Haku

FINE-058252

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-058252 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 13.06.2023

Miten vastuu pankin mobiilisovelluksella asiakkaan tililtä tehdyistä tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Kun asiakkaan tarkoituksena 13.9.2022 on ollut hakeutua selaimessa pankin verkkosivuille ja kirjautua verkkopankkiinsa, on hän päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille ja joutunut verkkourkinnan uhriksi. Asiakkaan tililtä on tehty 13.9.2022 kello 11.37-12.06 oikeudettomia tilisiirtoja yhteisarvoltaan 16.092,00 euroa käyttäen pankin mobiilisovellusta, joka on aktivoitu käyttöön 13.09.2022 klo 11.16 laitteelle IPhone XR - Apple iPhone 11,8.

Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 11.15 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviestin sisältö on ollut:

"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 6267 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."

Asiakkaan pankkitunnukset on suljettu 13.09.2022 klo 12.15 asiakkaan tekemän sulkuilmoituksen johdosta.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan menetetyt rahat kokonaisuudessaan pois lukien 50 euron omavastuu, koska kokee toimineensa korkeintaan huolimattomasti. Lisäksi asiakas kyseenalaistaa pankin tietoturvan tason, kun kymmeniä epänormaaleja tilisiirtoja tapahtui tuhansien eurojen edestä edestakaisin, ennestään tuntemattomien tileiltä, heti kun uusi pankin mobiilisovellus on uuteen puhelimeen aktivoitu. Lisäksi pankin lokitiedostot näyttävät käyttäjän olleen ulkopuolinen (=joku toinen kuin aiemmin). Kyseinen toiminta salli luvattomalle käyttäjälle rajattomat käyttöoikeudet verkkopankkiin.

Asiakas kirjoitti pankin osoitteen selaimen osoiteriville. Asiakas olettaa, että tässä hän teki oleellisimman virheen, eli kirjoitusvirheen. Asiakas aloitti verkkopankkikirjautumisen, sivut näyttivät täysin samalta kuin pankilta olettaisi. Asiakas syötti verkkopankkitunnukset, salasanan ja avainlukulistan koodin. Aivan kuten ennen mobiilisovellusten yleistymistä tehtiin. Verkkopankki ehdotti mobiilisovelluksen aktivoimista, jotta sitä voidaan jatkossa käyttää kirjautumiseen selaimen kautta. Sivut pyysivät tekstiviestitse lähetettyä vahvistuskoodia uuden pankin mobiilisovelluksen käyttöönoton vuoksi. Asiakas jatkoi pankin sivuille maksamaan laskuja.

Asiakas käyttää lähes ainoastaan pankin mobiilisovellusta asiointeihinsa. Asiakas oletti, että tämä on normaali prosessi, kun kirjaudutaan pankkiin verkkosivujen kautta. Asiakas ei näe muuta vaihtoehtoa kuin että tässä yhteydessä ulkopuolinen on aktivoinut pankin mobiilisovelluksen iPhonessaan ja tyhjentänyt saamillaan tiedoilla asiakkaan sekä perheen tilit, joille asiakkaalla oli käyttöoikeus. Tilisiirtoja tehtiin useita 2.000-3.000 euron suuruisina erinä, summia siirreltiin edestakaisin ulkopuolisen ja asiakkaan tilin välillä. Yhteensä tileiltä hävisi noin 16.000 euroa. Asiakas huomasi väärinkäytöksen noin 30 minuutin sisään tapahtuneesta ja sulki pankkitunnuksensa. Noin tunnin sisällä asiakas kävi pankissa ilmoittamassa tapahtumasta ja teki illalla rikosilmoituksen.

Asiakas ei ole kirjautunut pankkiin asiakkaalle saapuneiden sähköpostien tai tekstiviestien linkkien kautta, asiakkaalle ei ole soitettu ja kysytty tunnuksia, eikä asiakas ole hävittänyt puhelintaan tai pankkitunnuksiaan. Asiakas on luultavimmin tehnyt virheen pankin osoitetta kirjoittaessaan, jonka jälkeen kokee mahdottomana, että olisi voinut tunnistaa, mikä ei ole normaalia toimintaa.

Asiakasta vaaditaan lukemaan tekstiviestit huolellisesti, mutta pankki ei väittämästään huolimatta ole tehnyt kaikkia tämän mahdollistavia toimia. Asiakas luki pankin lähettämän tekstiviestin, mutta viestissä oleva tärkein osuus "älä anna tätä koodia milloinkaan verkkosivuille" on vasta viestin lopussa. Pankki on tietoinen siitä, että älypuhelimet eivät aina näytä viestiä kokonaisena, vaan saattavat näyttää siitä vain suuren osan, jättäen osan lopusta pois. Tästäkin huolimatta lähetetty koodi on viestin alkuosassa, eikä esimerkiksi viestin lopussa, jolloin mikäli viesti näkyisi vain osittain, koodi jäisi näkymättä. Vaikka viesti on informatiivinen, ei sen muotoilu edesauta sitä, että asiakas ymmärtää lukevansa kokonaisen viestin loppuun asti. Mikäli asiakas oman teknisen osaamisen pohjalta luulee lukevansa kokonaisen viestin ja toimivansa sen mukaisesti, miten tämä voi olla törkeää huolimattomuutta. Varsinkin, kun pankki pystyisi viestiä muotoilemalla ja pidentämällä varmistamaan viestin lukemisen kokonaan. Pankki pystyisi myös vaatimaan ko. viestiin ensin kuittauksen: "Mikäli luit ja ymmärsit viestin, vastaa tähän tekstiviestiin kyllä, niin saat vahvistuskoodin paluuviestinä".

Miksi asiakkaalta vaaditaan teknistä osaamista ja ymmärrystä siitä, että älypuhelin ei näytä välttämättä kokonaista viestiä, mutta pankilta ei vaadita kaikkia tarvittavia teknisiä toteutuksia varojen turvaamiseksi? Mobiilisovellus sallii kuitenkin täyden hallinnan asiakkaan omaisuuteen, eivätkä sen aktivoinnin vaatimat toimet ole sen mukaiset. Viestin huolellinen lukeminen on täysin suhteellista ja pohjautuu siihen faktaan, kuinka hyvin asiakas ymmärtää älypuhelimen toimintaa. Koska tapahtuma olisi voitu estää tai merkittävästi lieventää pankin toimilla ja vaatii asiakkaalta teknistä ymmärtämistä älypuhelimen toiminnasta, ei tapausta voida pitää törkeänä huolimattomuutena, vaan huolimattomuutena.

Asiassa tulisi huomioida myös se, että pankin järjestelmä sallii useiden pankkitilien tyhjentämisen ja rahastojen myymisen ilman, että siitä tulee mitään varoitusta. Kyse ei ole yhdestä tilisiirrosta, vaan kymmenistä edestakaisista. Eli toiminta on selvästi epänormaalia. Asiakas on huomannut, että tapahtuman jälkeen suuremmat tilisiirrot vaativat tekstiviestivahvistuksen, eivätkä onnistu pelkällä mobiilisovelluksella. Mikäli tämä olisi ollut olemassa aiemmin, ei luvaton käyttäjä olisi voinut viedä varoja.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset perusteettomina.

Kaikki oikeudettomaksi ilmoitetut tapahtumat on tehty 13.9.2022 kello 11.37-12.06 välisenä aikana ennen pankkitunnusten sulkuilmoitusta klo 12.15 ja vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteelle iPhone XR - Apple iPhone 11,8 13.09.2022 klo 11.16. Pankin mobiilisovelluksen lataamiseksi tähän laitteeseen on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset, eli verkkopankin käyttäjätunnus, salasana ja järjestelmän satunnaisesti valitsema tunnuslukutaulukon tunnusluku sekä tekstiviestitse 13.9.2022 klo 11.15 asiakkaan puhelinnumeroon toimitettu vahvistuskoodi.

Em. tekstiviestistä asiakas on pankille lähettämässään lisäselvityksessä 5.12.2022 verkkoviestitse todennut: "Käytin verkkopankkitunnuksiani, kun kirjauduin verkkopankkiin. Eli käyttäjätunnus, salasana, sekä tunnuslukutaulukon koodi. En pysty aiempia tekstiviejäni enää tarkistamaan, mutta mikäli ko. vahvistusviesti on minulle myös tullut, niin olen luultavasti koodin pystynyt lukemaan jo puhelimen viestin esikatselu-ikkunasta."

Asiakas on kyseenalaistanut, miten pankin mobiilisovelluksella on voitu tehdä oikeudettomaksi ilmoitetut tapahtumat. Pankki käyttää maksupalvelulain vaatimusten mukaisesti tekstiviestivahvistusta asiakkaan hyväksyessä tapahtumia verkkopankkitunnuksillaan (käyttäjätunnus, salasana ja tunnuslukulistan tunnusluku). Pankin mobiilisovellus toimii toisin, eikä sen käyttö vaadi tekstiviestivahvistusta. Mobiilisovelluksessa tapahtumat hyväksytään PIN-tunnuksella tai sormenjäljellä/Face ID:Ilä, jotka eivät ole kopioitavissa kuten pankkitunnusten tunnuslukutaulukko.

Pankki, kuten muutkin pankit, pyrkii turvaamaan asiakkaidensa varat mahdollisten petosten ja huijausten varalta. Eri petos- ja huijaustyyppejä on kuitenkin huomattava määrä, ja petoksista on tullut arkipäivää. Pankilla onkin rajalliset mahdollisuudet havaita kaikilta osin epäasiallisia toimijoita, vaikka tekeekin jatkuvasti töitä erilaisten huijausten tunnistamiseksi.

Lopuksi

Asiakas kiistää vastaanottaneensa esimerkiksi pankin nimissä lähetettyä huijaustekstiviestiä, ¬puhelua tai -soittoa. Epäselväksi siten jää, miten asiakkaan verkkopankkitunnukset ja tekstiviestitse hänelle lähetetty pankin mobiilisovelluksen käyttöönottoon uudelle laitteelle tarvittu vahvistuskoodi on päätynyt ulkopuolisen tietoon. Asiakas itse epäilee, että hän on kirjoittanut pankin osoitteen väärin selaimen osoiteriville ja päätynyt siten rikollisten luomalle huijaussivustolle, johon hän on syöttänyt pankkitunnuksensa ja hänelle toimitetun vahvistuskoodin.

Pankki katsoo, että esimerkiksi hakukoneen kautta verkkopankkiin hakeutumisen osalta asiakkaan ei voida katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan pankin sivuille ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiin.

Kuitenkin pankin asiakkaalle lähettämässä pankin mobiilisovelluksen latauksesta kertovassa tekstiviestissä kerrotaan selkeästi, mihin viestissä ollut vahvistuskoodi tulee syöttää. Asiakas on itse kertonut, että käyttää pankkiasioinnissaan pääsääntöisesti pankin mobiilisovellusta, joten jos hän olisi lukenut saamansa tekstiviestin huolellisesti, olisi hänen tullut siitä ymmärtää, ettei koodia saa syöttää verkkosivuille, vaan se tulee syöttää ainoastaan pankin mobiilisovellukseen. Ja koska asiakas ei itse ollut ottamassa sovellusta käyttöön uudessa laitteessa, olisi hänen viimeistään tässä vaiheessa tullut kyseenalaistaa toimintansa ja ottaa yhteyttä pankkiin, jolloin huijauksen onnistumiselta olisi vältytty. Viestissä nimenomaisesti kielletään koodin antaminen verkkosivuille. Asiakas on itse kertonut, että hän on luultavasti pystynyt lukemaan tekstiviestin "esikatselu-ikkunasta", joka osaltaan viittaisi siihen, ettei asiakas ole lukenut pankin lähettämän tekstiviestin sisältöä huolellisesti. Huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin voidaan katsoa kuuluvan sen, että asiakas lukee ja huomioi asiointinsa yhteydessä pankiltaan saamat viestit.

Asiakkaan oikeudettomaksi ilmoittamien maksujen vahvistamiseen käytetyn pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset sekä tekstiviestillä asiakkaan omaan puhelinnumeroon lähetetty vahvistuskoodi. Pankki katsoo, että asiakas on luovuttanut verkkopankkitunnuksensa Digitaalisia palveluja koskevien ehtojen kiellon vastaisesti sivulliselle.

Yllä todetusti, asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakkaan on täytynyt toimia maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti. Erityisesti asiakkaan menettely pankin lähettämän pankin mobiilisovelluksen latauksesta kertovan tekstiviestin suhteen osoittaa maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.

Asiakkaan henkilökohtaisten verkkopankkitunnusten osista käyttäjätunnuksen ja salasanan rikollinen olisi saattanut saada tietoonsa jonkin aikaisemman huijauksen yhteydessä, mutta järjestelmä valitsee tunnuslukutaulukon tunnusluvun sattumanvaraisesti. Pankin mobiilisovellusta ei ole voitu ottaa käyttöön ilman tätä sattumanvaraisesti valikoituvaa tunnuslukutaulukon tunnuslukua.

Jos asiakas ei itse erehdyksessä ole antanut avainlukulistan koodia ja tekstiviestitse hänelle toimitettua vahvistuskoodia, on rikollisella täytynyt olla hallussaan asiakkaan koko avainlukulista tai sen kopio sekä asiakkaan puhelin.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että kun asiakkaan tarkoituksena on ollut mennä selaimessa verkkopankkiinsa, on hän asiaa itse huomaamatta ja nyt epäselväksi jääneellä tavalla päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiin.

Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen käyttöönoton omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa vahvistuskoodin 13.9.2022 klo 11.15. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 6267 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."

Pankkilautakunta katsoo riidattomaksi, että myös em. viestissä ollut vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja tehdä mobiilisovellusta käyttäen ko. oikeudettomat tilisiirrot klo 13.9.2022 kello 11.37-12.06.

Pankkitunnusten/maksuvälineen luovuttaminen

Pankki on katsonut, että asiakkaan menettely tapauksessa osoittaa maksupalvelulaissa tarkoitettua törkeää huolimattomuutta, mutta pankki on lisäksi katsonut, että asiakas on luovuttanut verkkopankkitunnuksensa niitä koskevien ehtojen kiellon vastaisesti sivulliselle. Selvyyden vuoksi Pankkilautakunta toteaa tunnusten luovuttamisen osalta seuraavaa.

Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle, josta seuraa maksuvälineen haltijan täysimääräinen vastuu maksuvälineen oikeudettomasta käytöstä, tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan pankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja käyttävänsä tunnuksiaan niitä koskevien ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiinsa. Näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla. Ehdoissa ei kuitenkaan tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka sinne kirjautuessaan.

Pankkilautakunta katsoo tässä tapauksessa jääneen epäselväksi, miten asiakas on päätynyt rikollisten luomille pankin aidoilta verkkosivuilta näyttäville valesivuille. Pankkilautakunta pitää kuitenkin todennäköisenä, että tämä on tapahtunut hakukoneen käyttämisen seurauksena. Verkkopankkiin hakeutumista hakukonetta käyttäen ei ole kielletty pankkitunnusehdoissa, ja lisäksi lautakunta katsoo, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä. Myös pankki on katsonut, että esimerkiksi hakukoneen kautta verkkopankkiin hakeutumisen osalta asiakkaan ei voida katsoa huolimattomuudestaan laiminlyöneen velvollisuuksiaan.

Pankkilautakunta katsookin riidattomaksi, ettei asiakas ole huolimattomuudestaan laiminlyönyt maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan pankin sivuille ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiin.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla verkkoselaimessa tehtävästä verkkopankkiin kirjautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut viestissä olleen ohjeistuksen mukaisesti myös jättää saamansa koodi syöttämättä verkkosivuille. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mitä on tapahtumassa ja mihin viestissä ollut vahvistuskoodi tulee syöttää sekä kielletään syöttämästä koodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee huijausta. Mikäli asiakas olisi tuossa vaiheessa viestissä olleen ohjeen mukaisesti jättänyt koodin syöttämättä verkkosivuille ja/tai olisi ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakas on tässä tapauksessa kertomansa mukaan lukenut pankin lähettämän tekstiviestin, mutta on toisaalta vedonnut siihen, että viestissä oleva tärkein osuus "älä anna tätä koodia milloinkaan verkkosivuille" on vasta viestin lopussa ja koodin jälkeen, eikä sitä näy, mikäli viesti näkyy puhelimessa vain osittain. Asiakkaan mukaan verkkopankkisivut ehdottivat mobiilisovelluksen aktivoimista, jotta sitä voidaan jatkossa käyttää kirjautumiseen selaimen kautta, ja sivut pyysivät tekstiviestitse lähetettyä vahvistuskoodia uuden pankin mobiilisovelluksen käyttöönoton vuoksi. Koska asiakas käyttää lähes ainoastaan pankin mobiilisovellusta asiointeihinsa, asiakas oletti tämän olevan normaali prosessi kirjauduttaessa pankkiin verkkosivujen kautta.

Pankkilautakunta katsoo asiakkaan menetelleen huolimattomasti ja vakavaa varomattomuutta osoittavalla tavalla syötettyään pankin tekstiviestissä olleen koodin verkkosivuille huomioimatta asianmukaisesti tekstiviestissä ollutta pankin ohjeistusta. Ottaen kuitenkin huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakkaan huolimattomuus tapauksessa koskee yksinomaan em. tekstiviestiä ja asiakas on edellä mainituin syin ymmärtänyt pankin tekstiviestissä olleen vahvistuskoodin liittyneen siihen, että mobiilisovellusta voi jatkossa käyttää verkkopankkiin kirjautumiseen selaimen kautta, lautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                                                      
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä