Tapahtumatiedot
Kun asiakkaan tarkoituksena 17.7.2023 on ollut hakeutua verkkoselaimessa pankin verkkosivuille ja kirjautua verkkopankkiinsa, on hän päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt pankkitunnuksiaan ja pankin tekstiviestitse klo 18.51 lähettämää koodia kirjautuakseen pankin verkkopalveluun ja joutunut näin verkkourkinnan uhriksi. Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin nimi ja viesti on ollut sisällöltään seuraavanlainen:
”Koodi: XXXX [pankin] tekstiviestivahvistus.”
Rikolliset ovat asiakkaan pankkitunnuksilla ja pankin asiakkaalle 17.7.2023 klo 18.52 lähettämässä tekstiviestissä olleella koodilla aktivoineet käyttöönsä pankin tunnistussovelluksen omalle laitteelleen. Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen X nimi ja viesti on ollut sisällöltään seuraavanlainen:
”Aktivointikoodi [X]:lle. KÄYTÄ KOODIA VAIN [X]:N AKTIVOINTIIN. XXXX.”
Pankki on lähettänyt asiakkaalle vielä klo 18.54 seuraavanlaisen tekstiviestin:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi.
Pankki on lähettänyt asiakkaalle vielä klo 18.54-19.39 välisenä aikana viisi tekstiviestiä, jotka ovat sisällöltään ollut seuraavanlaisia:
”Koodi: XXXX [pankin] tekstiviestivahvistus.”
Em. tunnistussovellusta hyväksi käyttäen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja tehneet 18.7.2023 klo 19.16 – 19.7.2023 klo 03.09 välisenä aikana yhteismäärältään 123.985,68 euron oikeudettomat tilisiirrot ulkomaille sovelluksella vahvistaen. Kolme viimeistä klo 19.7.2023 klo 03.09 tehtyä maksua yhteisarvoltaan 24.901,00 euroa on palautettu asiakkaan tilille vahingon jäädessä näin olleen 99.084,68 euroon.
Em. tunnistussovellus on suljettu 19.7.2023.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan aiheutuneen lähes 100.000 euron vahingon.
Asiakkaan pankkitili hakkeroitiin rikollisten toimesta, minkä seurauksena kaikki asiakkaan eläkesäästöt hävisivät tililtä. Vaikkakin asiakas on ollut huolimaton, hän katsoo, että pankin päätös olla korvaamatta vahinkoa on täysin kohtuuton ja väärä.
Asiakas meni 17.7.2023 illalla verkkopankkiin tietokoneeltaan kotonaan maksaakseen laskuja käyttäen kooditaulukkoa ja puhelinvarmistusta. Prosessin aikana tuli puhelinvarmistuskoodi X-nimellä. Asiakas huomasi vasta jälkeenpäin, että viestin lähettäjä oli X eikä pankki. Tämän asiakas kuvitteli olevan lisävarmistus pankin taholta. Asiakas pääsi kirjautumaan internetkonttoriin. Asiakas sai 19.7.2023 klo 9.48 soiton pankista ja asiakkaalle kerrottiin tilin hakkeroimisesta.
Verkkopankkikäynnit ovat asiakkaalle rutiinimaisia tapahtumia. Inhimilliset tekijät astuvat kuvaan. Näitä tietysti rikolliset käyttävät hyväkseen. Pankin logo ja värit saavat kaiken näyttämään normaalilla. Asiakas on toiminut hyvässä uskossa, ei siinä päällimmäisenä silloin ole rikoksen mahdollisuus.
Asiakas pyytää selvittämään, onko pankki varoittanut valesivustoista ennakkoon riittävällä tavalla asiakkaita, ja myös, ovatko pankin järjestelmät riittävällä tavalla suojanneet asiakkaan tiliä aggressiiviselta hyökkäykseltä.
Asiakas on lainannut pankille noin 100 000 euroa, jota summaa pankki on voinut sijoittaa ja tehdä sillä tuottoa. Nyt pankki pesee kätensä vetoamalla verkkopankkisivuilla esitettyihin varoituksiin. Asiakas ei ole saanut asiaa koskevaa sähköpostia, kirjeitä saati puhelinsoittoja.
Kun normaalijärkinen suomalainen aikuinen operoi verkkopankkitilillään ilman epäilystä mahdollisesta huijauksesta ja kuitenkin tulee huijatuksi, osoittaa tämä jo sinällään järjestelmän haavoittuvuuden. Rikollisen toiminnan estämiseen ei ole panostettu riittävästi. Sähköpostissa asiakas saa pankin markkinanäkemyksiä säännöllisesti, mutta asiakas ei muista saaneensa varoitusviestejä huijareista saati että olisi kirjeitse varoitettu. Pankin ennakkoestävä toiminta vaikuttaa kehnolta ja vastuuttomalta.
Oudoksuttavaa on monitoroinnin eli seurannan puute. On täysin käsittämätöntä, että asiakkaan tililtä voi valua tuntemattomiin kohteisiin näin valtava summa rahaa ilman että turvamekanismit estäisivät tapahtuneen. Tämä vaikuttaa vakavalta laiminlyönniltä pankin taholta ja osoittaa kiistatta verkkopankin heikon turvallisuustason ja suojamekanismien puutteen. Asiakas katsoo pankin laiminlyöneen huolellisuusvelvoitteensa ja vastuunsa hyvin vakavalla tavalla.
Kuvaavaa pankin toimissa on se, että tapahtuneiden hakkerointien jälkeen pankki on havahtunut tekemään parannuksia omiin järjestelmiinsä. Se osoittaa, että asiakkaan tiliturvallisuus ei ole ollut riittävällä tasolla.
Pankin vastine
Pankki on tutkinut reklamaation kohteina olevat maksutapahtumat, ja selvityksestä käy ilmi, että asiakkaan yrittäessä kirjautua sisään pankin Internetkonttoriin 17.7.2023, klo 18.51 päätyi hän luultavasti pankin nimissä olevalle huijaussivustolle käyttäessään hakukonetta tai hänelle lähetettyä linkkiä. Selvityksestä käy myös ilmi, että asiakas käytti kirjautumisyrityksellään henkilökohtaista käyttäjätunnustaan, salasanaansa sekä tekstiviesteinä tulleita kertakäyttökoodeja.
Kaikki asiakkaan valituksen kohteena olevat tilisiirrot ovat tapahtuneet käyttämällä hänen nimissänsä olevaa X:ää. Syöttämällä huijaussivustolle X:n aktivointiin tarkoitettua kertakäyttökoodia, asiakas on mahdollistanut X:n aktivointia uudella laitteella. Koodi on lähetetty asiakkaalle tekstiviestitse 17.7.2023 klo 18.52: Aktivointikoodi [X]:lle. KÄYTÄ KOODIA VAIN [X]:n AKTIVOINTIIN. XXXX. Sekä tekstiviestin lähettäjä, että sisältö ovat poikenneet pankin aikaisemmin lähettäneistä tekstiviesteistä. Heti syötettyään tämän kertakäyttökoodin huijaussivustolle, asiakkaalle on lähetetty toinen tekstiviesti klo 18:54: ”[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.” Tämän viestin lähettäjä oli pankin nimi. Viimeistään tämän viestin yhteydessä pankki edellyttää asiakkaan huomaavan, että uusi toiminto on aktivoitu hänen nimissään, ja olemaan yhteydessä pankkiin tai sulkupalveluun. Asiakas ei kuitenkaan reagoinut tähän viestiin, ja kaikki valituksen kohteena olevat tilisiirrot voitiin tämän jälkeen hyväksyä aktivoidulla X:llä. Tämän viestin jälkeen asiakkaalle on tullut vielä 5 kertakäyttökoodeja sisältävää tekstiviestiä käyttäjältä [pankki].
Antaessaan tekstiviestinä X-nimiseltä lähettäjältä tulleen kertakäyttökoodin asiakas mahdollisti X:n aktivoimisen. Näin aktivoidulla X:llä voitiin hyväksyä kaikki valituksen kohteina olevat maksutapahtumat. X-sovellus on suljettu heti kun tilitapahtumat tulivat pankin tietoon 19.7.2023.
Pankki edellyttää asiakkaan huomaavan, jos tekstiviestin lähettäjä ja sisältö poikkeavat aiemmin pankilta tulleista tekstiviesteistä pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Asiakkaan kirjautumisyrityksen yhteydessä 17.7.2023 asiakas sai yhteensä kahdeksan (8) tekstiviestiä. Sekä tekstiviestien sisältö että lähettäjä eroavat toisistaan, ja toisen tekstiviestin tekstistä käy selvästi ilmi, että asiakas aktivoi toiminnon tällä kertakäyttökoodilla. Tämän lisäksi asiakas sai vielä erillisen tekstiviestin, jossa kerrotaan, että X:si aktivoituu 24 tunnin kuluttua ja kehotetaan soittamaan sulkupalveluun, mikäli et ole itse aktivoinut X:ää. Tämän olisi pitänyt herättää asiakkaan huomio, koska tekstiviestit lähetettiin vain yhden minuutin välein asiakkaan matkapuhelimeen.
Pankin Digitaalisten palvelujen yleisten ehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Yleisten ehtojen mukaan asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
Pankki on julkaissut syksystä 2022 lähtien tietoa tietojenkalastelusta pankin nimissä sekä verkkosivustollaan että pankin Internetkonttorin kirjautumissivulla. Sen lisäksi pankki on lähettänyt syksystä 2022 alkaen asiakkaidensa Internetkonttoreihin viestin, jossa on turvallisuusohjeita koskien sisäänkirjautumista Internetkonttoriin. Viestistä käy selvästi ilmi, että pankin Internetkonttoriin tulee kirjautua osoitteen www.[pankki].fi kautta, ja että hakukoneen, kuten Googlen tai Bingin, käyttö voi johtaa sinut huijaussivustolle.
Yllä mainitun perusteella pankki katsoo asiakkaan laiminlyöneen digitaalisten palvelujen yleisten ehtojen mukaiset velvollisuutensa menettelyllään kirjautuessaan sisään Internetkonttoriin siinä määrin, että asiakkaan voidaan katsoa menetelleen välinpitämättömästi syöttäessään digitaalisen allekirjoituksensa ja siten menetelleen törkeän huolimattomasti. Tästä syystä pankki ei katso olevansa korvausvelvollinen valituksen kohteina olevista tapahtumista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 19.7.2023)
- Digitaalisten palvelujen yleiset ehdot
- Tilisiirtoja koskevia kuitteja
- Kuvia pankin Internetkonttorin kirjautumissivulla julkaistuista tiedoista
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätää
rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:<
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Yleistä -kohdan mukaan
"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla. Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[…]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."
Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan
”Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helpos tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”
Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti
[…]"
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa riidattomaksi, että kun asiakkaan tarkoituksena 17.7.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Lautakunta katsoo asiassa jääneen epäselväksi, miten asiakas on päätynyt em. valesivuille, mutta lautakunta pitää todennäköisenä, että tämä on tapahtunut hakukoneen käyttämisen seurauksena.
Tavanomaiseen verkkopankkiin kirjautumisen tapaan asiakas on käyttänyt verkkopankkiin kirjautuakseen käyttäjätunnustaan, salasanaansa, valesivuilla kirjautumista varten pyydettyä lukua tunnuslukutaulukostaan sekä pankin asiakkaan puhelinnumeroon klo 18.51 tekstiviestitse lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi ja viestin sisältö on ollut seuraavanlainen:
”Koodi xxxx Pankin tekstiviestivahvistus.”
Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 17.7.2023 klo 18.52 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
”Aktivointikoodi [X]:lle. KÄYTÄ KOODIA VAIN [X]:N AKTIVOINTIIN. XXXX.”
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt [X].
Pankkilautakunta katsoo asiassa riidattomaksi, että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin em. pankin verkkosivuilta näyttäneille valesivuille. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen.
Pankki on lähettänyt asiakkaalle vielä toisen tekstiviestin klo 18.54:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X]:tä, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Tämän tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi.
Pian em. viestien perään pankki on lähettänyt asiakkaalle vielä kaksi tekstiviestiä lähettäjätietonaan pankin nimi klo 18.54 ja klo 18.57 verkkopankkiin sisäänkirjautumista varten ja asiakkaan mukaan hän pääsi verkkopankkiinsa. Pankkilautakunta katsoo todennäköiseksi, että asiakas on valesivuilla tapahtuneen kirjautumisyrityksensä jälkeen päätynyt pankin oikeille verkkosivuille, joilla asioimiseen em. viimeisimmät pankin tekstiviestit ovat liittyneet. Tapauksessa on jäänyt epäselväksi, millä tavalla asiakas on päätynyt rikollisten luomilta valesivuilta oikeille pankin verkkosivuille, mutta lautakunta pitää mahdollisena, että valesivut ovat ohjanneet asiakkaan eteenpäin pankin oikeille sivuille sen jälkeen kun rikolliset ovat saaneet tavoittelemansa pankkitunnus- ja aktivointikooditiedot tietoonsa valesivujen kautta.
Pankin tunnistussovellus X:n aktivoiduttua seuraavana päivänä rikolliset ovat kirjautuneet asiakkaan verkkopankkiin sovelluksella vahvistaen ja vahvistaneet tunnistussovelluksella 18.7.2023 klo 19.16 – 19.7.2023 klo 03.09 välisenä aikana riidanalaiset tilisiirrot ulkomaille.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.
Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.
Vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista huijauksista ja myös hakukoneen käyttämisestä, Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan koodin sisältäneen tekstiviestin jälkeen X:n aktivointikoodin sisältäneen tekstiviestin X-nimiseltä lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Asiakkaan mukaan prosessin aikana tuli puhelinvarmistuskoodi X-nimellä, mutta hän huomasi vasta jälkeenpäin, että viestin lähettäjä oli X eikä pankki. Viestin asiakas kuvitteli olevan lisävarmistus pankin taholta ja hän pääsi kirjautumaan internetkonttoriin.
Pankkilautakunta katsoo olevan tavanomaista, että pankin verkkopalveluja käytettäessä tavanomaisten vahvistusten lisäksi pankki voi edellyttää toimenpiteiltä lisävahvistuksia. Tämän vuoksi lautakunta katsoo myös, ettei yksinomaan se, että asiakas ei ole em. kahden pankin tekstiviestin saamisen johdosta ymmärtänyt epäillä asiointinsa asianmukaisuutta osoita, että hän olisi menetellyt huolimattomasti pankkitunnuksiaan käyttäessään. Sen sijaan Pankkilautakunta katsoo, että huolellisesti toimiessaan asiakkaan olisi tullut kiinnittää huomiota viestien lähettäjätietoihin ja viestien sisältöihin.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olevan muotoilultaan suppea ja informaatioarvoltaan heikko ja edelleen selvitetyksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on olettanut tekstiviestitse saamansa koodin olevan verkkopankkiin kirjautumista koskeva lisävahvistus. Aktivointikoodi-tekstiviestin puutteista huolimatta se eroaa pituudeltaan tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä eikä siinä mainita lisävahvistusta taikka kirjautumista. Lisäksi viestin lähettäjätietona asiakkaan puhelimessa on ollut pankin nimen sijaan X ja siinä todetaan isoin kirjaimin, että viestissä olevaa koodia käytetään vain X:n aktivointiin. Asiakkaan syötettyä viestissä olleen aktivointikoodin kiinnittämättä huomiota em. seikkoihin tekstiviestissä Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan.
Pankki on noin 3 minuuttia em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle toisen tekstiviestin, jossa pankki kertoo X:n aktivoituvan 24 tunnin kuluttua ja pyytää poistamaan X:n tai soittamaan sulkupalveluun, jos ei ole itse aktivoinut X:ää. Asiakas ei kommentoinut tätä pankin lähettämää viestiä millään tavoin.
Pankkilautakunta on vastaavanlaisessa verkkourkintatapauksessa FINE-049807 antamassaan ratkaisusuositussaan katsonut pankin tunnistussovelluksen aktivoitumisesta kertoneen tekstiviestin osalta, että vaikka huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit, ei huolellisenkaan pankkitunnustenhaltijan voida edellyttää seuraavan jatkuvasti puhelintaan ja lukevan kaikki vastaanottamansa pankin viestit välittömästi, mikäli hän ei ole tunnuksiaan juuri käyttämässä.
Tässä tapauksessa Pankkilautakunta kuitenkin katsoo heti verkkourkinnan jälkeen asiakkaan pankin oikeilla verkkosivuilla jatkunut asiointi huomioon ottaen, että asiakkaan olisi huolellisesti toimiessaan tullut huomata myös pankin nimellä olleeseen viestiketjuun 17.7.2023 klo 18.54 tullut X:n aktivoitumisesta kertova tekstiviesti. Toisin kuin tapauksessa FINE-049807 tässä tapauksessa tunnistussovellus on aktivoitunut tekstiviestissä kerrotun mukaisesti vasta 24 tunnin kuluttua em. viestin lähettämisen jälkeen ja sovelluksen oikeudeton käyttö on tapahtunut yli vuorokauden jälkeen viestin vastaanottamisesta, ja näin ollen on ilmeistä, että asiassa tapahtuneelta vahingolta olisi vältytty, mikäli asiakas olisi viestissä olleen ohjeen mukaisesti esimerkiksi ollut yhteydessä sulkupalveluun. Asiakkaan jätettyä huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.
Ottaen kuitenkin huomioon, että asiakas on itse käyttänyt pankin digitaalisia palveluita tietokoneeltaan ja paperista tunnuslukutaulukkoa käyttäen ja hänen asiointinsa on jatkunut onnistuneesti pankin oikeassa verkkopankissa, lautakunta katsoo, ettei asiakkaan menettely edellä todetusta huolimatta kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittaen. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50
euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja J. Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen