Haku

FINE-058608

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-058608 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2023

Miten vastuu yhteisöasiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on kiinteistöyhtymä, jonka pankin kanssa tekemän yritysverkkopankkisopimuksen mukainen käyttäjä - luonnollinen henkilö A - on saanut 14.7.2022 klo 13.46 pankin nimissä lähetetyn tekstiviestin:
”Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: [pankki]-Web.com ”
Em. tekstiviesti on tullut A:n puhelimessa samaan ketjuun pankin lähettämien aitojen viestien kanssa. Tekstiviestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla A on käyttänyt pankkitunnuksiaan.

A:n pankkitunnuksia (käyttäjätunnus, salasana ja kertakäyttöinen koodi avaintunnuskortista) sekä pankin A:n puhelinnumeroon 14.7.2022 klo 14.59.04 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen rikolliset ovat ladanneet ja ottaneet käyttöönsä laitteelleen A:n nimissä olevan pankin tunnistussovelluksen. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Pankkitunnuksellasi ollaan ottamassa [Pankin tunnistussovellus] -sovellusta käyttöön mobiililaitteelle, Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id XGGMK ja syötä vahvistuskoodi 018337 [Pankin tunnistussovellus] -sovellukseen. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla 020 333."

Rikolliset ovat aktivoineet pankin tunnistussovelluksen käyttöönsä klo 14.59.42 ja pankki on lähettänyt A:lle tunnistussovelluksen käyttöönotosta vielä toisen tekstiviestin klo 15.00.13:
"Varoitus! Pankkitunnuksellasi on otettu [Pankin tunnistussovellus] -sovellus käyttöön mobiililaitteelle. Jos et itse tehnyt käyttöönottoa, sulje tunnuksesi soittamalla 020 333 (24/7)."

Em. tunnistussovelluksella vahvistaen asiakkaan tililtä on tehty 14.7.2022 kello 15.05.05-15.12.46 kolme oikeudetonta tilisiirtoa yhteisarvoltaan 29.600,00 euroa.

A on itse kirjautunut verkkopankkiinsa avainlukukorttia käyttäen klo 15.06 ja soittanut pankin asiakaspalvelun numeroon klo 15.13.08 ja sulkupalveluun klo 15.18.05. Pankki on lukinnut yritysverkkopalvelusopimuksen 14.7.2022 klo 15.35.23.

Asiakkaan valitus

Asiakas vaatii pankkia ottamaan täyden vastuun omien järjestelmiensä ja käytäntöjensä puutteista ja korvaamaan kiinteistöyhtymän pankkitililtä varastetun 29.600 euroa.

14.7.2022 klo 14.46 A sai pankin tekstiviestiketjuun viestin, jossa oli linkki. A avasi linkin ja sieltä avautui täsmälleen pankin sivun näköinen sivusto. A pääsi omalle tililleen.

Hetken kuluttua klo 14.59 A sai viestin, jonka pankki lähettää asiakkaalle aina tämän käyttäessä tiliä mobiililaitteesta: ”Hei! Pankkitunnuksillasi ollaan ottamassa [pankin tunnistussovellus]- sovellusta käyttöön mobiililaitteelle ...” Klo 15.00 on tullut pankin käyttämään viestiketjuun kolmas viesti: ”Varoitus! Pankkitunnuksillasi on otettu [pankin tunnistussovellus]- sovellus käyttöön mobiililaitteelle..”. A:n mukaan hän on joka kerta itse pankin tunnistussovellusta käyttäessään saanut sovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältävän tekstiviestin ja siksi hän on luullut viestin liittyneen normaaliin kirjautumiseen.

Rahan nostoista tai ulkomaille siirroista viesteissä ei mainittu mitään. Normaalisti tällaisista tapahtumista tulee erillinen turvalukuvahvistus. Kun A avasi tilin ensimmäisen kerran viestien jälkeen, rahat olivat jo lähteneet. A soitti heti pankin numeroon sulkeakseen tilin ja pysäyttääkseen tapahtumat. Useiden yritysten jälkeen A sai yhteyden tähän numeroon ja senkin jälkeen joutui jonottamaan vuoroaan useiden minuuttien ajan. Sitten sieltä vastasi maksukorttien sulkupalvelu. A sai tilin suljettua, kun sai suoraan pankin kiinni, mutta tililtä oli tehty kolmaskin nosto ja tili oli tyhjennetty. A on toimittanut puhelinlokin.

Selvästi pankki on reagoinut hyvin hitaasti, jos muutamien minuuttien aikana ei voinut pysäyttää kolmea laitonta transaktiota ja pankki ensin on vaatinut rikosilmoituksen ennen kuin on voinut aktivoida maksunpalautuspyynnön. Näin pankki on mahdollistanut asiakkaan rahojen varastamisen.

A soitti poliisille useita kertoja, mutta kukaan ei vastannut. Seuraavana aamuna hän teki rikosilmoituksen asiasta. A pyysi puhelimella pankkia soittamaan suoraan saksalaispankille, jonne rahat oli menneet, ja selvittämään tilanne, mutta hänelle kerrottiin, että pyyntö tapahtuu vain järjestelmän kautta ja voi vain toivoa, että toisessa pankissa joku huomaa. Siinä on mennyt aikaa ja sillä aikaa rahat on ehtineet kadota rikollisten mukaan.

Selvästi kyse ei ole asiakkaan törkeästä huolimattomuudesta ja maksupalvelulain 53 §:n laiminlyönnistä. Pankin turvajärjestelmä on heikko. Pankki kiistää vastuunsa ja väittää mm., että pankki ei lähetä asiakkailleen kirjautumislinkkejä tekstiviestinä. Se ei pidä paikkaansa, koska linkkejä sisältäviä tekstiviestejä tulee pankilta jatkuvasti ja jo samana päivänä on tullut pankilta tekstiviestissä pyyntö osallistua pankin verkkotapaamiseen linkin kautta. Asiakas on toimittanut tästä kuvakaappauksia.

Toinen turvajärjestelmän puute on tilin tunnistautumiskäytäntö. Jos asiakas käyttää omaa tiliään, joutuu hän tunnistautumaan usealla eri tavalla. Rikoksessa riitti yksi tunnistautuminen.

Kolmas turvallisuusongelma on pankin tilinkäytön hälytykset: Rikolliset nostivat poikkeuksellisen suuria rahasummia ja tekivät ulkomaansiirron niin, että pankin turvajärjestelmä ei reagoinut toimenpiteisiin millään tavalla. Pankin järjestelmät ei ole kiinnittäneet siihen mitään huomiota, esimerkiksi pyytämällä nostoon tilin haltijalta lupaa. Selvästikin pankin järjestelmässä on heikkous, jota rikolliset ovat pystyneet käyttämään hyväkseen.

Pankin vastine

Pankki kiistää korvausvastuunsa asiassa kaikilta osin ja tuo Pankkilautakunnan tietoon seuraavat seikat asian ratkaisua varten:

Pankki ei lähetä tekstiviestilinkkejä, jossa asiakasta pyydetään kirjautumaan verkko- tai mobiilipankkiin. Kirjautumisella tarkoitetaan sitä, että asiakasta pyydetään syöttämään verkkopalvelusopimuksen käyttäjätunnus ja salasana sekä lisäksi vahvistamaan kirjautuminen pyydetyllä avaintunnuskortin luvulla.

On totta, että aktivoitaessa uutta tunnistussovellusta käyttöön järjestelmä pyytää vahvistuskoodin tekstiviestillä, näin tässäkin tapauksessa on käynyt. Tässä tapauksessa A on lähtenyt kirjautumaan avaintunnuskortilla oletetulle pankin sivulle/huijaussivulle syöttämällä käyttäjätunnuksen ja salasanan ja sen jälkeen pyydetyn kertakäyttöisen avaintunnuskortin numeron. A on saanut tämän jälkeen viestin, jossa on pyydetty vahvistuskoodia. A on syöttänyt vahvistuskoodin ja näin hän on vahvistanut uuden tunnistussovelluksen rekisteröinnin.

Maksujen vahvistamisessa on eroa, riippuen siitä, tehdäänkö maksu verkkopankissa vai tunnistussovelluksella. Kun vahvistetaan maksu tunnistussovelluksella, sovellus pyytää PIN-tunnusta maksun vahvistamiseksi. PIN-tunnus on asetettu siinä vaiheessa, kun tunnistussovellus on asennettu käyttöön. Tässä tapauksessa rikolliset ovat voineet asettaa oman PIN-tunnuksen, koska he ovat rekisteröineet uuden tunnistussovelluksen käyttöön.

Kun tehdään maksu verkkopankin kautta eli kirjaudutaan www.[pankki].fi sivun kautta verkkopankkiin, järjestelmä pyytää tekstiviestivahvistusta. Tällä tavalla maksuperiaate eroaa tehtäessä maksuja sovelluksen tai verkkopankin kautta. A ei ole saanut tässä huijaustapauksessa tekstiviestivahvistusta, koska maksut on tehty sovelluksen kautta.

Pankki on pyrkinyt aktiivisesti viestimään mahdollisista huijauksista muun muassa lähettämällä asiakkaille verkkopankkiin verkkoviestejä aiheesta. Lisäksi asiasta on varoitettu pankin verkkosivuilla.

Pankki pyytää lisäksi huomioimaan, että A on viivästynyt ottaessaan yhteyttä pankin sulkupalveluun/asiakaspalveluun ja tämän vuoksi maksujen estäminen on ollut mahdotonta, koska maksut on ennätetty tehdä ennen A:n yhteydenottoa pankkiin.

Tapahtumien kulku pankin lokitietojen mukaan on seuraava;

  1. 14.7.2022 A on saanut huijarilta tekstiviestin, jossa on linkki huijaussivustolle www.[pankki]-web.com.
  2. Tämän jälkeen A on klikannut linkkiä ja kirjautunut sivustolle syöttämällä verkkopankin salasanan ja käyttäjätunnuksen sekä avaintunnuskortilta kertakäyttöisen numerokoodin. Lokitietojen mukaan tunnistussovelluksen rekisteröintiin on pyydetty avaintunnuskorttia turvalukua 69.
  3. Lokitiedot osoittavat, että tunnuslukusovelluksen käyttöönotosta on tullut viesti 14.7 klo 14.59.04 A:n numeroon sisällöllä "Hei! Pankkitunnuksellasi ollaan ottamassa [Pankin tunnistussovellus] -sovellusta käyttöön mobiililaitteelle, Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id XGGMK ja syötä vahvistuskoodi 018337 [Pankin tunnistussovellus] -sovellukseen. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla 020 333."
  4. 4. A on syöttänyt yllä olevassa viestissä olevan vahvistuskoodin, jonka seurauksena huijarit ovat asentaneet käyttöön tunnistussovelluksen.
  5. Klo 14.59.42 Huijarit ovat saaneet tunnistussovelluksen käyttöön
  6. Tämän jälkeen A:n numeroon on lähetetty toinen varoitusviesti klo 15.00.13 "Varoitus! Pankkitunnuksellasi on otettu [Pankin tunnistussovellus] -sovellus käyttöön mobiililaitteelle. Jos et itse tehnyt käyttöönottoa, sulje tunnuksesi soittamalla 020 333 (24/7)."
  7. Klo 15.05.05 ensimmäinen maksu saajalle X (20.000 €)
  8. klo 15.06 A on kirjautunut avainlukukortilla verkkopankkiin
  9. Klo 15.07.49 toinen maksu saajalle X (8.500 €)
  10. klo 15.12.46 kolmas maksu saajalle Y (1.100 €)
  11. klo 15.13.08 A on soittanut pankin asiakaspalvelun numeroon.
  12. klo 15.18.05 A on soittanut pankin korttien ja verkkopankkitunnusten sulkupalvelun numeroon
  13. klo 15.21.00 A on soittanut pankin asiakaspalveluun
  14. Yritysverkkopalvelusopimus on lukittu pankin toimesta 14.7.2022 klo 15.35.23.

Tunnistussovelluksen käyttöönottoon tarvitsee verkkopankin käyttäjätunnuksen, salasanan ja paperisen avaintunnuskortin sekä aktivointikoodin. Rikolliset ovat saaneet kalasteltua nämä tiedot A:lta linkin kautta avautuvan valesivuston avulla, jonne asiakas on syöttänyt ko. tiedot.

A:n väite siitä, että hän saisi joka kerta pankin tunnistussovellusta käyttäessään tekstiviestin vahvistuskoodeineen on perätön. A on ladannut tunnistussovelluksen käyttöönsä eri laitteille todella monta kertaa ja siksi hän on saanut näissä tapauksissa tekstiviestillä vahvistusviestin, kuten myös huijaustapauksessa. Hänen olisi tullut ymmärtää, ettei hän ole asentamassa tunnistussovellusta, ja hänen ei olisi tullut hyväksyä sovellusta käyttöön.

A on soittanut pankin asiakaspalveluun klo 15.13 ja viimeisin maksu rikolliselle on tehty puhelua aiemmin klo 15.12. Tapahtumaa ei olisi ollut mahdollista estää tällä puhelulla, lisäksi A on soittanut asiakaspalveluun eikä viestissä osoitettuun sulkupalvelunumeroon.

Edellä mainittuun perustuen pankki katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että A on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan ja menetellyt kokonaisuutena arvioiden maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Näin ollen pankki katsoo, että se ei ole asiassa korvausvelvollinen.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kaksi kuvakaappausta rikollisten pankin nimissä lähettämästä tekstiviestistä samassa viestiketjussa pankin lähettämien viestien kanssa
- Kuvakaappauksia pankin asiakkaalle lähettämistä pankin tunnistussovellusta koskeneista tekstiviesteistä
- Lokitiedot tunnistussovelluksen lataamisesta
- Operaattorin tuloste puhelutiedoista
- Yritysverkkopankkisopimus 27.7.2016
- Yritysasiakkaan pankkitunnuksilla käytettävien palveluiden yleiset ehdot
- Verkkopankkisopimus (kuvakaappaus järjestelmästä, jossa näkyy yksilöidyt tiedot ja lisäksi muutos yrityssopimukseksi)
- Pankin asiakkaalle lähettämät varoitusviestit 17.6.2021 (”Varo tietojenkalastelua”) ja 13.9.2021 (”Pankkitunnuksia kalastellaan nyt myös hakukoneiden avulla”)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Yritysasiakkaan pankkitunnuksilla käytettävien palveluiden yleiset ehdot (yrityspankkitunnusehdot) Soveltamisala-kohdan mukaan

”[…]
Asiakas ja Käyttäjä sitoutuvat noudattamaan näiden yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas ja Käyttäjä hyväksyvät käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään yritysverkkopalvelua tai pankkitunnuksia.
[…]”

Yrityspankkitunnusehtojen Määritelmät-kohdan mukaan

”Asiakas on elinkeinonharjoittaja tai oikeushenkilö, joka tekee pankin kanssa yritysverkkopankkisopimuksen.
[…]
Käyttäjä on Asiakkaan puolesta toimiva luonnollinen henkilö, jonka Asiakas on valtuuttanut toimimaan puolestaan ja itseään sitovasti yritysverkkopalvelussa erikseen sovituin käyttöoikeuksin.
[…]

Yrityspankkitunnusehtojen Pankkitunnusten käyttäminen -kohdan mukaan

”[…]
Pankki antaa Asiakkaalle asiakaskohtaiset ja Käyttäjälle käyttäjäkohtaiset tunnukset, joiden avulla Asiakas tai Asiakkaan valtuuttama Käyttäjä tunnistautuu palvelussa edellytetyllä tavalla.
[…]”

Yrityspankkitunnusehtojen Pankkitunnusten säilyttäminen ja Asiakkaan sekä Käyttäjänvastuu -kohdan mukaan

Asiakas ja Käyttäjä vastaavat tunnusten käytöstä ja sitoutuvat säilyttämään Pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan ja huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon. Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua sivullisen haltuun tai tietoon, Asiakas tai Käyttäjä on velvollinen ilmoittamaan tästä välittömästi Pankille tai muulle Pankin osoittamalle taholle, kuten sulku- tai asiakaspalvelulle. Muun kuin Pankin myöntämän varmenteen tai tunnistusvälineen katoamisilmoitus on tehtävä kyseistä varmennetta tai tunnistusvälinettä koskevien käyttöehtojen mukaisesti.
Asiakas ja Käyttäjä vastaavat Pankin Asiakkaalle tai asiakkaan valtuuttamalle Käyttäjälle myöntämien tunnusten oikeudettomasta käytöstä, jos
- Asiakas tai Käyttäjä on luovuttanut tunnukset sivulliselle;
- tunnusten katoaminen, joutuminen oikeudettomasti sivullisen haltuun tai oikeudeton käyttö johtuu Asiakkaan tai Käyttäjän huolimattomuudesta tai
- Asiakas tai Käyttäjä on laiminlyönyt ilmoittaa ehtojen mukaisesti Pankille tunnusten katoamisesta, joutumisesta oikeudettomasti sivullisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan.
Asiakas tai Käyttäjä ei vastaa tunnusten oikeudettomasta käytöstä, jos tunnuksia on käytetty sen jälkeen, kun ilmoitus niiden hallinnan menettämisestä tai niiden joutumisesta sivullisen haltuun tai tietoon on saapunut Pankille tai Pankin ilmoittamaan sulkupalveluun ja Pankilla on ollut kohtuullinen aika estää palvelun käyttö. Asiakkaan tai Käyttäjän on tehtävä katoamisilmoitus Pankin konttoriin tai Pankin ilmoittamaan asiakaspalveluun näiden aukioloaikoina tai Pankin sulkupalveluun (puhelinnumero 020 333 tai ulkomailta +358 20 333).

Yrityspankkitunnusehtojen Pankin ja Asiakkaan väliset ilmoitukset -kohdan mukaan

Pankki lähettää ilmoitukset tätä sopimusta, sen ehtoja ja palvelumaksuja koskevista muutoksista Asiakkaalle yritysverkkopalveluun tai jos niin on erikseen nimenomaisesti Asiakkaan kanssa sovittu, kirjallisesti. Pankilla ja muulla palveluntarjoajalla on oikeus lähettää Asiakkaille yritysverkkopalveluissa käytettäviä tuotteita ja palveluita koskevat tiedot sekä näitä koskevia sopimuksia koskevat ilmoitukset (kuten ehtojen muutosilmoitukset, tiedonannot, tarjoukset, vastaukset, vahvistukset ja muut vastaavat viestit) Asiakkaan saataville yritysverkkopalveluihin. Asiakkaan katsotaan vastaanottaneen ilmoituksen viimeistään seitsemäntenä (7) päivänä ilmoituksen lähettämisestä.
[…]”

Pankin ilmoitukset petolliseen toimintaan tai turvallisuuteen liittyvistä uhista -kohdan mukaan

”Pankki ilmoittaa Asiakkaalle ja Käyttäjälle tietoonsa tulleesta epäillystä tai todetusta petolliseen toimintaan tai turvallisuuteen liittyvästä uhasta. Ilmoitus annetaan Pankin verkkosivuilla tai Pankin tarjoaman suojatun sähköisen palvelun välityksellä. Esimerkki tämän kaltaisesta uhasta ovat Pankin Asiakkaalle tai Käyttäjälle lähetetyt petolliset sähköposti- tai muut viestit, joissa Pankin nimissä esiintyen koetetaan saada Asiakkaat tai Käyttäjät luovuttamaan Pankkitunnuksensa viestin lähettäjälle.”

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen A:n nimissä olevan uuden pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että A on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla A on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä A:n pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt 14.7.2022 klo 14.59.04 A:lle tunnistussovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Pankkitunnuksellasi ollaan ottamassa [Pankin tunnistussovellus] -sovellusta käyttöön mobiililaitteelle, Jos olet itse tekemässä käyttöönottoa puhelimellasi tai tabletillasi, tarkista viesti-id XGGMK ja syötä vahvistuskoodi 018337 [Pankin tunnistussovellus] -sovellukseen. Jos et ole itse tekemässä käyttöönottoa, sulje tunnuksesi soittamalla 020 333."

Pankkilautakunta katsoo tapauksessa riidattomaksi, että A on syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneille sivuille. Koodin saatuaan rikolliset ovat aktivoineet pankin tunnistussovelluksen käyttöönsä klo 14.59.42 ja pankki on lähettänyt A:lle tunnistussovelluksen käyttöönotosta vielä toisen tekstiviestin klo 15.00.13:
"Varoitus! Pankkitunnuksellasi on otettu [Pankin tunnistussovellus] -sovellus käyttöön mobiililaitteelle. Jos et itse tehnyt käyttöönottoa, sulje tunnuksesi soittamalla 020 333 (24/7)."

Nyt kyseessä olevat riidanalaiset oikeudettomat tilisiirrot rikolliset ovat tehneet 14.7.2022 kello 15.05.05-15.12 välisenä aikana em. pankin vahvistussovelluksella vahvistaen ja siten ennen kuin A on – pankin ilmoituksen sekä itse toimittamiensa operaattorin puhelutietojen mukaan – soittanut pankin asiakaspalveluun klo 15.13.

Sovellettavaksi tulevista lainkohdista ja sopimusehdoista

Maksupalvelulain 7 §:n mukaan kuluttajan hyväksi pakottavassa lain 62 §:ssä säädettävistä seikoista maksupalvelun käyttäjä ja palveluntarjoaja voivat sopia toisin, jos maksupalvelun käyttäjä ei ole kuluttaja. Tässä tapauksessa pankin yritysverkkopankkiehdoissa on sovittu maksupalvelulain 62 §:ssä säädettyä ankarammin asiakkaan vastuusta tunnusten oikeudettomasta käytöstä. Pankki ei ole kuitenkaan vedonnut tapauksessa ehtojensa mukaiseen vastuunjakoa koskevaan kohtaan, vaan siihen, että A olisi huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan kokonaisuutena arvioiden laissa tarkoitetulla tavalla törkeän huolimattomasti.

Riita-asioissa yleisesti noudatetun väittämistaakan mukaan ne seikat, joihin ratkaisu perustuu, eivät saa poiketa niistä seikoista, joihin asianosaiset ovat vaatimustensa tueksi vedonneet. FINEn riidanratkaisun käytännesääntöjen 2.2 kohdassa on määrätty FINEn toimiston ja lautakuntien noudattamasta taakkasäännöstä. Sen mukaan palveluntarjoajan on esitettävä kaikki asian ratkaisemisen kannalta tarpeelliseksi katsomansa seikat eikä käsittelyssä oteta huomioon mahdollisia muita palveluntarjoajan kantaa tukevia seikkoja, ellei asiakkaan vaatimus ole ilmeisen perusteeton. Edellä mainitun perusteella Pankkilautakunta soveltaa asiaa ratkaistessaan maksupalvelulain maksuvälineen oikeudetonta käyttöä koskevia maksupalvelun käyttäjän ja palveluntarjoajan välisiä vastuunjakosäännöksiä.

Asiakkaan menettelyn arviointi

Yrityspankkitunnusehtojen pankkitunnusten käyttämistä koskevan kohdan mukaan pankki antaa asiakkaalle asiakaskohtaiset ja käyttäjälle käyttäjäkohtaiset tunnukset, joiden avulla asiakas tai asiakkaan valtuuttama käyttäjä tunnistautuu palvelussa edellytetyllä tavalla.  Ehtojen Soveltamisala-kohdan mukaan asiakas ja käyttäjä sitoutuvat noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas ja käyttäjä hyväksyvät käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään yritysverkkopalvelua tai pankkitunnuksia.

Tässä tapauksessa asiakas on päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille rikollisten asiakkaalle pankin nimissä lähettämässä tekstiviestissä olleen linkin kautta. Vaikka pankki on viestinnässään varoittanut asiakkaitaan tekstiviestihuijauksista ja asiakas ja A ovat yritysverkkopankkitunnusehtojen sitoutuneet noudattamaan pankin ohjeita, ei pankkitunnusehdoissa kielletä asiakasta tai käyttäjää kirjautumasta verkkopalveluun sähköisesti lähetetyn linkin kautta. Pankkilautakunta kiinnittää huomiota myös siihen, että A:n puhelimessa rikollisten pankin nimissä lähettämä tekstiviesti on tullut samaan viestiketjuun pankin A:lle lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei A:n voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei A:lle voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä arviossaan huomiota lisäksi siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankit ja pankkien kanssa samoihin yhtiöryhmiin kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta. Asiakkaan tässä tapauksessa toimittaman kuvakaappauksen perusteella myös pankki lähettää asiakkailleen tekstiviestitse linkkejä. Vaikka pankin lähettämien linkkien kautta avautuneilla sivuilla ei edellytettäisikään tunnistautumista, voi tämä pankin toimintatapa omalta osaltaan myötävaikuttaa siihen, että rikolliset onnistuvat nyt tapahtuneen kaltaisissa verkkourkintatapauksissa saamaan asiakkaan pankkitunnustietoja.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja A on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei A:n laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin A:n olisi - erityisesti tekstiviestin sisältö huomioiden - tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. A ei ollut itse tekemässä pankin tunnistussovelluksen käyttöönottoa ja mikäli hän olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja sulkenut tunnuksensa, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo pankin A:lle lähettämän em. tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta koodia käytetään, ja toisaalta ohjeistetun sulkemaan tunnukset, jos ei ole itse tekemässä pankin tunnistussovelluksen käyttöönottoa. A:n mukaan hän olisi saanut joka kerta itse pankin tunnistussovellusta käyttäessään sovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältävän tekstiviestin. Pankin mukaan asiakkaan väite on kuitenkin perätön ja asiakas on ladannut tunnistussovelluksen käyttöönsä eri laitteille todella monta kertaa ja siksi hän on saanut näissä tapauksissa tekstiviestillä vahvistusviestin.

Edelleen Pankkilautakunta kiinnittää huomiota myös pankin noin minuutin em. tekstiviestin jälkeen A:lle lähettämään uuteen tekstiviestiin, jossa varoitetaan pankin tunnistussovelluksen käyttöönotosta ja kehotetaan sulkemaan tunnukset, jos ei ole itse tehnyt käyttöönottoa. Lautakunta katsoo, että koska asiakas ei ollut itse tehnyt pankin tunnistussovelluksen käyttöönottoa, olisi hänen huolellisesti toimiessaan tullut myös tämän jälkimmäisen viestin johdosta sulkea tunnuksensa.

Ratkaisukäytännössään Pankkilautakunta on jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämien pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin sekä sovelluksen käyttöönotosta kertoneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo A:n menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo A:n menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Laine
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä