menettely on ollut pankin tiedossa, eikä ole myöskään esittänyt tämän pankkitunnusehtojen vastaisen menettelyn olevan syy-yhteydessä asiassa aiheutuneeseen vahinkoon.

Pankkilautakunta katsoo, että asiakas on tunnukset A:lle luovutettuaan vastuussa A:n hänen tunnuksillaan tekemistä toimista ja A:n huolellisuudesta tunnuksia käytettäessä, ja siten asiakkaan ja pankin välisen oikeudettomia maksutapahtumia koskevan vastuunjaon kannalta ratkaisevaa on A:n menettelyn arviointi. Edelleen lautakunta katsoo, että tässä tapauksessa A:n menettelyä on arvioitava samalla tavoin kuin hän olisi itse sopimusehtojen mukainen tunnustenhaltija.

Pankkitunnusehdoissa kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla. Ehdoissa ei kuitenkaan tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka sinne kirjautuessaan.

Pankkilautakunta katsoo tässä tapauksessa jääneen epäselväksi, miten A on päätynyt rikollisten luomille pankin aidoilta verkkosivuilta näyttäville valesivuille. Lautakunta pitää kuitenkin todennäköisenä, että tämä on - A:n asian kiistämisestä huolimatta - tapahtunut hakukoneen käyttämisen seurauksena. Tämän todennäköisen tapahtumienkulun osalta lautakunta toteaa, että verkkopankkiin hakeutumista hakukonetta käyttäen ei ole kielletty pankkitunnusehdoissa, ja lisäksi lautakunta katsoo, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Asiassa saadun selvityksen perusteella lautakunta katsoo, ettei A:n voida katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan pankin sivuille ja käyttäessään pankkitunnuksia näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiin.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla verkossa tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin A:n olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut viestissä olleen ohjeistuksen mukaisesti myös jättää saamansa koodi syöttämättä verkkosivuille. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mitä on tapahtumassa ja mihin viestissä ollut vahvistuskoodi tulee syöttää sekä kielletään syöttämästä vahvistuskoodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee huijausta. Mikäli A olisi viestissä olleiden ohjeiden mukaisesti jättänyt koodin syöttämättä verkkosivuille tai ottanut yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. A:n mukaan hän tulkitsi väärin pankin viestin, koska se oli hänen mielestään mahdoton. Kukaan ei voinut olla avaamassa mitään mobiilia, koska siihen tarvittavat tunnukset olivat vain A:lla, eikä kukaan voinut päästä A:n jo antamien verkkopankin tunnusten väliin. A ajatteli, että kyseessä olevan vain jokin lisävarmistus.

Pankkilautakunta katsoo saadun selvityksen perusteella, että A on lukenut pankin lähettämän pankin mobiilisovelluksen sisältäneen tekstiviestin ja on kertomansa perusteella myös tiedostanut, ettei viesti ole soveltunut hänellä käsillä olleeseen verkkopankkiin kirjautumista koskeneeseen asiointitilanteeseen. A:n syötettyä viestissä olleen vahvistuskoodin tiedostamastaan tilanteen ristiriitaisuudesta huolimatta ja vastoin viestissä olleita ohjeita verkkosivuille Pankkilautakunta katsoo A:n menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo A:n menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää

Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Haku