Haku

FINE-059431

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-059431 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 01.09.2023

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Kun asiakkaan tarkoituksena 11.2.2023 on ollut hakeutua verkkoselaimessa pankin verkkosivuille ja kirjautua verkkopankkiinsa, on hän hakukoneen kautta päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt pankkitunnuksiaan kirjautuakseen pankin verkkopalveluun ja joutunut näin verkkourkinnan uhriksi.

Rikolliset ovat asiakkaan pankkitunnuksilla (käyttäjätunnus, salasana ja luku tunnuslukutaulukosta) ja pankin asiakkaalle 11.2.2023 klo 13.01 lähettämässä tekstiviestissä olleella koodilla aktivoineet käyttöönsä pankin tunnistussovelluksen omalle laitteelleen. Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X ja viesti on ollut sisällöltään seuraavanlainen:
   ”Koodi: 8860 Aktivoit toiminnon tällä kertakäyttökoodilla.”

Em. tunnistussovellusta hyväksi käyttäen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja tehneet 13.2.2023 klo 21.30-21.36 välisenä aikana oikeudettomia tilisiirtoja sovelluksella vahvistaen. Asiakkaan yhdeltä tililtä ja luottokortilta sekä Asunto Oy B:n, Y ry:n ja Z Oy:n tileiltä, joiden käyttöoikeus asiakkaalla on ollut, on tehty siirtoja asiakkaan toiselle tilille, jolta on tehty yhteismäärältään 28.800 euron tilisiirrot ulkomaille.

Em. tunnistussovellus on suljettu 14.2.2023 klo 16.19.

Asiakkaan valitus

Asiakas vaatii pankkia ensisijaisesti korvaamaan kaikki menetetyt varat 28.800 euroa ja toissijaisesti 24.610 euroa, joka kattaa asiakkaan omilta tileiltään ja luottokortiltaan menettämät varat.

Asiakas kuuli tapahtuneesta ensimmäisen kerran 14.2.2023, kun pankki otti yhteyttä puhelimitse klo 11.10. Puhelun jälkeen asiakas kävi pankissa klo 14 ja sai tietoa tilanteesta sekä ohjeita, miten toimia.

Osapuolet ovat yhtä mieltä siitä, että asiakas on todennäköisesti päätynyt pankin nimissä olevalle huijaussivustolle yrittäessään kirjautua pankin verkkopankkiin 11.2.2023 klo 13. Asiakas käyttää lähes poikkeuksetta selainohjelmana Google Chromea, jossa hänellä on suositusten mukaisesti kirjanmerkki pankin sivuille. Kun erään ohjelman päivitys ei toiminut Chromessa, asiakas siirtyi käyttämään Microsoft Edgen selainta. Tämän vuoksi hän poikkeuksellisesti käytti Bingin hakukonetta mennessään pankin verkkopankkiin.

Hakukoneen käyttö ei ole pankin ohjeistuksessa kielletty. Pankin digitaalisten palvelujen yleisissä ehdoissa ei myöskään erikseen varoiteta hakukoneiden käytöstä, vaikka tämän kuvan voisikin saada pankin vastineesta.

Linkki huijaussivustolle ja itse huijaussivusto on näyttänyt täysin samalta kuin pankin aito verkkopankkisivusto ja asiakas on luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan. Em. osin ei voida katsoa, että asiakkaan laiminlyönti pankkitunnusehtojen noudattamisen suhteen osoittaisi lievää suurempaa huolimattomuutta.

Asiakas käyttää kirjautumiseensa pankin verkkopankkiin käyttäjätunnusta, salasanaa ja hallussaan olevan tunnuslukutaulukon tunnuslukua. Kirjautuessaan verkkopankkiin asiakas saa pankista nelinumeroisen kertakäyttökoodin tekstiviestillä kännykkäänsä. Tekstiviesti alkaa Koodi: XXXX. Saman viestin asiakas saa pankista, kun hän muun muassa vahvistaa tilisiirron.

Asiakkaan käyttäessä verkkopankkia 11.2.2023, hän on joutunut kirjautumaan ainakin kahteen kertaan sivustolle istunnon katkeamisen vuoksi. Poikkeavaa ei ole se, että kirjautuminen verkkopankkiin ei aina onnistu ensimmäisellä kerralla ja pankilta saatua koodia pitää syöttää uudelleen. Asiakkaan toimittamista pankin lähettämistä tekstiviesteistä ilmenee, että pankilta on tullut yhteensä 5 koodia asiakkaan käyttäessä verkkopankkia 11.2.2023 13.00-13.10. Yksi em. koodeista on mitä ilmeisemmin aktivoinut X:n käytön, jonka kautta huijarit ovat onnistuneet tekemään tilisiirtoja asiakkaan tileiltä.

Ero normaaliin kirjautumiseen oli pankin mukaan asiakkaalle kirjautumisen yhteydessä tulleessa tekstiviestissä. Asiassa tulisi kiinnittää erityistä huomiota siihen, että X:n aktivoiva viesti näyttää alkuun täysin samalta kuin pankin tekstiviestivahvistus eli "Koodi XXXX". Kun viesti ilmestyy puhelimen näytölle, ei asiakas ole myöskään havainnut, että viesti tulee eri puhelinnumerosta kuin pankin tekstiviestivahvistus. Huomattavaa on myös, ettei tekstiviestissä lainkaan lue, minkä palvelun asiakas aktivoi viestin koodilla. Asiakas ei tilanteessa ymmärtänyt, että viestissä viitattu "toiminto" viittaisi mobiiliavaimen aktivointiin toisella laitteella, eikä huomannut mitään normaalista poikkeavaa. Viestissä ei myöskään varoiteta petoksesta tai kehoteta ottamaan yhteyttä pankkiin, mikäli ei ole aktivoimassa X:ää. Pankin lähettämä automaattinen "X"-viesti oli epäselvä, eikä kertonut selkeästi, että tällä aktivoidaan kokonaan toinen laite. Asiakas ei myöskään tämän jälkeen saanut muita vahvistusviestejä. Asiakas on toimittanut kuvakaapattuna kaikki 11.2. asiaan liittyvät tekstiviestit.

Asiakas lukee pöydällä olevasta kännykästä normaalisti pelkästään numeron, joten tekstimuotoilun pienen eron huomaamatta jääminen yhden kerran lienee korkeintaan lievää huolimattomuutta, etenkin kun sellaista ei osaa ollenkaan odottaa. Toisaalta, kun verkkopankissa saa viestin toiminnan aktivoinnista, pitää sitä asiallisena etenkin, kun pankki on markkinoinut muutenkin X:ää.

Muiden pankkien osalta esimerkiksi sähköisen tunnistautumisen käyttöönoton ja mobiilisovelluksen käyttöönoton aktivointikoodin lähetysviesti erottuu selkeästi pankin muista viesteistä. Viesteissä on nimenomaisesti kerrottu, mistä toiminnosta on kysymys ja viestin on kirjattu nimenomaisesti kielto syöttää koodia mihinkään muuhun kuin ko. palveluun. Muun muassa tapauksessa FINE-044514 pankki oli lähettänyt seuraavan viestin: "Olet aktivoimassa [pankin mobiilisovellusta]. Jos et ole tehnyt tätä, ota välittömästi yhteyttä [pankkiin] tai sulkupalveluun p. 020 333. Jos haluat jatkaa [pankin mobiilisovelluksen] käyttöönottoa, syötä [pankin mobiilisovellukseen] koodi [****] rekisteröinnin loppuun viemiseksi". Tapauksessa FINE-049424 pankki oli lähettänyt asiakkaalleen seuraavan viestin: "Read this carefully! Your user ID is used on a new phone with the name lphone to enable [pankin mobiilisovellus]. To prevent fraud, con-tinue only if you yourself have downloaded the [pankin mobiilisovellus] and are now enabling a new [pankin mobiilisovellus]. To confirm enabling on your new phone, enter code ##### on the [pankin mobiilisovellus]. Don' t enter or give this code anywhere else. lf you suspect fraud, call [pankki] Deactivation Service immediately. [pankki] "

Pankin asiakkaalle lähettämä X:n aktivointia koskeva viesti "Koodi: 8860 Aktivoit toiminnon tällä kertakäyttökoodilla." poikkeaa selvästi em. ratkaisuissa käsitellyistä tekstiviesteistä.

Pankki muuttikin käytäntöään tapahtuneen jälkeen, koska kun asiakas aktivoi X:n 9.4.2023, viesti oli seuraava: "Aktivointikoodi [X]:lle. KÄYTÄ KOODIA VAIN [X]:n AKTIVOINTIIN. 9813". Mikäli pankki olisi lähettänyt viimeksi mainitunlaisen viestin asiakkaalle X:n aktivoinnin yhteydessä, hän olisi havainnut, ettei kysymyksessä ole normaali verkkopankkitoimi, jota hän on vahvistamassa.

Huomioitavaa on myös, että vaikka pankki onkin internetsivuillaan julkaisemissaan tiedoissa ja tietojenkalastelua koskevissa viesteissään maininnut siitä, että hakukoneen kautta voi joutua väärennytylle verkkosivustolle, tavallisimpien huijausyritysten joukossa em. tekotapa ei ole ollut. Muun muassa pankin viestissä Paljasta huijarit - varoituskellojen tulisi soida näissä tapauksissa mainitaan tavallisimpina huijausyrityksistä seuraavat tilanteet, joissa pankki kehottaa olemaan erityisen tarkkana:
- joku pyytää pankkitunnuksiasi tai pankkikorttitietojasi puhelimitse, sähköpostitse tai tekstiviestillä,
- joku ottaa sinuun yhteyttä ja pyytää sinun kirjautumaan verkko- ja mobiilipankkiin, varmistamaan tapahtuman tai tunnistautumaan pankkitunnuksillasi tai [X]:llä,
- joku välttää tietokoneesi saaneen viruksen tai pyytää sinua asentamaan ohjelmiston tietokoneeseesi,
- saat pankilta tekstiviestin, jossa on klikattava linkki.

Ottaen huomion kaikki edellä mainittu, asiakkaan menettely kokonaisuutena arvioiden ei osoita maksupalvelulain 62 §:ssä tarkoitettua törkeää huolimattomuutta ja pankki on korvausvelvollinen koskien valituksen kohteena olevia maksutapahtumia.

Mobiilipankkia asiakas ei ole käyttänyt, eikä kokeillut, mutta tapahtuneen jälkeen asiakas latasi sen kännykkäänsä nähdäkseen, miten toimii. Sen suojaus tuntuu aika kevyeltä, kun pelkästään yksi 4-numeroinen tunnusluku riittää sisäänpääsyyn.

Asiakas ei tilanteen aikana (kun mobiiliavainta aktivointiin) eikä ulkomaan rahasiirtojen aikana saanut pankilta minkäänlaista varoitusta. Pankki oli asiakkaaseen yhteydessä ensimmäisen kerran 14.2.2023, kun asiakkaalle soitettiin klo 11.10 ja pyydettiin käymään henkilökohtaisesti pankissa. Asiakas meni pankkiin klo 14.00, jolloin hänelle kerrottiin tapahtunut ja ohjattiin tekemään rikosilmoitus asiasta. Pankki sulki X-sovelluksen lausumansa mukaan vasta 14.2.2023 klo 16.19.

Toisaalta asiakkaan mielestä jo maalaisjärjellä pitäisi olla selvää, että pankin automatiikka pysäyttäisi poikkeukselliset, yöllä kuluttajan tekemät suuret siirrot ulkomaille, ja varmistaa ne. Pankin mukaan laki ei sitä vaadi, ja siksi sitä ei tehdä.

Pankeilla on velvollisuus tuntea asiakkaansa, seurata näiden tilejä ja ilmoittaa tiliensä kautta tapahtuvasta epätavallisesta liiketoiminnasta. Em. varsin suuret tilisiirrot yöaikaan ulkomaalaisille tileille on ollut varsin helppo havaita epätavallisiksi tilisiirroiksi.

Useimmilla pankeilla on käytössään järjestelmiä, jotka estävät edellä mainitun kantaiset epätavalliset ja epäilyttävät tilisiirrot vaatimalla asiakkaaltaan erillisen hyväksynnän kyseenalaisille tilisiirroille. Tällaista erillistä hyväksyntää asiakkaalta ei ole kysytty.

Muiden tilien käyttö

Asunto Oy B, Y ry ja Z Oy ovat antaneet asiakkaalle tilien käyttöoikeuden, jolloin heidän tilinsä ovat olleet asiakkaan henkilökohtaisessa verkko- ja mobiilipankissa asiakkaan käytettävissä. Rikolliset ovat kirjautuneet asiakkaan henkilökohtaista tunnistussovellusta käyttäen asiakkaan omaan verkkopankkiin ja siirtäneet em. oikeushenkilöiden tileillä olevat varat ensin asiakkaan omalle henkilökohtaiselle tilille ja sieltä ulkomaisille tileille.

Pankki ei ole vaatinut asiakkaalta mitään erillistä hyväksymistä tilisiirroille oikeushenkilöiden ja omien tilien välillä. Näin ollen asiakas katsoo olleensa suhteessa pankkiin kuluttaja-asemassa ja näin ollen pankin tulisi korvata ensisijaisesti kaikki asiakkaan tileiltä siirretyt varat eli yhteensä 28.800,00 euroa.

Pankin vastine

Pankki on tutkinut valituksen kohteina olevat maksutapahtumat, ja selvityksestä käy ilmi, että asiakkaan yrittäessä kirjautua sisään pankin Internetkonttoriin 11.2.2023 klo 13.00 hän päätyi luultavasti pankin nimissä olevalle huijaussivustolle käyttäessään hakukonetta. Selvityksestä käy myös ilmi, että asiakas käytti kirjautumisyrityksellään henkilökohtaista käyttäjätunnustaan, salasanaansa, tunnuslukuja tunnuslukutaulukostaan sekä tekstiviesteinä tulleita kertakäyttökoodeja. Yhdessä asiakkaan matkapuhelimeen saapuneista tekstiviesteistä luki "Koodi: XXXX Aktivoit toiminnon tällä kertakäyttökoodilla." Tämän tekstiviestin lähettäjä oli pankin tunnistussovelluksen nimi X. Antaessaan tämän tekstiviestinä X-nimiseltä lähettäjältä tulleen kertakäyttökoodin sekä tunnuslukuja tunnuslukutaulukostaan asiakas mahdollisti X:n aktivoimisen. Näin aktivoidulla X:Ilä voitiin hyväksyä kaikki valituksen kohteina olevat maksutapahtumat.

Riidanalaiset maksutapahtumat tapahtuivat 13.2.2023, klo 21.30-21.36 välisenä aikana. X on suljettu 14.2.2023 klo 16.19.50 heti kun pankki on saanut tietoa sovelluksen väärästä käytöstä.

Pankin digitaalisten palvelujen yleisten ehtojen mukaan yhteys Pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla. On asiakkaan vastuulla tarkistaa, että verkko-osoite vastaa pankin WWW-osoitetta, mikä käy ilmi digitaalisten palvelujen yleisistä ehdoista, erityisesti, jos käyttää hakukonetta ja valitsee linkin hakutulosten joukosta. Asiakkaan on ehtojen mukaan käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen.

Pankki on julkaissut syksystä 2022 lähtien tietoa tietojenkalastelusta pankin nimissä sekä verkkosivustollaan että pankin Internetkonttorin kirjautumissivulla. Sen lisäksi pankki on lähettänyt syksyn 2022 aikana asiakkaidensa Internetkonttoreihin viestin, jossa on turvallisuusohjeita koskien sisäänkirjautumista Internetkonttoriin. Viestistä käy selvästi ilmi, että pankin Internetkonttoriin tulee kirjautua osoitteen www.[pankki].fi kautta, ja että hakukoneen, kuten Googlen tai Bingin, käyttö voi johtaa huijaussivustolle. Asiakas on viestien ja tiedotteiden perusteella ollut tietoinen hakukoneen käytön riskeistä ja on ollut hänen velvollisuutensa varmistaa käyttävänsä pankin digitaalisia palveluja ehtojen mukaisella tavalla.

Käytettäessä digitaalista allekirjoitusta, joka vastaa asiakkaan omakätistä allekirjoitusta, asiakkaalta edellytetään aina huolellista toimintaa, ja pankin digitaalisten palvelujen yleisten ehtojen mukaan asiakas sitoutuu suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään ja olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.

Pankki edellyttää asiakkaan huomaavan, jos tekstiviestin lähettäjä ja sisältö poikkeavat aiemmin pankilta tulleista tekstiviesteistä pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Asiakkaan kirjautumisyrityksen yhteydessä asiakas vastaanotti kertakäyttökoodin tekstiviestinä, jossa sekä lähettäjä että sisältö eroavat asiakkaan aikaisemmin saamista tekstiviesteistä sisäänkirjautumisen yhteydessä, ja asiakkaan saamasta tekstiviestistä käy selvästi ilmi, että hän aktivoi toiminnon tällä kertakäyttökoodilla. Tämän olisi pitänyt herättää asiakkaan huomio, koska X:ltä tullut tekstiviesti lähetettiin asiakkaan matkapuhelimeen minuutti sen jälkeen, kun oli vastaanottanut ensimmäisen tekstiviestin [pankki]-nimiseltä lähettäjältä. Kun asiakas huomaa jotakin poikkeavaa kirjautuessaan sisään Internetkonttoriin, hänen tulee välittömästi ottaa yhteyttä pankkiin ja keskeyttää kirjautumisyritys.

Edellä esitetyn perusteella pankki katsoo asiakkaan laiminlyöneen pankin digitaalisten palvelujen yleisten ehtojen mukaiset velvollisuutensa menettelyllään Internetkonttorin sisäänkirjautumisyrityksellään 11.2.2023 siinä määrin, ettei ehtojen ja maksupalvelulain 62 §:n mukainen korvausvelvollisuus koske valituksen kohteina olevia maksutapahtumia.

Siltä osin kuin asiakkaalla on käyttöoikeus Asunto Oy B:n, Y ry:n ja Z Oy:n pankkitileihin, pankki viittaa digitaalisten palvelujen yleisten ehtojen kohtaan Poikkeavat ehdot muille kuin kuluttajille. Pankki on sopinut ehtojen kohdassa poikkeavista ehdoista asiakkaille, jotka eivät ole kuluttajia, täysin sen mukaisesti, mitä maksupalvelulain 7 § 2 momentti mahdollistaa palveluntarjoajalle. Kohdan mukaan asiakas, joka ei ole kuluttaja, vastaa kaikesta siitä vahingosta, joka digitaalisen allekirjoituksen oikeudettoman käytön johdosta aiheutuu asiakkaalle, pankille tai kolmannelle taholle.

Asiakkaan oikeus määrätä Asunto Oy B:n, Y ry:n ja Z Oy:n tilejä perustuu valtakirjaan edellä mainituilta oikeushenkilöiltä, eikä pankki tästä syystä voi nähdä, että asiakas olisi toiminut kuluttajana pankkiin nähden, vaan näiden oikeushenkilöiden edustajana. Pankki katsoo edellä esitetyn perusteella, ettei vastuusäännöstä maksupalvelulain 62 §:ssä ja digitaalisten palvelujen yleisten ehtojen kuluttajan vastuuta koskevia ehtoja sovelleta oikeudettomien maksutapahtumien osalta, jotka suoritettiin näiden oikeushenkilöiden pankissa olevilta tileiltä, vaan näissä tapauksissa vastuusta säädetään ehtojen kohdan 17 mukaisesti.

Koskien Asunto Oy B:n, Y ry:n ja Z Oy:n tilien käyttöä käytännössä

Pankkilautakunta on pyytänyt pankkia selventämään, miten Asunto Oy B:n, Y ry:n ja Z Oy:n tilien käyttö tilien käyttö on käytännössä tapahtunut.

Oikeushenkilöiden tilien käyttö on tapahtunut asiakkaan oman verkkopankin kautta lisäämällä käyttöoikeus tileihin asiakkaan omaan Internetkonttoriin.

Oikeushenkilöt ovat antaneet asiakkaalle tiliensä käyttöoikeuden, ja tilien käyttö on tällöin tapahtunut asiakkaan oman verkkopankin kautta, eli tilien käyttö ei ole vaatinut kirjautumista erillisiin yritysverkkopankkeihin.

Käyttöoikeus oikeushenkilöiden tileihin on lisätty jo vuonna 2005. Oikeushenkilöiden tilit ovat 10.5.2005 (Y ry) ja 2.6.2005 (Z Oy ja Asoy B) lähtien olleet käytettävissä kirjautumalla asiakkaan Internetkonttoriin tai mobiilipankkiin.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Digitaalisten palvelujen yleiset ehdot
- Kuvia pankin Internetkonttorin kirjautumissivulla 13.10.2022 ja 22.11.2022 julkaistuista tiedoista
- Kuvia pankin viesteistä asiakkaille Internetkonttorissa 29.9.2022 ja 13.10.2022
- Kuvia pankin verkkosivuilla julkaistuista tiedoista
- Sähköisesti tehty rikosilmoitus
- Kuvakaappauksia pankin asiakkaalle lähettämistä tekstiviesteistä

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

           Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein             huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla                perusteettomia, kohtuuttomia tai syrjiviä.
          Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
         Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen                     katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
        Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun            joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu                                maksuvälineen haltija on:
        1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
         2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
         3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta,                     joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
        Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä            rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
        Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
        1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta,             joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
       2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
       3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
       4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
        Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu                                    maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
       Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman                   toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta,                         palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Yleistä -kohdan mukaan
    "[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset        palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin              tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
     Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta               henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä                   lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin             antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää                 biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki]         [X]:ksi.
     […]
     Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen           allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
     Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei       edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on             pankin verkkosivustolla, www.[pankki].fi
     […]
    Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."

Pankkitunnusehtojen Määritelmät -kohdan mukaan

   ”[…]
    Kuluttaja on luonnollinen henkilö, joka solmii sopimuksen pääasiassa muuta kuin mahdollisesti harjoittamaansa elinkeinotoimintaa varten.
    […]”

Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan
    ”Asiakas sitoutuu
    - säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
    - olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti            tunnistettavissa,
    - noudattamaan pankin antamia ohjeita,
    - suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
   - varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
   - olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
   - pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] X:än sisältyvän tunnusluvun ulkoa,
   - pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
   - pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”

Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
     "Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman                  saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
      […]"

Pankkitunnusehtojen Digitaalisiin palveluihin liitetty tili -kohdan mukaan
    ”Tilin liittäminen digitaalisiin palveluihin edellyttää, että asiakas on solminut pankin kanssa erillisen tilisopimuksen tai että asiakkaalla on käyttöoikeus pankissa            olevaan toisen asiakkaan tiliin. […]”

Pankkitunnusehtojen Poikkeavat ehdot muille kuin kuluttajille -kohdan mukaan
    ”Asiakas vastaa kaikesta siitä vahingosta, joka digitaalisen allekirjoituksen oikeudettoman käytön johdosta aiheutuu asiakkaalle, pankille tai kolmannelle taholle.         Sen jälkeen kun asiakas on tehnyt ilmoituksen edellä 4.2 mukaisesti ja pankilla on ollut kohtuullinen aika keskeyttää digitaalisten palvelujen käyttö, vastuu                 siirtyy pankille.
     [...]”

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa riidattomaksi, että kun asiakkaan tarkoituksena 11.2.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Tavanomaiseen verkkopankkiin kirjautumisen tapaan asiakas on käyttänyt verkkopankkiin kirjautuakseen käyttäjätunnustaan, salasanaansa, valesivuilla kirjautumista varten pyydettyä lukua tunnuslukutaulukostaan sekä pankin asiakkaan puhelinnumeroon klo 13.00 tekstiviestitse lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi ja viestin sisältö on ollut seuraavanlainen:
    ”Koodi xxxx Pankin tekstiviestivahvistus.”

Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 11.2.2023 klo 13.01 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
    ”Koodi: 8860 Aktivoit toiminnon tällä kertakäyttökoodilla.”
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.

Pankkilautakunta katsoo asiassa riidattomaksi, että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin em. pankin verkkosivuilta näyttäneille valesivuille. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen.

Rikolliset ovat tämän jälkeen kirjautuneet asiakkaan verkkopankkiin pankin tunnistussovelluksella vahvistaen, tehneet verkkopankissa asiakkaan käytettävissä olevien tilien välisiä siirtoja ja vahvistaneet riidanalaiset 28.000 euron tilisiirrot ulkomaille pankin mobiilisovelluksella.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.

Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista huijauksista ja myös hakukoneen käyttämisestä, Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan koodin sisältäneen tekstiviestin jälkeen toisen tekstiviestin eri lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.

Asiakkaan mukaan hän ymmärsi joutuvansa kirjautumaan ainakin kahteen kertaan sivustolle istunnon katkeamisen vuoksi, ja hän katsoo, ettei poikkeavaa ole se, että kirjautuminen verkkopankkiin ei aina onnistu ensimmäisellä kerralla ja pankilta saatua koodia pitää syöttää uudelleen. Asiakas on vedonnut myös siihen, että tunnistussovelluksen aktivoiva viesti näyttää alkuun täysin samalta kuin pankin tekstiviestivahvistus eikä siinä lue, minkä palvelun asiakas aktivoi viestin koodilla. Kun viesti ilmestyi puhelimen näytölle, ei asiakas myöskään havainnut, että viesti tulee eri puhelinnumerosta.

Pankkilautakunta katsoo olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä. Tämän vuoksi lautakunta katsoo myös, ettei yksinomaan se, että asiakas ei ole em. kahden pankin tekstiviestin saamisen johdosta ymmärtänyt epäillä asiointinsa asianmukaisuutta osoita, että hän olisi menetellyt huolimattomasti pankkitunnuksiaan käyttäessään. Sen sijaan Pankkilautakunta katsoo, että huolellisesti toimiessaan asiakkaan olisi tullut kiinnittää huomiota viestien lähettäjätietoihin ja eroihin viestien sisällöissä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta kiinnittääkin tässä tapauksessa erityistä huomiota pankin asiakkaalle lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen informaatioarvoon, ja siihen, ettei pankki viestissään tuo esiin, mitä toimintoa varten ja mihin viestissä ollut koodi tulisi syöttää. Pankkilautakunta katsoo ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Tässä arviossaan lautakunta kiinnittää huomiota myös siihen, ettei pankki myöskään verkkopankkiin kirjautumista koskevassa tekstiviestissään kerro millään tavoin, mitä asiaa tai toimenpidettä tekstiviestivahvistus koskee ja mihin pankin lähettämä koodi olisi syötettävä.

Ottaen edellä todetun lisäksi huomioon, että asiakkaan pankilta saama tunnistussovelluksen aktivointikoodin sisältänyt tekstiviesti ei pituudeltaan olennaisesti eroa tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä, lautakunta pitää ymmärrettävänä, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakkaan huomio ei rutiininomaisessa kirjautumistilanteessa ole kiinnittynyt tekstiviestin lyhyeeseen sanalliseen sisältöön taikka lähettäjätietoon hänen syöttäessään viestissä ollutta koodia pankin verkkosivuilta näyttäville valesivuille.

Asiassa saadun kokonaisselvityksen perusteella ja erityisesti edellä pankin tekstiviestien osalta todettu huomioiden Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Kuluttajan hyväksi pakottavien maksupalvelulain säännösten soveltamisesta

Tapauksessa pankki on vedonnut oikeushenkilöiden tileiltä tehtyjen siirtojen osalta pankkitunnusehtojensa kohtaan, jonka mukaan asiakas, joka ei ole kuluttaja, vastaa kaikesta siitä vahingosta, joka digitaalisen allekirjoituksen oikeudettoman käytön johdosta aiheutuu asiakkaalle, pankille tai kolmannelle taholle. Pankin mukaan asiakkaan oikeus määrätä oikeushenkilöiden tilejä perustuu valtakirjaan edellä mainituilta oikeushenkilöiltä, eikä pankki tästä syystä voi nähdä, että asiakas olisi toiminut kuluttajana pankkiin nähden, vaan näiden oikeushenkilöiden edustajana.

Pankin pankkitunnusehtojen mukaan kuluttaja on luonnollinen henkilö, joka solmii sopimuksen pääasiassa muuta kuin mahdollisesti harjoittamaansa elinkeinotoimintaa varten. Pankki ei ole asiassa esittänyt, että asiakas olisi solminut sopimuksen pääasiassa harjoittamaansa elinkeinotoimintaa varten. Näin ollen lautakunta katsoo, että asiakas on pankkitunnusehtojen mukainen kuluttaja eikä ehtojen Poikkeavat ehdot muille kuin kuluttajille -kohta tule tapauksessa sovellettavaksi.

Edelleen lautakunta toteaa, että maksupalvelulain maksuvälineen oikeudetonta käyttöä ja maksuvälineen haltijan ja palveluntarjoajan välistä vastuunjakoa koskevia ja kuluttajan hyväksi pakottavia säännöksiä ei ole rajattu koskemaan ainoastaan maksuvälineen haltijan omista varoista tai henkilökohtaisilta tileiltä hänen maksuvälineellään oikeudetta tehtyjä tapahtumia. Näin ollen asiakkaan ja pankin välinen vastuunjako ratkeaa maksupalvelulain kuluttajan hyväksi pakottavia säännöksiä soveltamalla kaikkien tämän tapauksen oikeudettomien maksutapahtumien kohdalla.

Edellä todetun lisäksi Pankkilautakunta kiinnittää huomiota siihen, että tapauksessa rikolliset ovat asiakkaan henkilökohtaisia pankkitunnuksia hyödyntäen käyttöön ottamallaan pankin tunnistussovelluksella kirjautuneet asiakkaan henkilökohtaiseen verkkopankkiin, tehneet siellä asiakkaan tileiltä ja asiakkaalle tileilleen käyttöoikeuden antaneiden oikeushenkilöiden tileiltä siirtoja asiakkaan tilille, jolta riidanalaiset ja vahingon tapauksessa aiheuttaneet 28.000 euron siirrot ulkomaille on tämän jälkeen tehty. 

Koska tapauksessa on siten kyse asiakkaan henkilökohtaisessa verkkopankissa hänen henkilökohtaiselta tililtään tehdyistä ja hänen pankkitunnuksiaan hyödyntäen käyttöönotetulla pankin tunnistussovelluksella vahvistetuista tilisiirroista, Pankkilautakunta katsoo myös tällä perusteella, ettei tapauksessa voida poiketa maksupalvelulain kuluttajan hyväksi pakottavista säännöksistä eivätkä pankin ehdoissa olevat muita kuin kuluttaja-asiakkaita koskevat ehdot tule tapauksessa sovellettaviksi.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä