Haku

FINE-065731

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-065731 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 05.09.2024

Miten vastuu asiakkaan verkkopankissa ulkomaille tehdystä oikeudettomasta tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 5.5.2023 pankin nimissä lähetetyn tekstiviestin, jossa olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä valesivuilla hän on käyttänyt pankkitunnuksiaan.

Rikolliset ovat em. valesivujen kautta asiakkaalta saamillaan tiedoilla kirjautuneet asiakkaan verkkopankkiin ja tehneet 5.5.2023 klo 13.08 ja 13.11 kaksi 14.980 euron suuruista tilisiirtoa asiakkaan tililtä. Verkkopankkiin kirjautuminen ja em. maksut on vahvistettu asiakkaan verkkopankkitunnusten avainlukulistan tietyillä kertakäyttöisillä avainluvuilla, joita vastaavat järjestysnumerot pankki on ilmoittanut asiakkaalle lähettämissään tekstiviesteissä klo 13.04 sekä 13.07 ja 13.09. Pankki on lähettänyt asiakkaalle klo 13.13 vielä kolmatta 14.980 euron maksun vahvistamista koskevan viestin, mutta tätä maksua ei ole vahvistettu.

Asiakkaan tunnukset suljettiin 5.5.2023 klo 13.19 asiakkaan soitettua pankin asiakaspalveluun. Pankin tekemien maksunpalautuspyyntöjen seurauksena em. maksuista on saatu takaisin 9.960,98 euroa lopullisen vahingon jäädessä näin ollen 19.999,02 euroon.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 20.000 euroa.

5.5.2023 asiakas sai tekstiviestin "Olemme yrittäneet tavoitella sinua. Tililtäsi on virheellisesti lähdössä maksu 14 980 Eur, tili FIxxxxxxxxxx YY. Sinun tulisi käydä perumassa maksu". Tarkkaa sanamuotoa asiakas ei muista ja poisti sittemmin viestin pankin ohjeistamana. Huijausviesti oli erittäin hyvin muotoiltu ja täydellistä suomen kieltä. Toki jälkikäteen on helppo kysyä, miksi asiakas ei huomannut www-osoitteen virhettä. Viestiä lukiessa se ohjautui pankin tietoturvasivulle, josta asiakas kirjautui pankkitunnuksillaan sivuilleen. Asiakas oletti peruuttavansa tililtään lähtevää maksua. Asiakas ei siis antanut pankkitunnuksiaan/avainlukuaan kolmeen eri maksukertaan. Peruutuksen vahvistuspyyntö tuli 040-alkuisesta numerosta, jollaisesta avainluvun tunnistusviestit yleensäkin tulevat. Hetken kuluttua tuli uusi pyyntö vahvistaa maksun peruutus. Vahvistusviesti jäi oudosti "kellottamaan", joten asiakas soitti heti tämän jälkeen pankkiin. Asiakas sai kuulla tulleensa huijatuksi ja tili lukittiin.

Asiakkaalle sanottiin, että on hyvä että hän oli heti tapahtuneen jälkeen yhteydessä pankkiinsa, koska mahdollisuus varojen palauttamiseen on silloin suurempi, ja että pankki on yhteydessä toiseen suomalaiseen pankkiin, minne rahat olivat siirtyneet. Pankin ohjeen mukaan asiakas voi tehdä rikosilmoituksen, kun asia oli pankin puolesta selvitetty, ja kun asiakas teki sitten 25.5. rikosilmoituksen, poliisin mukaan asiakkaan olisi pitänyt tehdä ilmoitus heti, jotta poliisi olisi voinut reagoida ja mahdollisesti estää varojen siirtymisen eteenpäin tililtä, jolle ne oli siirretty.

Asiakas oli vain muutama viikko aiemmin ladannut puhelimeensa pankin mobiilisovelluksen ja oli jo aiemmin huhtikuussa ilmoittautunut 10.5. tapahtuvaan etäsovelluskoulutukseen. Asiakas ei sen takia ollut vielä juurikaan käyttänyt sovellusta ja ajatteli, että on turvallisempaa käydä ensin läpi pankin antama etäohjeistus. Linkillinen koulutukseen osallistuminen ei tuolloin herättänyt asiakkaassa mitään epäilyksiä. Kun sitten 8.5. sähköpostiin saapui linkki koulutukseen, ei hän uskaltanut avata sitä, kuten ei myöskään 18.5. pankilta tekstiviestitse saamaansa linkkiä, jonka kautta olisi voinut antaa palautetta saamastaan palvelusta.

Asiakas joutuu itse töissään päivittäin selvittämään tietoturvaan ja tiedonluovutukseen liittyviä asioita ja on mielestään erittäin tarkka ja huolellinen työssäni. Asiakas ei koskaan olisi uskonut, että tällaista voi tapahtua hänen kohdalleen.

Pankin vastine

Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Selvitys tapahtumasta

Asiakkaan tunnukset suljettiin 5.5.2023 klo 13.19 kun asiakas soitti asiakaspalveluun. Pankin ohjeistus on, että rikosilmoitus ohjeistetaan tekemään, ja näin on tehty, mutta asialla ei tässä tapauksessa ole merkitystä vahingon syntymisen kannalta. Tapahtuneen jälkeen on maksunsaajan pankkiin lähetetty palautuspyynnöt ja asiakkaalle on onnistuttu palauttamaan 9.960,98 euroa.

Puhelinnumeroon, joka on ollut liitettynä asiakkaan tunnus- ja digisopimukseen, on lähetetty 5.5.2023 pankin toimesta turvallisuussyistä seuraavat tekstiviestit:
klo 13:04:19
Olet kirjautumassa tunnuksillasi [pankin] verkkopalveluun. Vahvista kirjautuminen avainlukulistan 111. avainluvulla. [pankki]
klo 13:07:19
Olet maksamassa 14 980,000 EUR tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 112 vastaavalla avainluvulla. [pankki]
klo 13:09:50
Olet maksamassa 14 980,000 EUR tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 128 vastaavalla avainluvulla. [pankki]
klo 13:13:20
Olet maksamassa 14 980,000 EUR tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 177 vastaavalla avainluvulla. [pankki]

Kolme ensimmäistä vahvistuspyyntöä on vahvistettu pyydetyillä avainlukulistan numeroilla. Viimeisintä maksun vahvistuspyyntöä ei ole vahvistettu, joten maksua ei myöskään ole toteutettu. Siirrot on tehty vahvasti sähköisesti tunnistautuneena ja tekijällä on siis täytynyt olla hallussaan asiakkaan tunnuksien kaikki osat, eli käyttäjätunnus, salasana sekä asiakkaalle tekstiviesteillä pyydetyt avainlukulistan numerot. Avainlukulistan numerot löytyvät ainoastaan asiakkaan hallussa olleesta paperisesta avainlukulistasta eli muuta mahdollisuutta kuin se, että asiakas on ne luovuttanut, ei ole. Kirjautuminen pankin verkkopalveluun ja tilisiirrot on vahvistettu käyttäen maksupalvelulain mukaista vahvaa sähköistä tunnistamista.

Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille

Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle tekstiviestit, jotka ovat sisältäneet tiedot maksujen määristä ja viesteissä maksut on pyydetty vahvistamaan asiakkaan hallussa olevassa paperisessa avainlukulistassa olevalla avainlukulistan numerolla. Maksun vahvistamista koskevat viestit ovat alkaneet sanoille "Olet maksamassa" ja lisäksi viestissä lukee, että vahvista maksu avainlukulistan numerolla xxx. Näillä tiedoin asiakkaan tulee ymmärtää, että avainlukulistalla vahvistetaan maksu. Pankin toimittamissa maksupalvelulain mukaiset tiedot sisältävissä viesteissä ei missään mainita sanaa peruutus, eivätkä viestit sisällä sellaisia tietoja, että asiakas olisi voinut pankin viestien perusteella luulla peruuttavansa maksun. Pankin lähettämä maksun vahvistamista koskeva viesti on selkeä ja informatiivinen. Viestissä sanotaan selkäesti, että maksu vahvistetaan avainlukulistan numerolla, joten suostumus maksulle on annettu maksupalvelulain mukaisesti.

Luovuttamalla paperisesta avainlukulistastaan pyydetyt luvut, joilla viestin mukaisesti maksut vahvistetaan, asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä. Pankin lähettämien vahvistusviestien sisältämien tietojen sekä selkeän ilmaisun, että avainluvulla vahvistetaan maksu, perusteella asiakkaan on täytynyt ymmärtää, että avainlukulistan numerolla vahvistetaan maksu ja asiakas on antanut suostumuksensa maksulle maksupalvelulain mukaisesti. Viestissä ei maksun vahvistamiselle aseteta muuta kriteeriä kuin että se vahvistetaan avainlukulistan numerolla.

Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus

Pankki on useaan otteeseen talven 2022-2023 aikana varoittanut asiakkaitaan tietojenkalastelusta. Näissä varoituksissa on muun muassa tuotu esille se, että kalasteluviestit saattavat näkyä puhelimessa samassa viestiketjussa kuin pankin lähettämät aidot tekstiviestit. Pankki katsoo yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Asiakas on myöntänyt siirtyneensä tekstiviestissä ilmoitetulle sivulle siinä olleen linkin kautta, luullen kyseessä olevan "[Pankin] tietoturvasivut". Asiakkaan verkkopalveluun on kirjauduttu ja kirjautuminen on vahvistettu pyydetyllä avainlukulistan numerolla, joka on ainoastaan asiakkaan hallussa. Jotta ulkopuolisen tahon on ollut mahdollista kirjautua asiakkaan pankin digipalveluun sekä tehdä maksuja, on asiakkaan täytynyt luovuttaa tunnuksensa kaikki osat eli käyttäjätunnuksen, salasanan ja pyydetyn avainlukulistan numeron tekstiviestillä tulleen linkin kautta auenneelle verkkosivustolle.

Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa pankin tunnus- ja digisopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annettavana Tärkeää tietoa [pankin] tunnuksistasi -asiakirjalla sekä muutoinkin viestinnässään. Asiakas on antanut avainlukulistan numerot siitä huolimatta, että asiakkaan pankilta saamat tekstiviestit ovat sisältäneet tiedot siitä, että avainlukulistan numeroilla ollaan vahvistamassa maksuja ja nämä viestit ovat sisältäneet tiedot myös maksujen määristä ja vastaanottajan tilinumerosta.

Kun otetaan huomioon, että asiakas on joko jättänyt lukematta pankin lähettämät tekstiviestit tai ainakin jättänyt huomioitta viestien sisällön ja luovuttanut maksunvahvistamiseen tarvittavat avainlukulistan numerot, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Edellä mainituilla perusteilla pankki katsoo, että ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.

Perustelut

Pankin toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla:
28.11.2022 Varoitus: rikolliset kalastelevat [pankin] nimissä verkkopankkitunnuksia tekstiviesteillä
9.1.2023 Varoitus: rikolliset kalastevat pankkitunnuksia tekstiviesteillä 3.3.2023 Varoitus: rikolliset kalastelevat verkkopankkitunnuksia tekstiviesteillä
27.3.2023 Varoitus: rikolliset kalastelevat [pankin] tunnuksia tekstiviesteillä

Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Pankki on ohjeistanut lukemaan aina huolella vahvistuspyynnöt ja että tapahtumaa, jota ei tunnusta tehneensä ei tule vahvistaa. Pankki on kertonut myös, että huijausviestit saattavat olla samassa ketjussa aitojen pankin lähettämien viestien kanssa. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.

Sääntely

Pankki viittaa maksupalvelulain 38 §:n 1 momenttiin, 53 §:n 1 momenttiin ja 62 §:n 1 momenttiin sekä pankin tunnus- ja digisopimuksen ehtoihin. Pankki viittaa myös asiakkaalle on tunnus- ja digisopimuksen tekemisen yhteydessä annettuun Tärkeää tietoa [pankin] tunnuksistasi -nimiseen asiakirjaan.

Maksupalvelulain ja sopimusehtojen mukaisten vastuunjakosäännösten perusteella pankki katsoo, että pankin ja maksuvälinehaltijan välisessä suhteessa vastuu tapahtuneesta on maksunvälinehaltijalle, eli asiakkaalla.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnus- ja digisopimuksen ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko tilisiirtoa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 72 §:n 1 ja 3 momentin mukaan

Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.

Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan

Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan

Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan

Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan

Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. [Pankki] voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. ulkomaanmaksut vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa.

Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet omalla laitteellaan kirjautumisen asiakkaan verkkopankkiin. Pankki on tämän johdosta lähettänyt asiakkaalle verkkopankkiin kirjautumista koskevan viestin 5.5.2023 klo 13.04:

"Olet kirjautumassa tunnuksillasi [pankin] verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa xx vastaavalla avainluvulla. [pankki]"

Pankkilautakunta katsoo asiassa riidattomaksi, että asiakas on syöttänyt em. viestissä mainitun avainluvun valesivustolle luulleessaan olevansa oikeilla pankin verkkosivuilla kirjautumassa verkkopankkiinsa. Rikolliset ovat näin saaneet tietoonsa asiakkaan verkkopankkiin kirjautumisen edellyttämän avainluvun ja päässeet kirjautumaan asiakkaan verkkopankkiin.

Tämän jälkeen rikolliset ovat tehneet verkkopankissa maksutoimeksiannon, minkä seurauksena pankki on lähettänyt klo 13.07 asiakkaalle tekstiviestin:

”Olet maksamassa 14 980,000 EUR tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 112 vastaavalla avainluvulla. [pankki]”

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas on syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet klo 13.08 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.

Rikolliset ovat tehneet asiakkaan verkkopankissa vielä toisen 14.980 euron maksutoimeksiannon, minkä seurauksena pankki on lähettänyt asiakkaalle klo 13.09 toisen samansisältöisen maksun vahvistamista koskevan tekstiviestin, jossa pyydetyllä avainluvulla rikolliset ovat vahvistaneet toisen maksun klo 13.11.

Rikolliset ovat tehneet asiakkaan verkkopankissa vielä kolmannen 14.980 euron maksutoimeksiannon, mutta kolmatta maksua ei ole vahvistettu asiakkaan verkkopankissa pankin asiakkaalla klo 13.13 lähettämässä tekstiviestissä pyydetyllä avainluvulla.

Asiakkaan suostumus maksutapahtuman toteuttamiselle

Vaikka asiakkaan vastaanottamissa pankin lähettämissä tekstiviesteissä on näkynyt ko. maksujen tiedot, ei asiakas kuitenkaan itse ole syöttänyt viesteissä mainittuja avainlukuja verkkopankissaan vaan rikollisten luomilla valesivuilla. Ko. ulkomaanmaksuja koskevat toimeksiannot ovat luoneet ja vahvistukset   niille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomina.

Pankkitunnusten ja maksuvälineen luovuttaminen

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan luovuttaa tekstiviestillä tai sähköpostilla tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille. Tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Edelleen ehtojen mukaan [pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Asiassa em. tekstiviestin sisällöstä saadun selvityksen perusteella lautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön perusteella, ettei tekstiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä erityistä huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle digitaalisesti lähetetyn linkin kautta, lautakunnan tietojen mukaan pankki itse tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat ovat kuitenkin joissain tilanteissa voineet lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Vaikka tällaisissa tilanteissa linkin kautta avautuneilla sivuilla ei edellytettäisi pankkitunnuksien käyttämistä, voi tämä toimintatapa osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.

Ottaen edellä todetun lisäksi huomioon, että tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan peruuttaakseen oikeudettoman maksun ja estääkseen rahojensa menettämisen - käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan pankiltaan maksun vahvistamista koskevan tekstiviestin, jossa on näkynyt vahvistettavan maksun tiedot, asiakkaan olisi tullut ymmärtää olla antamatta tekstiviestissä mainittua järjestysnumeroa vastaavaa avainlukua verkkosivuille. Asiakas on kertomansa olettanut peruuttavansa tililtään lähtevää maksua ja hetken kuluttua tuli uusi pyyntö vahvistaa maksun peruutus. Ottaen huomioon, että asiakkaan pankilta saamat tekstiviestit ovat kuitenkin olleet tavanomaisia pankin lähettämiä maksun vahvistamista koskevia viestejä, jotka alkavat sanoin ”Olet maksamassa..” ja joissa on näkynyt vahvistettavan maksun tiedot, lautakunta katsoo, että vaikka pankin verkkosivuilta näyttävillä valesivuilla olisi esitetty kyseisiä avainlukua edellytettävän viestissä ilmoitetun suuruisen maksun perumiseen, asiakkaan olisi tullut ymmärtää keskeyttää asiointinsa ja jättää pyydetyt avainluvut syöttämättä sivuille. Mikäli asiakas olisi viimeistään ensimmäisen maksunvahvistamista koskevan tekstiviestin saatuaan esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan annettua kyseiset tilisiirtojen vahvistamista varten pyydetyt avainluvut verkkosivuille asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen erittäin vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon erityisesti sen, että asiakkaan pankiltaan saamissa tavanomaisissa maksujen vahvistamista koskevissa tekstiviesteissä selvästi ilmaistaan asiakkaan olevan maksamassa ja kerrotaan vahvistettavien maksujen tiedot, lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirroille maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta kuitenkin katsoo oikeudettoman käytön johtuneen siitä, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan ja asiakkaan siten vastaavan oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti asiakkaan ja pankin välisessä suhteessa.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Laine
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä