Tapahtumatiedot
Asiakas on vastaanottanut pankin nimissä lähetetyn ja samassa viestiketjussa pankin lähettämien viestien kanssa tekstiviestin, jossa on lukenut seuraavaa:
"Olet maksamassa palvelussamme: TIA OLZ. jos et ole tehnyt tällaista pyyntöä, ole hyvä ja käy sivulla: https://[pankki]oyx.com/
Asiakas on syöttänyt pankkitunnuksiaan viestissä olleen linkin kautta avautuneilla sivuilla luullessaan asioivansa pankin kanssa.
Asiakkaan kortin tiedoilla on tehty verkossa 20.6.2022 klo 20.38-20.46 kuusi oikeudetonta korttimaksua yhteismäärältään 5.200,00 euroa.
Korttimaksut on vahvistettu pankin mobiilisovelluksella, joka on ladattu ja aktivoitu käyttöön Apple iPhone 14,2 -laitteelle 20.6.2022 klo 20.19. Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 20.19 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä puhelinnumerolla on ladattu [pankin mobiilisovellus]-sovellus. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 3559 [pankin mobiilisovelluksessa]. Älä missään tilanteessa anna tässä viestissä olevaa koodia kenellekään. Jos epäilet tunnustesi väärinkäyttöä, ota yhteyttä [pankkiin]. Huomaathan, ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]"
Asiakas on sulkenut korttinsa 21.6.2022 kello 07.43 ja pankkitunnuksensa 21.6.2022 kello 09.32.
Asiakkaan valitus
Asiakkaan toiminnassa ei ollut kyse törkeästä huolimattomuudesta, joten asiakas vaatii pankkia hyvittämään täysimääräisesti rikollisin motiivein viedyt rahat, 5.200 euroa.
Asiakas syötti verkkopankkitunnuksensa pankin identtiseksi kirjautumissivuksi naamioituneelle sivulle, sillä luuli pankin toimivan vastapuolena. Pelko pankkitunnusten väärinkäytöstä sai asiakkaan epähuomiossa kirjautumaan linkin kautta ja asiakkaan tarkoituksena oli nimenomaan estää tililtä veloitettavat maksut niin kuin viestin sisältö antoi ymmärtää. Käyttäjätunnuksen, palveluun kirjautumisen ja vahvistuskoodin syöttämisen yhteydessä asiakas ei missään vaiheessa hyväksynyt minkäänlaisia maksuja. Pankin vahvistusviestissä ei kerrottu mitään maksujen vahvistamisesta, koska viestissä kerrottiin pankin mobiilisovelluksen käyttöönotosta, eikä myöskään valesivuilla ollut mitään viitteitä maksujen hyväksymisestä. Vasta jälkikäteen tililtä näkyy, että asiakkaalta on veloitettu kuusi Binance-tapahtumaa yhteensä. Asiakas oli ehtinyt asioida pankissa vain muutamia kertoja ja asiakkaan tilille oli asetettuna muutaman sadan euron suuruinen vuorokausikohtainen nostoraja. Asiakas ihmetteleekin, eikö nostoraja toiminut, muuttivatko rikolliset turvarajaa vai pettikö pankin järjestelmä.
Asiakas korostaa, että ei missään vaiheessa tietoisesti hyväksynyt yhtäkään maksutapahtumaa. Asiakas oli suhteellisen kokematon pankin mobiilisovelluksen käyttäjä ja koki epävarmuutta kyseisen mobiilisovelluksen käytöstä. Pankissa asioidessaan asiakasta on useaan otteeseen kehotettu ottamaan mobiili käyttöön sen turvallisuusominaisuuksien vuoksi. Täten asiakas syötti myös tekstiviestin vahvistuskoodin ja teki epähuomiossa virhearvion mobiilisovelluksen kyvystä suojata asiakkaan tietoja, koska pankin taholta oltiin useaan otteeseen korostettu kyseisen mobiilisovelluksen turvallisuutta.
Asiakas on toimittanut kuvakaappauksen, josta voi huomata vahvistusviestin tulleen heti huijausviestin perään. Huijarin ja pankin lähettämät viestit näkyvät asiakkaan puhelimessa samassa viestiketjussa: pankin asiakkaana asiakkaan tulisi voida luottaa siihen, että pankin lähettäjänimellä lähettyjen viestien tarkoitusperä on rehellinen. Asiakkaan on mahdoton erottaa toisistaan aidot ja epäaidot viestit toisistaan tai rikollisen ja pankin ”oikean” varoitusviestin toisistaan, olipa pankin viestin sisältö kuinka monisanainen tahansa. Rikollinen osapuoli on onnistunut löytämään keinon lähettäjätietojen väärentämiseen ja täten tunkeutunut pankin ja asiakkaan väliseen viestiketjuun, mikä osaltaan viittaa pankin turvallisuusjärjestelyjen puutteellisuuteen.
Asiakas teki tililleen käteistalletuksen 19.6.2022, joten verkkokauppahuijaus tapahtui vain vuorokautta myöhemmin 20.6.2022. Asiakas kokee, että käteistalletuksen yhteydessä asiakkaan puhelinnumerotiedot ovat vuotaneet pankin järjestelmästä. Pankin turvallisuuskäytännöt eivät ole olleet riittäviä asiakkaan tietojen suojaamiseksi. Asiakas ei ole toiminut kyllin huolellisesti, mutta on parhaansa mukaan yrittänyt käyttää ja suojata pankkitietojaan. Asiakas on tietoinen turvallisuusriskeistä, vaikka tässä tapauksessa ei käyttänyt riittävää harkintaa.
Pankki sanoo asiakkaan toimineen törkeän huolimattomasti, vaikka hänen tarkoituksensa oli nimenomaan suojata tietojaan väärinkäytöltä. Asiakas kiistää, että olisi tietoisesti laiminlyönyt maksupalvelulain (14.12.2017/898) 53 §:n mukaiset velvollisuutensa. Asiakas ei ole myöskään antanut suostumustaan maksutoimeksiantojen toteuttamiselle.
Pankin vastine
Reklamoidut tapahtumat ovat korttimaksuja, jotka on vahvistettu pankin mobiilisovelluksella. Maksut on tehty maksukortin tiedoilla ja vahvistettu Visa Secure -tunnistuspalvelussa pankin mobiilisovelluksen tunnistamisella. Pankin mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle iPhone - Apple iPhone 14,2 20.06.2022 klo 20.19. Pankin mobiilisovelluksella voi muuttaa muun muassa korttien nostorajoja, kuten muidenkin pankkien mobiilisovelluksissa.
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja yksi sattumanvaraisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä 20.6.2022 kello 20.19.
Asiakkaan tietoja ei ole vuotanut pankin järjestelmistä. Asiakas on itse luovuttanut verkkopankkitunnuksensa huijaussivustolle. Asiakas myöntää syöttäneensä huijaussivustolle kaikki pankin mobiilisovelluksen lataamiseksi tarvittavat tiedot. Pankin lähettämän pankin mobiilisovelluksen lataamisesta kertovan viestin sisältö kertoo yksiselitteisesti vahvistuskoodin liittyvän pankin mobiilisovelluksen lataamiseen ja ettei koodia tule syöttää muualle kuin pankin mobiilisovellukseen. Asiakas on kuitenkin syöttänyt vahvistuskoodin huijaussivustolle viestin nimenomaisen kiellon vastaisesti. Jos asiakas olisi viestin vastaanotettuaan ottanut yhteyttä pankkiin varmistaakseen yhteydenoton asianmukaisuuden, olisi vahinko vältetty täysimääräisesti. Viestissä kehotetaan asiakasta ottamaan yhteyttä pankkiin, mikäli epäilee tunnustensa väärinkäyttöä. Pankki katsoo, ettei asiakas ole kiinnittänyt vahvistusviestin sisältöön riittävästi huomiota. Pankki katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit.
Asiakkaan vastaanottama huijausviesti poikkeaa merkittävästi sisällöltään pankin viestinnästä ja sisältää epämääräisen linkin. Rikolliset pystyvät lähettämään tekstiviestinsä niin että ne näyttävät tulevan samassa viestiketjussa, jossa pankin aidot tekstiviestit näkyvät. Tähän pankit eivät voi yksin vaikuttaa vaan tarvitsevat tämän harmillisen huijauksen ehkäisemiseen yhteistyötä teleoperaattoreiden kanssa. Kyse ei ole minkäänlaisesta tietovuodosta pankin järjestelmistä.
Asiakas on sulkenut korttinsa 21.6.2022 kello 07.43 ja sulkenut pankkitunnuksensa 21.6.2022 kello 09.32. Kaikki reklamoidut tapahtumat on tehty ennen kortin tai pankkitunnusten sulkuilmoitusta.
Lopputulos
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen mukaan: "Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla." Asiakas on luovuttanut verkkopankkitunnuksensa ehtojen kiellon vastaisesti rikollisen ylläpitämälle verkkosivulle, johon asiakas on saanut linkin tekstiviestitse. Lisäksi asiakas ei ole kiinnittänyt riittävästi huomiota saamansa vahvistusviestin sanalliseen sisältöön.
Yllä todetusti, asiakkaan verkkopankkitunnukset, kortin tiedot ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakas on toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus asiakkaan saamista (ml. rikollisten ja pankin 20.6.2022 lähettämistä) tekstiviesteistä samassa viestiketjussa
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle Apple iPhone 14,2. Tämän johdosta pankki on lähettänyt 20.6.2022 klo 20.19 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä puhelinnumerolla on ladattu [pankin mobiilisovellus]-sovellus. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 3559 [pankin mobiilisovelluksessa]. Älä missään tilanteessa anna tässä viestissä olevaa koodia kenellekään. Jos epäilet tunnustesi väärinkäyttöä, ota yhteyttä [pankkiin]. Huomaathan, ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]"
Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet asiakkaan korttietoja oikeudetta käyttäen ja em. pankin mobiilisovelluksella vahvistaen.
Asiakkaan menettelyn arviointi
Riidanalaisten korttimaksujen tekeminen on edellyttänyt rikollisilta edellä esitetyllä tavalla aktivoidun pankin mobiilisovelluksen lisäksi asiakkaan korttitietoja. Pankki ei ole kuitenkaan lautakunnalle antamissaan vastauksissa vedonnut asiakkaan kortin käyttöä koskevaan huolimattomuuteen tai korttiehtojen rikkomiseen. Pankki on perustanut kiistämisensä siihen, että asiakas on toiminut törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan.
Riita-asioissa yleisesti noudatetun väittämistaakan mukaan ne seikat, joihin ratkaisu perustuu, eivät saa poiketa niistä seikoista, joihin asianosaiset ovat vaatimustensa tueksi vedonneet. FINEn riidanratkaisun käytännesääntöjen 2.2 kohdassa on määrätty FINEn toimiston ja lautakuntien noudattamasta taakkasäännöstä. Sen mukaan palveluntarjoajan on esitettävä kaikki asian ratkaisemisen kannalta tarpeelliseksi katsomansa seikat eikä käsittelyssä oteta huomioon mahdollisia muita palveluntarjoajan kantaa tukevia seikkoja, ellei asiakkaan vaatimus ole ilmeisen perusteeton. Edellä mainitun perusteella Pankkilautakunta huomioi asiassa pankkitunnusehtojen rikkomisen, mutta ei mahdollista korttiehtojen rikkomista, johon pankki ei ole lautakunnalle antamissaan vastauksissa vedonnut.
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.
Pankkilautakunta katsoo, että vaikka pankin asiakkaalle lähettämässä em. tekstiviestissä ei nimenomaisesti kielletä syöttämästä viestissä ollutta vahvistuskoodia verkkosivuille, kerrotaan viestissä asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee tunnustensa väärinkäyttöä. Asiakas ei tässä tapauksessa itse ollut tekstiviestin mukaisesti ladannut pankin mobiilisovellusta ja mikäli hän olisi viestin saatuaan esimerkiksi ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Tämän vuoksi lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.
Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakas on tässä tapauksessa lukenut saamansa viestin, mutta kertomansa mukaan hän oli suhteellisen kokematon pankin mobiilisovelluksen käyttäjä ja häntä on pankissa asioidessaan useaan otteeseen kehotettu ottamaan mobiilisovellus käyttöön sen turvallisuusominaisuuksien vuoksi, ja tämän vuoksi syötti myös tekstiviestitse saamansa vahvistuskoodin.
Pankkilautakunta katsoo, että asiakkaan virheelliseen käsitykseen pankin mobiilisovelluksen vahvistuskoodin sisältäneen tekstiviestin tarkoituksesta on osaltaan voinut vaikuttaa myös tekstiviestin muotoilu ”Tällä puhelinnumerolla..”, jonka viestin vastaanottaja voi perustellusti ymmärtää viittaavan omaan puhelimeensa ja siinä olevaan tai siinä käyttöön otettavaan pankin mobiilisovellukseen. Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt ottavansa pankin kehotusten mukaisesti käyttöön pankin mobiilisovellusta eikä pankin tekstiviestissä nimenomaisesti kielletty vahvistuskoodin syöttämistä verkkosivuille, lautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.
Lopputulos
Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen