Haku

FINE-059626

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-059626 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.01.2024

Hur fördelar sig ansvaret mellan kunden och banken för girering som har gjorts obehörigen och bekräftats med bankens mobilapp? Nätfiske. Obehörig användning av betalningsinstrument. Vårdslöshet som innehavaren av betalningsinstrumentet visat.

Uppgifter om händelseförloppet

B är en registrerad förening vars konto A har rätt att disponera. När A hade för avsikt att gå in på sin nätbank hamnade hon på en webbsida som såg ut att vara bankens webbplats men som hade skapats av brottslingar. Där använde hon sina bankkoder för att logga in i nätbanken.

Med hjälp av A:s bankkoder (användarnamn, lösenord och kodtabell) och en kod som banken 25.1.2023 kl. 15.17 hade skickat till A i ett textmeddelande aktiverade brottslingarna bankens identifieringsapplikation X på sin egen enhet. Med hjälp av bankens identifieringsapplikation loggade brottslingarna in i A:s nätbank och gjorde 25.1.2023 kl. 20.40 en 5 500 euro stor girering från B:s konto till Italien. Inloggningen och gireringen bekräftades med identifieringsapplikationen.

Identifieringsapplikationen spärrades 9.2.2023 kl. 16.32.

Kundens yrkanden hos FINE

Ersättningskravet som kunden begär från banken är 5.500 €.

Föreningens mycket goda och pålitliga kassör A loggade in på vad hon trodde var bankens banktjänster. A hade enligt styrelsebeslut 2020 valts till kassör för föreningen och fått rättigheter till kontot. Hon är väldigt noggrann och har både nyckeltal och bankkoder separat.

Allting såg ut som deras ordinarie sida och det var inte något som såg märkligt ut. A loggade in den 25.1. med användarnamn, lösenord, kodtabell och sms-kod för användandet av internetkontoret. Inloggningen skedde med viss fördröjning men väl inloggad, efter ett telefon-sms som gick enbart till hennes telefon, gick det att se på kontot i helt vanlig ordning. A fick sammanlagt 3 SMS eftersom hon försökte logga in tre gånger. SMS-meddelanden var från avsändaren [bank]: kl. 15:15, 15:23 och 14:33. På vart och ett stod det: ”Kod: xxxx [bankens] SMS-verifiering.” A tänkte att hon själv inte var tillräckligt snabb eller att hennes dator var långsam/trög varför hon provade några gånger då det inte lyckades på första försöket. På tredje gången kom hon in på banken och det såg ut som det brukar. A noterade bara hur mycket pengar föreningen har på banken och loggade därefter ut. Från kontot gjordes i samband med detta bankbesök en obehörig transaktion på 5 500 euro vilket upptäcktes den 9.2. vid följande inloggning till internetkontoret. Dessa pengar är synnerligen viktiga för föreningen och 5.500 € är fullständigt förödande för en liten förening.

A har inte loggat in på någon länk eller svarat på något kontaktförsök från banken eller någon annan. Inloggning har skett på bankens hemsida, internetkontoret. Ingenting på nätsidan såg annorlunda ut än vid tidigare inloggningar och samma rigorösa procedur krävdes för inloggning.

Enligt en vägledande dom i HD, Sverige, har konsumenter fått ökade möjligheter att få tillbaka sina pengar genom ersättning från banken, efter att "ha lurats att lämna ut bankuppgifter" per telefon. Det anses som oaktsamt men inte som särskilt klandervärt. A har inte lämnat ut bankuppgifter till någon, ändå bär banken inte ansvaret för bedrägeriet. Banken för alltså en strängare linje än den i Sverige i fråga om att ersätta kunder. Enligt domen i HD ska agerandet endast klassificeras som särskilt klandervärt om konsumenten var medveten om att det fanns en risk för en obehörig transaktion men ändå lämnade ut uppgifterna till bedragaren.

Det finns ingen anledning att tro att man inte vill ge samma konsumentskydd och bankservice i Finland som i Sverige. Kunden hoppas att banken ersätter kunden för stölden, en stöld som skett till följd av vanlig bankanvändning, inte på grund av klandervärt agerande.

Det kan ej vara rimligt att banken kan vara utan skuld då de ej har kontrollerat upp varför kunden skulle ha betalat en faktura till Italien. Kunden har haft bankkonto hos banken i hur många år som helst och aldrig handlat något utanför Åland. Om man jämför med banken B så har banken B haft telefonkonfirmering varje gång man betalar för stora belopp i andra länder eller betalar stora summor till olika företag.

Kunden sätter ju in pengar på banken för att de skall vara säkra och om kunden inte kan garantera att de finns kvar på kontot så betyder ju det att kunden istället har dem i ett eget privat kassaskåp. Den utvecklingen vill nog ingen ha gentemot de finländska bankerna och det betyder att bankerna måste ta sitt ansvar i sådana här situationer.

Tjänsteleverantörens bemötande

Banken har utrett den reklamerade kontotransaktionen och utredningen visar på att kunden vid inloggningsförsök till bankens Internetkontor den 25 januari 2023 hamnat på en falsk hemsida i bankens namn och genom att kunden där lämnat ut den digitala underskriften har kunden för utomstående möjliggjort aktiveringen av X. Den reklamerade kontotransaktionen har sedan godkänts med det aktiverade X. Genom att den aktuella kontotransaktionen genomförts utan kundens samtycke anses den vara obehörig enligt betaltjänstlagens definition.

Kunden har enligt sin egen beskrivning försökt logga in upprepade gånger på olika hemsidor som hon trott att varit bankens hemsida. Vid inloggningsförsöken har hon använt sig av användarnamn, lösenord, kodtabell samt engångskoder skickade via sms.

Kunden har även mottagit ett X aktiverings-sms 25.1.2023 kl 15:17. Det exakta innehållet och koden som skickats tillsammans med meddelandet går av säkerhetsskäl inte längre att få tag på. Textmeddelandet har skickats från användaren X. Kunden hade inte sedan tidigare X och av meddelandet framkom det att koden endast var till för att aktivera en funktion. X har sedan spärrats 9.2.2023 kl 16:32, direkt då banken fått vetskap om händelsen.

Betaltjänstlagens 7 § 2 mom. ger möjlighet att avtala om avvikande villkor för betaltjänstanvändarens ansvar för obehörig användning av ett betalningsinstrument om betaltjänstanvändaren inte är konsument. Banken har i de allmänna villkoren för digitala tjänster punkt 17 avtalat om att en kund som inte är konsument ansvarar för all skada som kunden, banken eller tredje person åsamkas på grund av obehörig användning av den digitala underskriften.

Mot bakgrund av ovanstående anser sig banken inte ansvarig för den obehöriga användningen av den digitala underskriften.

Banken vill även framföra att banken publicerat information om nätfiske i bankens namn både på sin webbplats och på inloggningssidan till Internetkontoret. Banken har även skickat inboxmeddelanden via Internetkontoret till sina kunder med säkerhetsanvisningar för inloggning till Internetkontoret för att uppmärksamma sina kunder på nätfiske.

Gällande användningen av föreningens konto

A har via sitt eget Internetkontor haft tillgång till r.f.:s konto och det har därmed varit möjligt för bedragarna att flytta tillgångarna vid inloggningen till A:s Internetkontor med hjälp av det X som aktiverats. Någon separat inloggning har inte krävts.

Utredningar

Förutom parternas skrivelser som gäller klagomålet har följande handlingar getts in till nämnden:
- Undertsökningsanmälan (Anmälningstid 10.2.2023)
- Allmänna villkor för digitala tjänster

Beslutsrekommendation

Frågeställning

För att kunna avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden först avgöra om de i villkoren för bankkoderna ingående villkor som gäller andra än konsumenter är tillämpliga i fallet. Om de inte är tillämpliga behöver Banknämnden bedöma om den obehöriga användningen av A:s bankkoder kan anses vara en följd av att A av vårdslöshet försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt villkoren för bankkoderna samt graden av A:s eventuella vårdslöshet.

Tillämplig lagstiftning och villkor

I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1–2 mom.:

Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande. Innehavarens skyldighet att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter inträder när han eller hon tar emot dem.

I lagens 54 § (Anmälan om att betalningsinstrument förlorats) föreskrivs följande  i 1 mom.:

Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.

I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:

En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings-   instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.

Betaltjänstanvändaren ansvarar inte för obehörig användning av betalnings-  instrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.

I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) föreskrivs följande i 1 mom.:

Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.

Den punkt i bankens allmänna villkor för digitala tjänster (villkor för bankkoderna) som gäller kundens ansvar för obehörig användning av den digitala underskriften vid betalningsförmedling motsvarar de till förmån för konsumenter tvingande bestämmelserna i 62 § i betaltjänstlagen.

I punkten Allmänt i villkoren för bankkoderna sägs följande:
Uppkoppling mot bankens digitala tjänster sker, beroende på aktuell tjänst, genom uppkoppling mot internet och webbplatsen www.[banken].fi. Utöver detta finns tillgång till digitala tjänster via applikation eller annan uppkoppling och/eller lösning som banken vid var tid väljer eller anvisar. Kunden ska använda av banken tillhandahållen eller av banken godkänd applikation eller annan programvara vid användning av digitala tjänster. [...]
Kunden kan använda de digitala tjänsterna genom att styrka sin identitet med sin digitala underskrift. Den digitala underskriften består av en av banken given personlig användaridentitet, ett lösenord och en kodtabell samt i vissa fall av en engångskod via SMS som komplettering till kodtabellen (t.ex. för inloggning och vid betalningsbekräftelse). Alternativt består den digitala underskriften av en av banken given personlig användaridentitet och en lösenkod som registreras i Mobilbanken. Istället för lösenkoden kan eventuell biometrisk identifiering användas, till exempel avläsning av fingeravtryck. Den personliga användaridentiteten tillsammans med lösenkod eller biometrisk identifiering benämns [banken] [X].
[…]
Den digitala underskriften motsvarar kundens egenhändiga underskrift. Kunden godkänner således i eget namn användningen av de digitala tjänsterna, efter det att den digitala underskriften mottagits i bankens datasystem, på det sätt som användandet av respektive digitala tjänst förutsätter.
Endast kunden har rätt att använda den digitala underskriften. Den digitala underskriften eller del av den får aldrig avslöjas för någon utomstående, inte ens för en familjemedlem. Kunden har dock rätt att använda kontoinforma-tions- och betalningsinitieringstjänster. Närmare anvisningar beträffande den digitala underskriften finns tillgängliga på bankens webbsidor, www.[banken].fi. [...]
Kunden ska uppfylla och följa de rimliga säkerhetskrav som banken vid var tid meddelar beträffande användande av de digitala tjänsterna.”

I punkten Definitioner i villkoren för bankkoderna sägs följande:
”[…]
Konsument är en fysisk person som ingår ett avtal huvudsakligen för annat syfte än för näringsverksamhet som personen eventuellt bedriver.
[…]”

I punkten Skyddande av den digitala underskriften i villkoren för bankkoderna sägs följande:
Kunden förbinder sig att:
- förvara den personliga användaridentiteten, lösenordet och kodtabellen samt lösenkoden för [banken] [X]omsorgsfullt och separat från varandra,
- inte anteckna eller använda den personliga användaridentiteten, lösen-    ordet eller lösenkoden för [banken] [X] på sätt som gör den/det lätt att identifiera,
- följa de anvisningar banken har gett,
- skydda den digitala underskriften på lämpligt sätt när denna används,
- regelbundet kontrollera att kodtabellen är i kundens besittning, och
- inte överlåta den digitala underskriften eller del därav till någon som inte är behörig att använda den.
Kunden har förstått att:
- banken rekommenderar kunden att lära sig den personliga användaridentiteten, lösenordet och lösenkoden för [banken] [X] utantill,
- banken aldrig ber kunden uppge den digitala underskriften eller del därav per e-post, och
- banken aldrig kontaktar kunden och ber om den digitala underskriften eller del därav.”

I punkten Spärr av den digitala underskriften i villkoren för bankkoderna sägs följande:
"Kunden förbinder sig att omedelbart anmäla till banken om den digitala underskriften eller del därav har förkommit, om det finns skäl att misstänka att en obehörig person fått kännedom om den digitala underskriften eller del därav eller om den digitala underskriften obehörigen används.
[…]"

I punkten Konto anslutet till digitala tjänster i villkoren för bankkoderna sägs följande:
” För att ansluta ett konto till digitala tjänster förutsätts att kunden ingått ett separat kontoavtal med banken eller att kunden har rätt att disponera annan kunds konto i banken […].”

I punkten Avvikande villkor för andra än konsumenter i villkoren för bankkoderna sägs följande:
”Kunden ansvarar för all skada som kunden, banken eller tredje person åsamkas på grund av obehörig användning av den digitala underskriften. Efter att kunden gjort anmälan i enlighet med punkt 4.2 och banken haft skälig tid på sig att avbryta användningen av digitala tjänster, övergår ansvaret på banken. […]”

Bedömning

Händelseförloppet

Banknämnden anser att det i ärendet är ostridigt att när A 25.1.2023 hade för avsikt att på sin dator gå in i sin nätbank hamnade hon utan att märka det på en bluffsida som liknade bankens nätsida och att hon där använde sina nätbankskoder för att logga in i sin nätbank. I ärendet har det förblivit oklart hur A kom att hamna på bluffsidan, men nämnden anser det vara sannolikt att det skedde via en sökmotor.

För att logga in i nätbanken använde A på sedvanligt sätt sin användarkod, sitt lösenord, den för inloggning avsedda sifferserie i kodtabellen som hade begärts på bluffsidan samt den bekräftelsekod som banken skickade till A:s telefon-  nummer i ett textmeddelande. Enligt A lyckades inloggningen inte genast utan först på tredje försöket. Från banken fick hon tre gånger ett textmeddelande som gällde inloggning, kl.  15:15, 15:23 och 14:33, och vart och ett av dem lydde som följer:
 ->”Kod: xxxx [bankens] SMS-verifiering.”
Enligt A visade hennes telefon varje gång att banken var textmeddelandets avsändare.

Banken har inte bestridit det som A har berättat om textmeddelandena. Enligt banken skickade banken till A dessutom kl. 15:17 ett textmeddelande som innehöll en kod för aktivering av bankens app X, men trots Banknämndens uttryckliga begäran har banken inte förmått redogöra för det exakta innehållet i det textmeddelandet; banken har uppgett säkerhetsskäl som orsak. Enligt banken var X meddelandets avsändare, och av meddelandet framgick att koden bara gällde aktivering av funktionen.

Trots att utredningen som banken gett in varit bristfällig anser Banknämnden att det i ärendet inte finns anledning att tvivla på att bankens utredning håller streck beträffande vilka uppgifter brottslingarna måste ha haft för att kunna ta i bruk bankens identifieringsapplikation i A:s namn.

Banknämnden anser utifrån den erhållna utredningen att brottslingarna med hjälp av A:s bankkodsuppgifter, som de hade fått tillgång till i samband med A:s första försök att logga in på bluffsidan, på sin egen enhet började installera bankens identifieringsapplikation i A:s namn. Med anledning av att den nya identifieringsapplikationen börjat installeras har banken 25.1.2023 kl. 15.17 skickat till A ett textmeddelande som innehöll den kod som ibruktagningen av bankens applikation förutsätter.

Vidare anser nämnden att också koden i det textmeddelandet kom till brottslingarnas kännedom på så sätt att A matade in koden på bluffsidan som såg ut att vara bankens webbplats. Efter att brottslingarna fått koden har de på sin egen enhet kunnat aktivera bankens identifieringsapplikation i A:s namn.

Efter det misslyckade inloggningsförsöket kom A till bankens äkta webbplats där inloggningen i nätbanken lyckades, och hon kom åt att kontrollera saldot på B:s konto. I fallet har det förblivit oklart på vilket sätt A från den bluffsida som brottslingarna skapat kom till bankens äkta webbplats, men nämnden anser att det är möjligt att bluffsidan dirigerade A vidare till bankens äkta webbplats efter att brottslingarna via bluffsidan hade fått tillgång till de bankkoder och den aktiveringskod som de var ute efter.

Senare samma dag loggade brottslingarna in i A:s nätbank, och där gjorde de 25.1.2023 kl. 20.40 en 5 500 euro stor girering till Italien från B:s konto som A hade rätt att disponera. För att bekräfta inloggningen och transaktionen använde brottslingarna bankens identifieringsapplikation.

Om tillämpning av de till förmån för konsumenter tvingande bestämmelserna i betaltjänstlagen

I fallet är A en fysisk person med rätt att disponera den registrerade föreningen B:s konto. Den omtvistade gireringen från B:s konto har gjorts i A:s personliga nätbank genom att det först företogs en inloggning i nätbanken med bankens identifieringsapplikation som tagits i bruk i A:s namn och bankens identifieringsapplikation sedan användes för att bekräfta det betalningsuppdrag som getts i nätbanken. Banken har i fallet hänvisat till ett avsnitt i sina villkor för bankkoderna där det sägs att en kund som inte är konsument ansvarar för all skada som kunden, banken eller tredje person åsamkas på grund av obehörig användning av den digitala underskriften.

Enligt bankens villkor för bankkoderna är en konsument en fysisk person som ingår ett avtal huvudsakligen för annat syfte än för näringsverksamhet som personen eventuellt bedriver. Banken har i ärendet inte hävdat att den fysiska personen A hade ingått det ifrågavarande och tillämpliga avtalet om bankkoder huvudsakligen för näringsverksamhet som A bedriver. Nämnden anser därmed att kunden är konsument i den bemärkelse som avses i villkoren för bank-          koderna och att villkorspunkten Avvikande villkor för andra än konsumenter inte är tillämplig i fallet.

Nämnden konstaterar ytterligare att betaltjänstlagens till förmån för konsumenter tvingande bestämmelser om obehörig användning av betalningsinstrument och om ansvarsfördelningen mellan innehavaren av ett betalningsinstrument och tjänsteleverantören inte har avgränsats så att de gäller enbart obehöriga transaktioner som med ett betalningsinstrument tillhörande innehavaren av betalningsinstrumentet har gjorts från innehavarens personliga konton eller på så sätt att innehavarens egna medel har drabbats. Således avgörs ansvarsfördelningen mellan A och banken i fråga om den omtvistade transaktionen genom tillämpning av betaltjänstlagens bestämmelser som är tvingande till förmån för konsumenter.

Bedömning av kundens förfarande

Enligt villkoren för bankkoderna sker uppkoppling mot bankens digitala tjänster genom uppkoppling mot internet och webbplatsen www.[banken].fi, och kunden kan använda de digitala tjänsterna genom att styrka sin identitet med sin digitala underskrift. Den digitala underskriften består av en av banken given personlig användaridentitet, ett lösenord och en kodtabell samt i vissa fall av en engångskod vis SMS som komplettering till kodtabellen. Enligt villkoren ska kunden uppfylla och följa de rimliga säkerhetskrav som banken vid var tid meddelar beträffar användande av de digitala tjänsterna. I villkoren förbinder sig kunden dessutom att följa de anvisningar banken har gett.

I villkoren för bankkoderna definieras det, frånsett att bankens webbplats nämns, inte desto närmare hur kunden ska gå till inloggningssidan för bankens nättjänst, och inte heller förbjuds där användningen av sökrobot när kunden vill gå till inloggningssidan. Banknämnden anser ytterligare att det vid den tidpunkt då händelsen inträffade inte kan anses ha varit allmänt känt att uppsökande av inloggningssidorna för bankernas nättjänster med hjälp av sökrobotar är förknippat med särskilda säkerhetsrisker.

Trots att banken bl.a. genom kundmeddelanden har strävat efter att instruera sina kunder i hur nättjänsterna används på ett tryggt sätt och varnat kunderna för olika slag av bedrägerier anser Banknämnden att det på basis av den erhållna utredningen i ärendet inte kan anses att A av vårdslöshet försummat sina skyldigheter enligt betaltjänstlagen eller enligt villkoren för bankkoderna när hon gick till nätbanken och började använda sina bankkoder för det som hon såg och uppfattade som det vanliga användningsändamålet för dem, dvs. för att logga in i bankens nättjänst.

Banknämnden anser emellertid att A när hon, på ett sätt som avvek från det sedvanliga uträttandet av ärenden i nätbanken, efter att ha fått ett textmeddelande med en kod för inloggning i nätbanken fick ett annat textmeddelande från en annan avsändare borde ha förstått att ifrågasätta sitt uträttande av bankärenden och borde ha låtit bli att skriva in den erhållna koden i det för koden avsedda fältet på nätsidan. Om A i det skedet till exempel själv hade kontaktat sin bank för att fråga om tillvägagångssättet var korrekt skulle den skada som den obehöriga användningen av hennes bankkoder orsakade ha kunnat undvikas. Banknämnden anser därmed att A av vårdslöshet försummade sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt villkoren för bankkoderna.

A har uppgett att hon tänkte att inloggningsförsöken hade misslyckats för att hon själv inte var tillräckligt snabb eller för att hennes dator var för långsam/trög. Banknämnden anser att det inte är ovanligt med störningar i nätförbindelserna och i olika nättjänster. Därför anser nämnden också att den omständigheten att kunden trots att hon fick mer än ett textmeddelande från banken antog att hennes uträttande av bankärenden var i sin ordning inte ensam visar att hon skulle ha gått vårdslöst till väga när hon använde bankkoderna. Banknämnden anser däremot att A om hon hade gått omsorgsfullt till väga borde ha varit uppmärksam på uppgifterna om meddelandenas avsändare och skillnaderna i meddelandenas innehåll.

Banknämnden har i sin avgörandepraxis ansett att ett av de grundläggande krav som ställs på omsorgsfulla innehavare av bankkoder är att de när de använder bankkoder läser och i sitt eget agerande beaktar meddelanden som de får från banken i samband med uträttandet av bankärenden. Vidare har nämnden ansett att banken å sin sida ansvarar för att de meddelanden som banken skickar till kunden är begripliga till sitt innehåll, så att det till exempel för en omsorgsfull innehavare av bankkoder inte bör vara oklart för vilket ändamål koden i bankens meddelande är avsedd.

Banknämnden fäster därför i det här fallet – utgående från den i ärendet erhållna utredningen om innehållet i det textmeddelande från banken till A som innehöll en kod för aktivering av bankens identifieringsapplikation – särskild uppmärksamhet vid att textmeddelandet från banken var knapphändigt formulerat, med lågt informationsvärde, och vid att banken i sitt meddelande inte nämner var koden som meddelandet innehåller ska matas in och vilken funktion koden är avsedd för. Banknämnden anser att det är uppenbart att A, när hon enligt vad hon trodde var i färd med att logga in i sin nätbank, förväxlade koden som hennes bank skickade till henne i ett textmeddelande med en sedvanlig kod för inloggning i nätbanken som banken skickar via textmeddelande. I den här bedömningen fäster nämnden också vikt vid att banken inte heller i sitt textmeddelande som gäller inloggning i nätbanken nämner på något som helst sätt vilken angelägenhet eller vilken åtgärd sms-bekräftelsen gäller och var koden från banken ska matas in.

När nämnden, utöver vad som konstaterats ovan, beaktar att det på basis av den erhållna utredningen förhåller sig så att det textmeddelande från banken till A som innehöll koden för aktivering av identifieringsapplikationen till sin längd inte väsentligen skiljer sig från ett sedvanligt meddelande som gäller inloggning i nätbanken, anser nämnden att det är förståeligt att A, som enligt vad hon trodde var i färd med att logga in i sin nätbank, inte i en rutinmässig inloggningssituation var uppmärksam på textmeddelandets kortfattade formulering eller på avsändaruppgifterna när hon matade in koden som ingått i meddelandet på en bluffsida som liknade bankens webbplats.

Utgående från den samlade utredningen i ärendet och särskilt med beaktande av vad som ovan konstaterats angående textmeddelandena från banken anser Banknämnden att A:s förfarande som helhet inte visar att hon ställer sig klart likgiltig till de säkerhetsrisker som hänför sig till innehavet och användningen av betalningsinstrument, och att A:s förfarande därmed inte heller visar på sådan grov vårdslöshet som avses i betaltjänstlagen.

Slutsats

Banknämnden anser att den obehöriga användningen av A:s bankkoder har berott på att A av vårdslöshet försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen. Nämnden anser emellertid att A:s förfarande enligt en samlad bedömning inte visar på sådan grov vårdslöshet som avses i betaltjänstlagen och att A:s ansvar för den skada som den obehöriga användningen av hennes bankkoder orsakat därmed ska begränsas till 50 euro.

Banknämnden rekommenderar att banken åtar sig att svara för den skada som den obehöriga användningen av bankkoderna medfört, till den del den överstiger 50 euro.

Banknämnden var enhällig.

BANKNÄMNDEN

Ordförande Sillanpää                                     
Sekreterare Hidén

Medlemmar

Atrila
Makkonen
Piilo
Punakivi

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä