Haku

FINE-060698

Tulosta

Asianumero: FINE-060698 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2023

Miten vastuu asiakkaan verkkopankissa oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Kun asiakkaan tarkoituksena 27.2.2023 on ollut mennä verkkopankkiinsa, on hän päätynyt rikollisten luomille pankin verkkosivuilta näyttäville sivuille, joilla hän on käyttänyt pankkitunnuksiaan kirjautuakseen verkkopankkiin.

Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 27.2.2023 klo 13.19 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin tunnistussovellus. Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin tunnistussovelluksen nimi X ja viestissä on lukenut seuraavaa:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTTIN. XXXX"

Pankki on lähettänyt X:n nimissä asiakkaalle vielä toisen tekstiviestin klo 13.21:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."

Em. tunnistussovellusta hyväksi käyttäen on asiakkaan verkkopankkiin kirjauduttu ja tehty oikeudettomia tilisiirtoja. Asiakkaan yhdeltä tililtä sekä toisen henkilön ja M Oy:n tileiltä, joiden käyttöoikeus asiakkaalla on ollut, on tehty siirtoja asiakkaan toiselle tilille, jolta on tehty 28.2.2023 klo 23.34-23.41 yhteismäärältään 32.400 euron tilisiirrot ulkomaille.

Em. tunnistussovellus on suljettu 1.3.2023 klo 15.57.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 32.400 euroa.

Maanantaina 27.2.2023 asiakkaan kirjautuessa pankin nettipankkiin asiakas päätyi väärennetyille pankin sivuille, jossa on edellytetty X:n aktivointia. Kirjautuminen on tapahtunut selainhistorian mukaan klo 13.20. Tämän seurauksena 1.3. kaikilta tileiltä, joille asiakkaalla on käyttöoikeus - avopuolison henkilökohtainen tili, hänen yrityksensä tili sekä asiakkaan toinen henkilökohtainen tili -, on varat siirretty asiakkaan tilille, josta ne on siirretty ulkomaisille pankkitileille. Miten on mahdollista, että tililtä jolta ei koskaan ole suoritettu yhtään ulkomaan maksua, voidaan siirtää yli 30 000 euroa ulkomaille ilman, että pankissa siihen reagoidaan mitenkään.

Tilien tyhjentymisen asiakas huomasi 1.3. iltapäivällä ja pankkiin oltiin välittömästi yhteydessä, rahoja ei kuitenkaan saatu enää takaisin. Pankki kertoo lähettäneensä automaattitekstiviestin, jossa on pyydetty olemaan yhteydessä, jos ei ole X:ää aktivoimassa. Asiakas ei ole kyseistä automaattiviestiä huomannut eikä sitä enää ole tallessa, koska asiakkaan käytettyä esimerkiksi pankista automaattisesti tekstiviesteinä tulleet vahvistuskoodit hän poistaa viestit tarpeettomina.

Pankin vastine

Pankki on tutkinut valituksen kohteina olevat maksutapahtumat, ja selvityksestä käy ilmi, että asiakkaan kirjautumisyrityksellä pankin Internetkonttoriin hän päätyi pankkiin nimissä olevalle huijaussivustolle. Yrittäessään kirjautua sisään pankin Internetkonttoriin asiakas käytti henkilökohtaista käyttäjätunnustaan, salasanaansa, tunnuslukuja tunnuslukutaulukostaan sekä tekstiviestinä lähetettäviä kertakäyttöisiä tunnuslukuja. Yhdessä hänen matkapuhelimeensa 27.2.2023 klo 13.19 vastaanottamistaan tekstiviesteistä luki "Aktivointikoodi X:Ile. KÄYTÄ KOODIA VAIN X:n AKTIVIOINTTIN. XXXX". Viestin lähettäjä oli X. Syötettyään tekstiviestinä saamansa kertakäyttöisen tunnusluvun sekä tunnusluvun tunnuslukutaulukostaan asiakas mahdollisti X:n aktivoinnin.

Syötettyään X:n aktivointiin tarkoitetun kertakäyttöisen tunnusluvun sekä tunnusluvun tunnuslukutaulukostaan asiakas vastaanotti samaan puhelinnumeroon toisen tekstiviestin klo 13.21 käyttäjältä X. Viestissä luki "[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X]:tä, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun." Koska asiakas ei reagoinut tähän tekstiviestiin 24 tunnin kuluessa, X:n aktivointi voitiin suorittaa loppuun. Valituksen kohteina olevat maksutapahtumat voitiin sen jälkeen toteuttaa aktivoidun X:n avulla.

Pankin digitaalisten palvelujen yleisten ehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaisesti yhteys Pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla. On asiakkaan vastuulla tarkistaa, että URL-osoite vastaa pankin osoitetta, mikä ilmenee digitaalisten palvelujen yleisistä ehdoista, erityisesti, kun käyttää hakukonetta ja valitsee linkin hakutuloksista.

Syksyllä ja talvella 2022-2023 pankki on julkaissut tietoa pankin nimissä tehdystä tietojenkalastelusta sekä verkkosivustollaan että pankin Internetkonttorin sisäänkirjautumissivulla. Sen lisäksi pankki on lähettänyt syksyllä 2022 Internetkonttorin ja pankin mobiilipankin kautta asiakkailleen inbox-viestejä, joissa oli turvallisuusohjeita liittyen Internetkonttorin sisäänkirjautumiseen. lnbox-viestistä käy selvästi ilmi, että pankin Internetkonttoriin on kirjauduttava käyttämällä osoitetta www.[pankki].fi, ja että käyttämällä hakukonetta, kuten Googlea tai Bingiä, voi joutua huijaussivustolle.

Käytettäessä digitaalista allekirjoitusta, joka vastaa asiakkaan omakätistä allekirjoitusta, asiakkaalta edellytetään huolellista toimintaa, ja pankin digitaalisten palvelujen yleisten ehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaisesti asiakas sitoutuu suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään, ja digitaalista allekirjoitusta tai osaa siitä ei saa luovuttaa sen käyttöön oikeudettomalle.

Pankki edellyttää, että asiakas huomaa, jos hänen matkapuhelimeensa Internetkonttorin sisäänkirjautumisen yhteydessä lähetetyn tekstiviestin lähettäjä ja sisältö poikkeavat siitä, mitä hänelle on lähetetty aiemmin pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Asiakas vastaanotti tekstiviestin, joka erosi sekä lähettäjältään että sisällöltään tekstiviesteistä, joita hän on aiemmin vastaanottanut sisäänkirjautumisen yhteydessä, ja tekstiviestin sisällöstä käy selvästi ilmi, että hän aktivoi toiminnon saamallaan kertakäyttöisellä tunnusluvulla. Syötettyään X:n aktivointiin tarkoitetun kertakäyttöisen tunnusluvun asiakas vastaanotti vielä yhden tekstiviestin, jossa häntä kehotettiin poistamaan aktivoitu X Internetkonttorissa/Mobiilipankissa tai ottamaan yhteyttä sulkupalveluun, jos hän ei ollut aktivoinut sitä itse. Asiakas ei kuitenkaan reagoinut tekstiviestin kehotukseen poistaa aktivoitu X, eikä ottanut yhteyttä sulkupalveluun. Asiakas ei myöskään ottanut viipymättä yhteyttä pankkiin, kun sisäänkirjautumisyritys poikkesi oleellisesti aikaisemmista sisäänkirjautumisyrityksistä pankin Internetkonttoriin. X:n voi aktivoida ainoastaan pankin mobiilipankissa, eikä Internetkonttorin sisäänkirjautumissivulla lue missään kohdassa, että sen sivun kautta voisi aktivoida X:n.

Edellä mainitun valossa pankki katsoo, että Internetkonttorin sisäänkirjautumisyrityksellään 27.2.2023 asiakas on menettelyllään laiminlyönyt digitaalisten palvelujen yleisten ehtojen mukaiset velvollisuutensa siinä määrin, että valituksen kohteina olevat maksutapahtumat eivät ole mainittujen ehtojen korvausvelvollisuuden eivätkä maksupalvelulain 62 §:n piirissä.

Siltä osin kuin asiakkaalla on käyttöoikeus M Oy:n pankkitiliin, pankki viittaa Pankin digitaalisten palvelujen yleisten ehtojen kohtaan Poikkeavat ehdot muille kuin kuluttajille. Kohdassa pankki on sopinut poikkeavista ehdoista asiakkaille, jotka eivät ole kuluttajia, noudattaen täysin sitä, minkä maksupalvelulain 7 §:n 2 momentti mahdollistaa palveluntarjoajalle. Kohdan mukaan asiakas, joka ei ole kuluttaja, vastaa kaikesta siitä vahingosta, joka digitaalisen allekirjoituksen oikeudettoman käytön johdosta aiheutuu asiakkaalle, pankille tai kolmannelle taholle.

M Oy:n tilin käyttö on tapahtunut asiakkaan oman verkkopankin kautta lisäämällä käyttöoikeus tiliin asiakkaan oman Internetkonttoriin. Oikeushenkilöt ovat antaneet asiakkaalle tilinsä käyttöoikeuden, ja tilien käyttö on tällöin tapahtunut asiakkaan oman verkkopankin kautta, eli tilin käyttö ei ole vaatinut kirjautumista erillisiin yritysverkkopankkeihin.

Asiakkaan oikeus käyttää M Oy:n tiliä perustuu aiemmin mainitun oikeushenkilön antamaan valtakirjaan, ja sen johdosta pankki ei näe asiakkaan toimineen kuluttajana pankkiin nähden, vaan oikeushenkilön edustajana. Edellä esitetyn perusteella pankki katsoo, että maksupalvelulain 62 §:n ja digitaalisten palvelujen yleisten ehtojen vastuusäännöstä ei sovelleta siltä osin, kun maksutapahtumia on suoritettu M Oy:n pankissa olevalta tililtä, vaan vastuusta säädetään digitaalisten palvelujen yleisten ehtojen Poikkeavat ehdot muille kuin kuluttajille -kohdan mukaisesti.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkinnan päätös (9.3.2023)
- Digitaalisten palvelujen yleiset ehdot
- Pankin Internetkonttorin sisäänkirjautumissivulla julkaistu informaatio, 13.10.2022 ja 22.11.2022
- lnbox-viestit, joissa oli turvallisuusohjeita, ja jotka lähetettiin pankin asiakkaiden Internetkonttoreihin  29.9.2022 ja 13.10.2022
- Pankin verkkosivustolla julkaistu informaatio

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Yleistä -kohdan mukaan

"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[…]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."

Pankkitunnusehtojen Määritelmät -kohdan mukaan

”[…]
Kuluttaja on luonnollinen henkilö, joka solmii sopimuksen pääasiassa muuta kuin mahdollisesti harjoittamaansa elinkeinotoimintaa varten.
[…]”

Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan

”Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”

Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan

"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]"

Pankkitunnusehtojen Digitaalisiin palveluihin liitetty tili -kohdan mukaan

”Tilin liittäminen digitaalisiin palveluihin edellyttää, että asiakas on solminut pankin kanssa erillisen tilisopimuksen tai että asiakkaalla on käyttöoikeus pankissa olevaan toisen asiakkaan tiliin. […]”

Pankkitunnusehtojen Poikkeavat ehdot muille kuin kuluttajille -kohdan mukaan

”Asiakas vastaa kaikesta siitä vahingosta, joka digitaalisen allekirjoituksen oikeudettoman käytön johdosta aiheutuu asiakkaalle, pankille tai kolmannelle taholle. Sen jälkeen kun asiakas on tehnyt ilmoituksen edellä 4.2 mukaisesti ja pankilla on ollut kohtuullinen aika keskeyttää digitaalisten palvelujen käyttö, vastuu siirtyy pankille.
[...]”

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa selvitetyksi, että kun asiakkaan tarkoituksena 27.2.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa.

Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 27.2.2023 klo 13.19 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTTIN. XXXX"
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.

Pankkilautakunta katsoo asiassa selvitetyksi, että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin em. pankin verkkosivuilta näyttäneille valesivuille. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen.

Pankki on lähettänyt asiakkaalle vielä toisen tekstiviestin klo 13.21:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X]:tä, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Myös tämän tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.

Pankin tunnistussovellus X:n aktivoiduttua seuraavana päivänä rikolliset ovat kirjautuneet asiakkaan verkkopankkiin sovelluksella vahvistaen, tehneet verkkopankissa asiakkaan käytettävissä olevien tilien välisiä siirtoja ja vahvistaneet tunnistussovelluksella 28.2.2023 klo 23.34-23.41 riidanalaiset 32.400 euron tilisiirrot ulkomaille.

Em. tunnistussovellus on suljettu 1.3.2023 klo 15.57.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.

Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista huijauksista ja myös hakukoneen käyttämisestä, Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan tekstiviestin sijaan X:n aktivointikoodin sisältäneen tekstiviestin X-nimiseltä lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olevan muotoilultaan suppea ja informaatioarvoltaan heikko ja edelleen ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on sekoittanut pankilta tekstiviestitse saamansa koodin tavanomaiseen pankin lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Aktivointikoodi-tekstiviestin puutteista huolimatta se eroaa pituudeltaan tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä, sen lähettäjätietona asiakkaan puhelimessa on ollut pankin nimen sijaan X ja siinä todetaan isoin kirjaimin, että viestissä olevaa koodia käytetään vain X:n aktivointiin. Asiakkaan syötettyä viestissä olleen aktivointikoodin kiinnittämättä huomiota em. seikkoihin tekstiviestissä Pankkilautakunta katsoo asiakkaan laiminlyöneen maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan.   

Pankki on kaksi minuuttia em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle toisen tekstiviestin, jossa pankki kertoo X:n aktivoituvan 24 tunnin kuluttua ja pyytää poistamaan X:n tai soittamaan sulkupalveluun, jos ei ole itse aktivoinut X:ää. Asiakas on tämän jälkimmäisen viestin osalta todennut, ettei ole kyseistä viestiä huomannut eikä sitä enää ole tallessa, koska asiakkaan käytettyä esimerkiksi pankista automaattisesti tekstiviesteinä tulleet vahvistuskoodit hän poistaa viestit tarpeettomina.

Pankkilautakunta on vastaavanlaisessa verkkourkintatapauksessa FINE-049807 antamassaan ratkaisusuositussaan katsonut pankin tunnistussovelluksen aktivoitumisesta kertoneen tekstiviestin osalta, että vaikka huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit, ei huolellisenkaan pankkitunnustenhaltijan voida edellyttää seuraavan jatkuvasti puhelintaan ja lukevan kaikki vastaanottamansa pankin viestit välittömästi, mikäli hän ei ole tunnuksiaan juuri käyttämässä.

Tässä tapauksessa Pankkilautakunta kuitenkin katsoo asiakkaan kertoman perusteella, että asiakas on jo 27.2.2023 tapahtuneen asiointinsa yhteydessä huomannut ja poistanut em. tekstiviestin huomioimatta ja reagoimatta sen sisältöön tavalla, jota huolelliselta pankkitunnusten haltijalta voidaan edellyttää. Toisin kuin tapauksessa FINE-049807 tässä tapauksessa tunnistussovellus on aktivoitunut tekstiviestissä kerrotun mukaisesti vasta 24 tunnin kuluttua em. viestin lähettämisen jälkeen, ja näin ollen on ilmeistä, että asiassa tapahtuneelta vahingolta olisi vältytty, mikäli asiakas olisi viestissä olleen ohjeen mukaisesti esimerkiksi ollut yhteydessä sulkupalveluun. Asiakkaan jätettyä tällä tavoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta asiakkaan menettelyn osoittavan selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin.

Asiassa saadun kokonaisselvityksen perusteella ja erityisesti edellä pankin tekstiviestien osalta todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Laine
Tervonen

Tulosta