Tapahtumatiedot
Kun asiakkaan tarkoituksena on ollut mennä verkkopankkiinsa, on hän
päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille, joilla
hän käyttänyt pankkitunnuksiaan (henkilökohtainen käyttäjätunnus, salasanaa
ja luku tunnuslukutaulukostaan) sekä pankin tekstiviestitse 14.10.2022 klo
12.03 lähettämää koodia kirjautuakseen verkkopankkiin. Em. tekstiviestin
kohdalla lähettäjätietona asiakkaan puhelimessa näkyi pankin nimi ja viestissä
luki seuraavasti:
"Koodi: XXXX [pankin] tekstiviestivahvistus"
Rikolliset ovat asiakkaan pankkitunnuksilla ja pankin asiakkaalle 14.10.2022 klo
12.04 lähettämässä toisessa tekstiviestissä olleella koodilla aktivoineet
käyttöönsä pankin tunnistussovelluksen omalle laitteelleen. Em. tekstiviestin
lähettäjätietona on asiakkaan puhelimessa näkynyt pankin
tunnistussovelluksen nimi X ja viesti on ollut sisällöltään seuraavanlainen:
"Koodi: XXXX Aktivoit toiminnon tällä koodilla."
Em. tunnistussovellusta hyväksi käyttäen asiakkaan verkkopankkiin on
kirjauduttu ja klo 12.56-13.15 välisenä aikana asiakkaan tililtä on tehty kuusi
oikeudetonta tilisiirtoa yhteisarvoltaan 26.000 euroa. Ennen em. maksuja on
klo 12.54-12.55 välisenä aikana asiakkaan em. tilille tehty siirtoja asiakkaan
toiselta tililtä ja tililtä, jonka käyttöoikeus asiakkaalla oli.
Asiakkaan verkkopankkitunnukset on suljettu asiakkaan pankkiin ottaman
yhteydenoton johdosta 14.10.2022 klo 16.32. Em. pankin tunnistussovellus oli
poistettu klo 13.35.
Pankki on pysäyttänyt kolme 4.500 euron suuruista maksua ja palauttanut
17.10.2022 asiakkaan tilille 13.500 euroa vahingon jäädessä näin 12.500 euroon.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan takaisin saamatta jääneet 12.500 euroa.
Asiakas kirjautui 14.10.2022 osoitteeseen www.[pankki].fi ja sen "kirjaudu
sisään" -toimintoihin. Hän jäi odottamaan pankin tekstiviestipalvelusta koodia
päästäkseen sisään internetpankkiin. Asiakas sai viestin klo 12.03, mutta
annetulla kertakäyttökoodilla ei päässyt sisään sivustolle. Hän ei ollut ladannut
puhelimeensa mitään sovellusta. Hänen saamansa kertakäyttökoodi ja sen
käyttäminen ei edellyttänyt muille sivuille kirjautumista kuten pankki on
toistuvasti väittänyt, vaan hän kirjoitti saamansa koodin internetpankkisivulle.
Näin hän oli jo vuosia toiminut aina saatuaan internetpankin käyttämiseen
tarvittavan kertakäyttökoodin tekstiviestinä. Kirjautuminen pankin
pankkipalveluihin internetsivuilla seuraavasti: käyttäjätunnus, salasana,
taulukkonumero (vain asiakkaan tiedossa) ja tekstiviestillä saamaansa
nelinumeroista koodia. Aina samalla tavalla ja nyt tällä kertaa tuo johti siihen,
että sivujen ollessa hakkeroidut hän menetti tileillään olleet rahat.
Tämän ensimmäisen kirjautumisyrityksen epäonnistuttua ja sivuston pyytäessä
yrittämään uudelleen ja asiakas toimi näin. Kirjautumiseen vastattiin toisella
viestillä klo 12.04. Siinä tarjottu X tunnus oli seuraava mahdollisuus. Hän yritti
kirjautua verkkopankkiin samoin kuin edelliseen mutta tällä nyt saamallaan
tunnuksella. Tämäkään yritys ei johtanut sivustolle, vaan pankki kehotti
yrittämään uudelleen myöhemmin. Asiakas haluaa korostaa sitä, että kaikki
tapahtui internetosoitteessa www.[pankki].fi.
Asiakkaan klo 12.04 saamasta viestistä näkee, että tunnusluku on tullut
osoitteesta X, joka on myös pankin sähköisen tunnistautumispalvelun nimi
pankin sivuston mukaan edelleen myös sen ylläpitämissä sivustoissa. Pankin
internetkonttoriin kirjautumisen yhteydessä ensimmäisenä vaihtoehtona on
nimenomaan tunnistautua X-tunnuksella, mistä asiakas on toimittanut
kuvakaappauksia. Kun tunnuslukukirjautumisessa ilmoitettiin teknisestä
virheestä, oletti asiakas pankin tarjoaman X:n olevan tässä tapauksessa toimiva vaihtoehto.
Tämän jälkeen tapahtui se, mitä kaikki nettipankkien käyttäjät pelkäävät eli
pankkitilit tyhjennettiin. Kaikkiaan asiakkaan hallinnoimilla tileillä oli
liikehdintää 51.500 euron arvosta summilla 40–21.100 euron summilla. Kaikilla
tileillä, joilta liikehdintää tapahtui, oli asetettu nostorajat tilikohtaisesti
vaihdellen 500 - 1.000 euroa. Nämä nostorajat oli asetettu asiakkaan
asiakasvastuuhenkilön toimesta yhteisesti asiasta sovittuna joko pankin
konttorissa tapahtuneessa neuvottelussa tai erikseen asiasta puhelimitse
sovittuna. Nostorajat asetettiin aina asiakasvastuuhenkilön toimesta ja olivat
voimassa tai olisivat pitäneet olla voimassa kaikilla tileillä, joilla nyt oli
rahaliikettä. Pankin valvontajärjestelmä petti myös tässä vaiheessa.
Alhaiset nostorajat tileillä johtuu nimenomaan siitä, että niitä ei ole ollut
tarkoituskaan käyttää käyttelytileinä, vaan lähinnä säästötarkoituksiin. Pankin
selitys nostorajoista on siis täysin paikkansapitämätön ja väärä asiakkaan
osalta. Pankin tulee osoittaa väitteensä toteen siitä, että asiakas olisi ko.
nostorajat nostanut itse.
Asiakas on ollut 27 vuotta pankin yksityisasiakkaana ja pankille oli varmasti
muodostunut hänestä selkeä käyttäytymisprofiili, josta em. rahaliikenne oli
siitä täysin poikkeavaa. Pankin olisi pitänyt tämä poikkeavuus tunnistaa
järjestelmässään. Pelkästään Suomen pankin ohjeiden sekä pankeille asetetun
asiakkaan tunnistamisvelvollisuuden rajat ylittyivät välittömästi ensimmäisen
siirron tapahduttua. Järjestelmän olisi tullut hälyttää jo siinä vaiheessa
ensimmäisen kerran. Pankin valvontajärjestelmä petti myös tässä vaiheessa.
Asiakas myös käytti tilejään ko. pankissa harvakseltaan, joten siitäkin syystä on
ihmeellistä, että pankin omat järjestelmät eivät reagoineet mitenkään siihen,
että tilejä käytettiin yhtäkkiä kymmeniä kertoja ja huomattavasti suuremmilla
summilla kuin hän oli aiemmin yleensä käyttänyt. Asiakkaan vahvistusta
toiminnalle ei kaivattu.
Rahaliikkeet loppuivat, kun asiakkaan tilit olivat tyhjiä. Asiakas kirjautui em.
internetpankkiin uudestaan samana iltapäivänä klo 16.08 ja havaitsi silloin
tapahtuneen ja ilmoitti asiasta välittömästi pankkiin. Se, mitä asialle tehtiin
viikonlopun aikana ei ole asiakkaan tiedossa, koska myös hänen
tilinkäyttöoikeutensa poistettiin tuolloin 14.10.2022. Pankin asiakaspalvelun
luona 17.10.2022 kerrottiin, että osa rahoista oli saatu pysäytettyä matkalle.
Miten voi olla mahdollista, että pankki ei asiakkaan oltua yhteydessä lähtenyt
toimimaan rahojen palautuksen vaatimiin toimiin? Pankki kertoo rahojen
palautuksen tapahtuneen kolme päivää myöhemmin 17.10.2022, mistä
asiakkaalle ilmoitettiin vasta 18.10.2022. Pankin tulee todistaa väitteensä siitä,
että tilille oli palautettu rahaa jo 17.10.2022 ja se mitä toimia tehtiin 14.10. klo
16.36 ja 18.10.2022 välillä rahojen palautuksen tapahtumiseksi.
Missään tapauksessa tapahtumasarjasta ei käy ilmi se, että asiakas olisi
toiminut asiassa törkeän huolimattomasti. Hän toimi kuten pankin järjestelmä
edellytti hänen toimivan. Kirjautuminen sisään järjestelmään X-koodilla on jo
pankin web-sivuilta esitetty vaihtoehto. Tämä osoittaa, että uuden
sisäänkirjautumisjärjestelmän luoja tunsi pankin järjestelmän läpikotaisin ja
tunnisti myös sen heikkoudet ja vanhanaikaisuuden.
Pankki on ilmoittanut olleensa tietoinen asiakkaidensa tileille kohdistuvasta
kohonneesta hyökkäysvaarasta. Tehostettuihin ja lisättyihin turvatoimiin olisi
pitänyt varautua vastaavasti eikä jättää asiakasta yksin tunnistamaan
rikollisten aina nerokkaammat toimintamallit. Ensimmäisen varoituksen asiasta
asiakas sai pankilta postitse tulleella kirjeellä joulukuussa 2022.
FINE on todennut käytännöissään, että "Lautakunta toteaa, että
huolimattomuuden astetta arvioitaessa on tarkoituksenmukaista lähteä
tavallista huolimattomuutta koskevasta oletuksesta. Siten vaadittavasta
huolellisuusstandardista poikkeaminen tulee luokitelluksi törkeäksi
huolimattomuudeksi vain, jos tähän voidaan osoittaa erityisiä perusteita.
Törkeän huolimattomuuden ollessa kyseessä on tarkasteltavan toiminnan
oltava lähellä tahallisuutta. Törkeän huolimattomuuden tunnusmerkkeinä on
lisäksi painotettu subjektiivista moitittavuutta. Korkein oikeus on esimerkiksi
viitannut toimintaan, joka on häikäilemätöntä ja välinpitämätöntä seurausten
suhteen (KKO 1997:103). Subjektiivisen asenteen lisäksi arvioinnissa voidaan
ottaa objektiivisena elementtinä huomioon se, kuinka paljon
vahingonaiheuttajan menettely määrällisesti poikkeaa siitä, mitä häneltä olisi
vaadittu."
Nyt tässä tapauksessa ei ole olemassa minkäänlaisia FINEn vaatimia erityisiä
perusteita, että tapahtuma voitaisiin luokitella asiakkaan törkeäksi
huolimattomuudeksi. Asiakas on toiminut "huolellisen miehen" tavoin kuten
aina pankkiasioinneissaan. Voidaanko tämän sijaan katsoa pankin toimineen
ohjeistuksen vastaisesti jättämällä seuraamatta poikkeavia tapahtumia tileillä
sekä tavanomaista suurempia rahansiirtoja ulkomaisille tileille. Samaan aikaan
pankki on ollut tietoinen siitä, että hyökkäysriski asiakkaiden tileille on juuri
tänä ajankohtana ollut erityisen suuri.
Asiakas on ollut koko ajan pankin omilla nettisivuilla www.[pankki].fi ja sinne
on joku ulkopuolinen päässyt tunkeutumaan ja asentamaan omat sivustonsa
tai laitteistonsa tai miten ikinä asia toimikaan. Näin ollen pankin on korvattava
sen hallinnassa ja varmistuksella olevien sivujen hakkeroinnista johtuva
asiakkaan menetys. Pankki ei ole riittävässä määrin varmistanut sivustonsa
turvallista käyttämistä sen käyttäjille ja asiakkailleen.
Pankin vastine
Kaikki oikeudettomat tilitapahtumat on hyväksytty aktivoidulla pankin
tunnistussovellus X:Ilä. Ulkopuolinen ei ole muuttanut turvarajaa koskien
asiakkaan tiliä, jolta oikeudettomat tilitapahtumat tehtiin. Turvaraja 70 000
euroa/vrk on ollut tilillä vuodesta 2021 lähtien. Kolme oikeudetonta
tilitapahtumaa, á 4 500 euroa, pankki pystyi pysäyttämään ja palauttamaan
takaisin asiakkaan tilille 17.10.2022. Pankki sulki 14.10.2022 klo 16.36
asiakkaan tunnukset ja laite, johon X oli asennettu, oli jo poistettu klo 13.35.
Pankki on tutkinut valituksen kohteina olevat maksutapahtumat, ja
selvityksestä käy ilmi, että asiakkaan yrittäessä kirjautua sisään pankin
Internetkonttoriin 14.10.2022 hän päätyi pankin nimissä olevalle
huijaussivustolle. Kirjautumisyrityksellä 14.10.2022 klo 12.03 asiakas käytti
henkilökohtaista käyttäjätunnustaan, salasanaansa, tunnuslukua
tunnuslukutaulukostaan sekä tekstiviestinä tullutta kertakäyttökoodia
kirjautuakseen sisään Internetkonttoriin. Selvityksestä käy ilmi, että
kirjautuessaan sisään Internetkonttoriin asiakas antoi kaksi tunnuslukua
tunnuslukutaulukostaan sekä kaksi tekstiviestinä tullutta kertakäyttökoodia.
Myöhemmässä, klo 12.04 asiakkaan matkapuhelimeen tulleessa tekstiviestissä
luki: "Koodi: XXXX Aktivoit toiminnon tällä koodilla." Tämän tekstiviestin
lähettäjänä oli X. Asiakkaan syöttäessä tämän kertakäyttökoodin hän hyväksyi
ja mahdollisti X:n aktivoimisen ulkopuoliselle taholle. Ulkopuolinen taho pystyi
siten hyväksymään kaikki valituksen kohteina olevat, asiakkaan pankkitililtä
tehdyt maksutapahtumat aktivoidulla X:llä.
Laitteella, johon X oli asennettu, tarkoitetaan laitetta, jonka kautta
ulkopuolinen on päässyt käyttämään asiakkaan Internetkonttoria.
Ulkopuolinen ei ole asentanut laitteistonsa pankin järjestelmään, vaan
aktivoinut sillä X-sovelluksen asiakkaan nimissä. Asiakas on, syöttämällä
tekstiviestillä saadun koodin, hyväksynyt X:n aktivoimista ulkopuolisen
laitteella. Ulkopuolinen taho pystyi siten hyväksymään kaikki valituksen
kohteina olevat, asiakkaan pankkitililtä tehdyt, maksutapahtumat aktivoidulla
X:llä.
Pankki haluaa selventää, että ensimmäisessä, klo 12.03 asiakkaan
matkapuhelimeen tulleessa tekstiviestissä luki "Koodi: XXXX [pankin]
tekstiviestivahvistus" ja lähettäjänä oli [pankki]. Klo 12.04 asiakkaan saamassa
tekstiviestissä, jossa lähettäjänä oli X, sekä sisältö että lähettäjä erosivat
aiemmin tekstiviestinä sisäänkirjautumisen yhteydessä asiakkaan
matkapuhelimeen pankilta tulleista viesteistä. Asiakkaalla ei ollut X:ää
käytössään aiemmin, eikä hän siten ollut ennen vastaanottanut tekstiviestejä
tältä lähettäjältä.
Pankin digitaalisten palvelujen yleisten ehtojen mukaan yhteys pankin
digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi
avulla. On asiakkaan vastuulla tarkistaa, että URL-osoite vastaa pankin URLosoitetta,
mikä käy ilmi digitaalisten palvelujen yleisistä ehdoista, erityisesti,
jos käyttää hakukonetta ja valitsee linkin pankin verkkosivustolle hakutulosten
joukosta.
Pankki on myös ajankohtana, jolloin asiakas joutui digitaalisen allekirjoituksen
oikeudettoman käytön kohteeksi, julkaissut tietoa tietojenkalastelusta pankin
nimissä sekä verkkosivustollaan että pankin Internetkonttorin
kirjautumissivulla sekä lähettänyt 29.9.2022 pankin kaikkien asiakkaiden
Internetkonttoriin viestin, jossa on turvallisuusohjeita koskien
sisäänkirjautumista pankin Internetkonttoriin. Internetkonttoriin lähetetyssä
viestissä kerrotaan, että pankin Internetkonttoriin tulee kirjautua ainoastaan
osoitteen www.[pankki].fi kautta, ja että hakukoneen käyttö voi johtaa sinut
huijaussivustolle.
Pankki haluaa selventää, että kirjoittamalla osoitteen www.[pankki].fi päätyy
pankin omalle, aidolle sivustolle. Tätä pankki on selventänyt asiakkaidensa
Internetkonttoreihin lähettämissään turvallisuusohjeissa, ja näin ollen
sisäänkirjautuminen Internetkonttoriin on aina tehtävä tämän verkkoosoitteen
kautta. Ei voi siis olla mahdollista, että asiakas on syöttänyt edellä
mainitun verkko-osoitteen ja päätynyt pankin nimissä olevalle
huijaussivustolle.
Käytettäessä digitaalista allekirjoitusta, joka vastaa asiakkaan omakätistä
allekirjoitusta, asiakkaalta edellytetään aina huolellista toimintaa, ja pankin
digitaalisten palvelujen yleisten ehtojen mukaan asiakas sitoutuu suojaamaan
digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään ja olemaan
luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön
oikeudettomalle.
Pankki edellyttää asiakkaan huomaavan, jos tekstiviestin sisältö ja lähettäjä
poikkeavat aiemmin pankilta tulleista tekstiviesteistä Internetkonttorin
sisäänkirjautumisen yhteydessä. Asiakas antoi kirjautumisyrityksensä
yhteydessä kaksi tunnuslukua tunnuslukutaulukostaan sekä kaksi tekstiviestinä
tullutta kertakäyttökoodia. Sekä tekstiviestien sisältö että lähettäjä eroavat
toisistaan, ja toisen tekstiviestin tekstistä käy selvästi ilmi, että aktivoit
toiminnon tällä kerta käyttökoodilla. Tämän olisi pitänyt herättää asiakkaan
huomio, koska tekstiviestit lähetettiin vain yhden minuutin välein asiakkaan
matkapuhelimeen. Myös teknisistä ongelmista kertovan ilmoituksen olisi
yhdessä yllä mainittujen seikkojen kanssa pitänyt herättää huomiota. Toisin
sanoen sisäänkirjautuminen poikkesi normaalista sellaisella tavalla, että
asiakkaan olisi pitänyt reagoida ja keskeyttää kirjautumisyritys viimeistään
saatuaan toisen tekstiviestin.
Asiakas kirjoittaa tienneensä, että toisen tekstiviestin lähettäjä oli X, mutta hän
syötti kuitenkin tekstiviestinä tulleen kertakäyttöisen tunnusluvun, vaikkei
hänellä ollut X:ää käytössään aikaisemmin eikä hänellä ollut aikomusta ottaa
käyttöön toimintoa. Näin siitä huolimatta, että tekstiviestistä käy ilmi, että
toiminto aktivoidaan syöttämällä kertakäyttöinen tunnusluku, ja että asiakas ei
ollut koskaan ennen vastaanottanut tekstiviestiä X-nimiseltä lähettäjältä
Internetkonttorin sisäänkirjautumisen yhteydessä.
Yllä mainitun perusteella pankki katsoo asiakkaan laiminlyöneen digitaalisten
palvelujen yleisten ehtojen mukaiset velvollisuutensa menettelyllään
kirjautuessasi sisään Internetkonttoriin siinä määrin, että asiakkaan voidaan
katsoa menetelleen välinpitämättömästi syöttäessään digitaalisen
allekirjoituksensa ja siten menetelleen törkeän huolimattomasti. Tästä syystä
pankki ei katso olevansa korvausvelvollinen valituksen kohteina olevista
tapahtumista.
Liittyen tilin maksurajaan
Pankin tietojen mukaan asiakas on henkilökohtaisesti vieraillut pankissa 3-
4.5.2021 ja pyytänyt maksurajan nostamista. Vierailunsa jälkeen pankki on
hänen pyynnöstään nostanut tilin -2167 maksurajaa 4.5.2021 klo 10.38.
Asiakkaan lähettämissä tiliotteissa näkyvä "Tilin maksuraja/vrk:" on
tämänhetkinen maksuraja.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu
seuraavat asiakirjat:
- Digitaalisten palvelujen yleiset ehdot
- Kuva pankin Internetkonttorin kirjautumissivulla 29.9.2022 julkaistuista tiedoista
- Kuvia pankin viestistä asiakkaille Internetkonttorissa 29.9.2022
- Kuvia pankin verkkosivuilla julkaistuista tiedoista
- Otteita asiakkaan tilitiedoista
- Kuvakaappaus asiakkaan pankilta 14.10.2022 klo 12.04 saamasta tekstiviestistä
Ratkaisusuositus
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on
arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön
katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt
lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan
mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin
mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja
käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin
toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä
henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä
koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen
liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava
palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan
maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun
tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta
käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen
palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen
haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen
oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän
tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset
velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai
sen nimeämälle muulle taholle havaitsemastaan maksuvälineen
katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai
oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1
momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa.
Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu
maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun
palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu
maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun
tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen
haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu
ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti
varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on
vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu
maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut
muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta
maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta
johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty
maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään
seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille
ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä
asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi
ollut ilman veloitusta.
Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta,
joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta
käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan
hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Yleistä -kohdan mukaan
"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta
palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla.
Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän
ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa.
Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta
tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä
digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin
antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja
tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa
täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi
sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti
digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta
käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta
Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä
tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta
ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [pankin
tunnistussovellus]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas
hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun
digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin
digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta.
Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään
ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus
käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita
digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[...]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin
kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava
niitä."
Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan
mukaan
”Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja
tunnuslukutaulukon sekä [pankki] [pankin tunnistussovellus]:hen sisältyvän
tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta,
salasanaa tai [pankki] [pankin tunnistussovellus]:hen sisältyvää
tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen
hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen
käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen
käyttäjätunnuksen, salasanan ja [pankki] [pankin tunnistussovellus]:hen
sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa
siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla
digitaalista allekirjoitusta tai osaa siitä.”
Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen
allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön
oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä
tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]"
Pankkitunnusehtojen Digitaalisiin palveluihin liitetty tili -kohdan mukaan
”Tilin liittäminen digitaalisiin palveluihin edellyttää, että asiakas on solminut
pankin kanssa erillisen tilisopimuksen tai että asiakkaalla on käyttöoikeus
pankissa olevaan toisen asiakkaan tiliin. […]”
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä
tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle
laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen X,
jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä
epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen
paikkansa pitävyyttä.
Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että kun
asiakkaan tarkoituksena on ollut mennä selaimessa verkkopankkiinsa, on hän
asiaa itse huomaamatta ja nyt epäselväksi jääneellä tavalla päätynyt rikollisten
luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt
verkkopankkitunnuksiaan kirjautuakseen verkkopankkiin.
Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan
pankkitunnuksia ja pankin asiakkaalle tekstiviestitse 14.10.2022 klo 12.03 ja klo
12.04 lähettämiä koodeja käyttäen ladanneet ja aktivoineet käyttöönsä
asiakkaan nimissä olevan pankin tunnistussovelluksen X omalle laitteelleen.
Riidanalaiset maksutapahtumat rikolliset ovat vahvistaneet klo 12.56-13.15
välisenä aikana em. tunnistussovelluksella.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu
internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää
digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella
allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta
käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä
tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä
kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten
palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset
turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu
noudattamaan pankin antamia ohjeita.
Pankkilautakunta katsoo tässä tapauksessa jääneen epäselväksi, miten asiakas
on päätynyt rikollisten luomille pankin aidoilta verkkosivuilta näyttäville
valesivuille. Pankkilautakunta pitää kuitenkin todennäköisenä, että tämä on
tapahtunut hakukoneen käyttämisen seurauksena.
Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun
ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin
verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä
verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei
yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä,
että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi
erityisiä turvallisuusriskejä.
Vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan
turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista
huijauksista ja myös hakukoneen käyttämisestä, Pankkilautakunta katsoo, ettei
asiakkaan voida asiassa saadun selvityksen perusteella katsoa
huolimattomuudestaan laiminlyöneen maksupalvelulain tai
pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan
verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja
käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa
kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta
verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin
sisäänkirjautumista koskevan koodin sisältäneen tekstiviestin jälkeen toisen
tekstiviestin eri lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa
verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta
verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa
vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen
menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten
oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen
Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen
maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia
velvollisuuksiaan.
Asiakkaan mukaan ensimmäisen viestin tunnusluvulla ei päässyt sisään
sivustolle ja sivusto pyysi yrittämään uudelleen. Hänen saamastaan toisesta
viestistä näkee, että tunnusluku on tullut osoitteesta X, joka on myös pankin
sähköisen tunnistautumispalvelun nimi pankin sivuston mukaan, ja pankin
internetkonttoriin kirjautumisen yhteydessä ensimmäisenä vaihtoehtona on
nimenomaan tunnistautua X-tunnuksella. Kun tunnuslukukirjautumisessa
ilmoitettiin teknisestä virheestä, oletti asiakas pankin tarjoaman X:n olevan
tässä tapauksessa toimiva vaihtoehto.
Pankkilautakunta katsoo olevan tavanomaista, että verkkoyhteyksissä ja
erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä. Tämän vuoksi
lautakunta katsoo myös, ettei yksinomaan se, että asiakas ei ole em. kahden
pankin tekstiviestin saamisen johdosta ymmärtänyt epäillä asiointinsa
asianmukaisuutta osoita, että hän olisi menetellyt huolimattomasti
pankkitunnuksiaan käyttäessään. Sen sijaan Pankkilautakunta katsoo, että
huolellisesti toimiessaan asiakkaan olisi tullut kiinnittää huomiota viestien
lähettäjätietoihin ja eroihin viestien sisällöissä.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta
pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että
pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan
asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on
katsonut pankin vastuulla puolestaan olevan, että pankin asiakkaalle
lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi
huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä
tarkoituksessa pankin viestissä ollutta koodia käytetään.
Pankkilautakunta kiinnittääkin tässä tapauksessa erityistä huomiota pankin
asiakkaalle lähettämän pankin tunnistussovelluksen aktivointikoodin
sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen
informaatioarvoon, ja siihen, ettei pankki viestissään tuo esiin, mitä toimintoa
varten ja mihin viestissä ollut koodi tulisi syöttää. Pankkilautakunta katsookin
ymmärrettäväksi, että asiakas on – tietämättä mikä X todellisuudessa on -
esittämänsä mukaisesti ja perusteella virheellisesti ymmärtänyt pankin X:n
nimissä lähettämän tekstiviestin sisältävän koodin olevan osa vaihtoehtoista
verkkopankkiin kirjautumistapaa tavanomaisen verkkopankkiin kirjautumisen
epäonnistuttua. Tässä arviossaan lautakunta kiinnittää tunnistussovelluksen
aktivointikoodin sisältäneen viestin vähäisen informaatioarvon lisäksi
huomiota myös siihen, ettei pankki kerro myöskään verkkopankkiin
kirjautumista koskevassa tekstiviestissään millään tavoin, mitä asiaa tai
toimenpidettä tekstiviestivahvistus koskee ja mihin pankin lähettämä koodi
olisi syötettävä.
Asiassa saadun kokonaisselvityksen perusteella ja erityisesti edellä pankin
tekstiviestien osalta todettu huomioiden Pankkilautakunta katsoo, ettei
asiakkaan menettely kokonaisuutena osoita hänen suhtautuvan selvästi
piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin
turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita
maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön
johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt
maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta
kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita
maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan
vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta
vahingosta rajoittuu näin ollen 50 euroon.
Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten
oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50
euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheejohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Laine
Tervonen