Haku

FINE-067799

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-067799 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 22.10.2024

Miten vastuu asiakkaan verkkopankissa oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 12.9.2023 klo 15.32 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin tunnistussovellus. Em. tekstiviestissä on lukenut seuraavaa:
"ABYKM. Tietoturvavaroitus: Seuraava koodi syötetään aina puhelimessa tai tabletissa olevaan [pankin tunnistussovellus]-sovellukseen, ei ikinä internet-selaimeen! Jos et ole itse tekemässä [pankin tunnistussovellus]-sovelluksen käyttöönottoa mobiililaitteellasi, soita asiakaspalveluun xxx xxx xxxx. Ota käyttöön [pankin tunnistussovellus]-sovellus vahvistuskoodilla: 906835. [Pankki]."

Pankki on lähettänyt asiakkaalle vielä toisen tekstiviestin 12.9.2023 klo 15.32:
"Olet aktivoinut [pankin tunnistussovellus] -sovelluksen laitteellesi. Jos et ole ottanut sovellusta käyttöön, soita asiakaspalveluun xxx xxx xxxx. [Pankki]"

Em. tunnistussovelluksella vahvistaen asiakkaan tililtä on tehty kaksi oikeudetonta tilisiirtoa, 14.9.2023 klo 02.19 19 000,00 euroa ja klo 02.30 18 000,00 euroa, yhteensä 37 000,00 euroa.

Pankista on otettu asiakkaaseen yhteyttä 26.9.2023 em. epäilyttävistä tilitapahtumista.

Asiakkaan valitus

Asiakas vaatii pankkia ensisijaisesti korvaamaan oikeudettomasti siirretyt varat kokonaisuudessaan (vähennettynä mahdollisella omavastuuosuudella) ja toissijaisesti, että pankki korvaa varat osittain ottaen huomioon tapauksen kokonaisarviointi ja se, ettei asiakas ole millään tavalla toiminut asiassa tahallisesti tai törkeän huolimattomasti tai osoittanut piittaamattomuutta pankkiasioidensa hoidossa tai pankkitunnustensa käyttämisessä ja toisaalta pankki on osoittanut välinpitämättömyyttä asian selvittämisessä ja laiminlyönyt huolellisuusvelvoitteitaan.

Tapahtumatiedot

Pankista on otettu 26.9.2023 yhteyttä ja kerrottu pankin havainneen epäilyttäviä toimia ja tilitapahtumia 12.9. ja 14.9.2023. Asiakas ei ole siirtoja tehnyt. Kyseiset siirrot ovat vuosia jatkuneesta normaalista tilikäyttäytymisestä täysin poikkeavia. Tililtä ei ole koskaan siirretty isoja summia eikä tiliä ole koskaan käytetty keskellä yötä.

Pankin mukaan pankki on 12.9.2023 lähettänyt asiakkaalle kaksi tekstiviestiä. Asiakas on vakuuttunut siitä, ettei ole saanut kyseisiä viestejä. iPhoneissa poistetut viestit voidaan palauttaa 30 päivän sisällä. Asiakas on 10.10.2023 palauttanut kaikki poistetut viestit edeltävän 29 päivän ajalta eikä pankin viestejä löytynyt myöskään palautetuista viesteistä. Pankilta pyydettiin teknisiä lokitietoja viesteistä, mutta pankki ei ole palannut asiaan.

Asiakkaalle on puhelimen soittotietojen mukaan soitettu 12.9.2023 klo 14.21 numerosta +358 40 xxx xxxx. Puhelu on kestänyt alle yhden minuutin. Asiakas ei enää muista mikä tuo puhelu oli. Kun numeroon soitettiin tapahtumien tultua esille, numerosta tuli "tämä numero ei ole käytössä" (englanniksi).

Asiakkaan toiminnan huolellisuuden arviointi

Asiakas on aina säilyttänyt pankkitunnuksensa ja kaikki salasanansa huolellisesti kotona ja erillään toisistaan. Pankkitunnukset eivät ole joutuneet kolmannen haltuun. Asiakas ei ole saanut puhelimeen tai sähköpostiin linkkiä, jonka kautta olisi mennyt verkkopankkiin tai tunnistautunut verkkopankkitunnuksilla eikä hän käytä verkkopankkitunnuksia tunnistautumiseen muille sivuille. Asiakkaalla on kirjanmerkki pankin sivulle, mutta on voinut epähuomiossa käyttää hakukonetta. Tapahtuneesta oli yli kaksi viikkoa, kun sitä aloitettiin selvittämään, eikä asiakas muista enää päivän kulkua. Pankki ei ole kieltänyt verkkopalveluun menemistä hakukoneen kautta. Jos asiakas on hakeutunut verkkopankkiin hakukoneen kautta ja ohjattu sieltä valesivuille, asiakkaan ei voida katsoa huolimattomuudestaan laiminlyöneen velvollisuuksiaan.

Pankilta ei ole saatu muita tietoja tapahtumista kuin kahden tekstiviestin sisällön ja ajan. Viestit, jos ne ovat asiakkaan saavuttaneet, ovat 82-vuotiaalle mahdottomia ymmärtää etenkin, kun asiakas on aina käyttänyt tunnuslukulistoja, ei mobiilisovelluksia. Asiakas ei tiedä mikä on "[pankin tunnistussovellus]-sovellus", eikä pankki ole tällaista asiakkaalle käynyt läpi. Asiakas ei tunnista "internet-selain" -sanaa tai osaa erotella sitä "sovelluksesta", "verkkosivusta" tai "mobiilikäytöstä". Asiakas huolestuu aina saadessaan viestejä pankista, että on tehnyt jotain väärin ja menee verkkopankkiin valmiiksi hermostuneena ja voi tämän takia tehdä huolimattomuusvirheitä. Pankin pitäisi ymmärtää tai ainakin varmistaa soittamalla / henkilökohtaisella yhteydenotolla mitä on tapahtumassa, jos on kyse näin merkittävästä asiasta kuten kaikki oikeudet avaavasta mobiilisovelluksen käyttöönottamisesta.

Viestit eivät ole selkokielisiä ja asiakas on voinut ajatella niiden olevan verkkopankin vahvistuskoodeja. Myös klo 8-17 auki olevan normaalin asiakaspalvelun numeron liittäminen viestiin ei kerro asian vakavuudesta. Päinvastoin se antaa olettaa, että kyse on normaalista tilitoiminnasta.

Pankin huolenpitovelvollisuudesta ja pankin vastuusta

Pankki on ilmoittanut asiakkaalle tapahtuneesta yli kaksi viikkoa tapahtuneen jälkeen. Pankilla on puutteelliset valvonta- ja hälytysjärjestelmät. Pankin olisi pitänyt reagoida siihen, että joku yrittää kirjautua useita kertoja väärälle sivustolle. Tällöin siirtoja ei olisi tapahtunut. Yli kahden viikon kuluttua mahdollisuudet saada näitä rahoja kiinni tai takaisin ovat olennaisesti pienentyneet.

Asiakas on pelkästään tapahtumavuoden puolella käynyt pankin konttorilla 3-4 kertaa avaamassa lukkiutuneita verkkopankkitunnuksia, mikä lienee hyvin poikkeuksellista. Pankki on ollut tietoinen asiakkaan jatkuvista vaikeuksista sähköisten palveluiden käytössä. Pankilla on tällaisessa tilanteessa huolenpitovelvollisuutta asiakasta kohtaan ja pankilla oli aihetta epäillä, että pankkitunnusten turvallinen käyttö voi olla vaarantunut. Tästä huolimatta asiakkaalle ei ole tarjottu minkäänlaista apua tai koulutusta, eikä ole kerrottu riskeistä verkkopankin käytössä tai esimerkiksi hakukoneen käyttämiseen mahdollisesti liittyvistä riskeistä.

Finanssivalvonnan (FIVA) ohjeistuksen mukaan ja maksupalvelulain esitöiden mukaan pankin pitää antaa asiakkaille tietoja, opastaa asiakkaita palveluiden käytössä ja kertoa riskeistä. FIVA nimenomaan toteaa, että asiakkaita selkeästi ohjeistamalla voidaan paitsi poistaa riskejä ja vähentää onnistuneita nettihuijauksia, mutta sitä voidaan pankin puolelta käyttää myös vastuunrajauksen keinona. Useissa pankkilautakunnan ratkaisuissa pankki vetoaa siihen, että asiakkaalle on annettu ohjeita nettipankin käyttöön sekä tiedotettu turvallisuusuhista. Mitään tällaista ei kuitenkaan ole annettu nyt kyseessä olevassa tapauksessa.

Uusinta oikeuskäytäntöä pankkien velvollisuuksiin liittyen

Muutamassa viimeisimmässä verkkopankkihuijauksia koskevassa oikeustapauksessa tuomioistuin on päätynyt siihen, että pankkien varoitusviestit näissä tapauksissa eivät ole tarpeeksi selkeitä tavalliselle kuluttaja-asiakkaalle. Käräjäoikeudet ovat esimerkiksi tapauksissa L747/2022/1499 ja L729/2022/1416 todenneet, etteivät pankin lähettämät varoitusviestit ole kuluttajalle riittävän selkeitä, eikä asiakkaan näin ollen voida katsoa toimineen törkeän huolimattomasti. Tuomioiden mukaan viestiessä pitäisi nimenomaan vaan olla selkokielinen varoitus siitä, että joku ulkopuolinen voi tällä tavalla päästä käsiksi asiakkaan tiliin ja siirtää varoja. Jälkimmäisessä tuomiossa todettiin myös, että pankin olisi pitänyt reagoida täysin poikkeuksellisiin tilisiirtoihin. Pankeilla on tähän oikeus sopimusehtojensa mukaan. Samalla tavalla kuin nyt kyseessä olevassa tapauksessa.

Pankin selvityksistä, vastuusta ja näyttötaakasta

Pankilla täytyy olla selvitysvelvollisuus ja velvollisuus auttaa tapauksen ja tapahtumien selvittämisessä sekä näyttää toimineensa asianmukaisesti ja huolellisesti. Pankki on vastannut asiakkaan selvityspyyntöihin pankin prosessien olevan liikesalaisuuteen kuuluvia, mutta tekniset lokitiedot ja se, miten pankki on reagoinut havaitessaan asiakkaalla olevan vaikeuksia digitaalisten palveluiden kanssa ja miten asiakasta on autettu asiassa ei voi olla liikesalaisuus. Se, mitä faktisesti on pankin puolelta tapahtunut ja havaittu tapahtuneen 12.9. ja miksi pankki ei ole reagoinut tilisiirtoihin kuin kaksi viikkoa tapahtuneen jälkeen, ei myöskään liene liikesalaisuus.

Maksupalvelulain mukaan pankilla on näyttötaakka siitä, että asiakas on toiminut törkeän huolimattomasti. Kun pankin väite asiakkaan törkeästä huolimattomuudesta perustuu lähinnä näihin viesteihin, on erikoista, ettei pankilla olisi velvollisuutta näyttää lokitietojaan. Negatiivista asiaa ei voi näyttää toteen: asiakas ei voi todistaa "ettei ole saanut viestejä".

Pankki ei ole missään vaiheessa esittänyt teknisiä (järjestelmästä otettuja) lokitietoja, vaan listannut "lokitiedot" Word-dokumentille, mikä ei voine olla sellainen todiste, jolla todistustaakka kääntyisi kuluttajan puoleen.

Yhteenveto ja vaatimus

Maksupalvelunkäyttäjän mahdollisen huolimattomuuden arvioimisessa on otettava huomioon kaikki olosuhteet. Korkeimman oikeuden ratkaisukäytännössä kynnys menettelyn katsomiseksi törkeäksi huolimattomuudeksi on ollut korkealla. Törkeänä huolimattomuutena on pidetty sellaista toimintaa, joka on ollut lähellä tahallista menettelyä ja siten häikäilemätöntä ja välinpitämätöntä seurausten suhteen. Maksupalvelulain mukaan näyttötaakka törkeästä huolimattomuudesta on pankilla.

Asiakas ei ole toiminut asiassa tahallisesti tai törkeän huolimattomasti tai osoittanut piittaamattomuutta pankkiasioidensa hoidossa tai pankkitunnustensa käyttämisessä. Se, että ei ymmärrä jotain viestiä oikein tai ymmärrä terminologiaa, käyttää hakukonetta, jonka käyttö ei ole kielletty ei tee toiminnasta törkeän huolimatonta etenkin, kun asiakas ei ole harjaantunut digipalveluiden käyttäjä. Asiakkaan pankkitunnusehdoissa ei kielletä hakukoneen käyttöä eikä asiakasta ole pankin puolelta muutoinkaan ohjeistettu asiassa. Yleinen viesti pankin verkkosivuilla hakukoneen käytön riskeistä ei tule osaksi asiakkaan velvollisuuksia tai sopimusta pankin kanssa etenkään ikäihmisellä, joka ei käy aktiivisesti lukemassa pankin yleisiä uutisia verkossa. Pankin viestinnän on oltava yksiselitteistä ja kansantajuisia. Monille termit verkkopankki, nettipankki, mobiilipankki, Internet-selain, mobiilisovellus tarkoittavat kaikki yhtä ja samaa verkossa tapahtuvaa sähköistä pankkipalvelua eikä niiden erot ole millään tavalla selviä. Asiakkaan menettely osoittaa lähinnä kokemattomuutta mobiilipuolen palveluissa, minkä takia hän ei ole niitä käyttänytkään.

Pankki on omalla toiminnallaan osoittanut täydellistä välinpitämättömyyttä ja myötävaikuttanut vahingon tapahtumiseen ja suhtautumalla täysin välinpitämättömästi asiakkaalla havaitsemiinsa haasteisiin ja toisaalta jättänyt reagoimatta kun pankin järjestelmät ovat havainneet yritykset kirjautua huijaussivustoille.

Asiakas katsoo pankin olevan tapauksessa korvausvelvollinen riittämättömän ja tulkinnanvaraisen viestinnän sekä selkeästi liian vähäisten varotoimien ja ohjeiden vuoksi ja laiminlyömällä oman huolellisuus- ja huolenpitovelvollisuutensa asiakasta kohtaan.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset perusteettomina. Tilisiirrot, joita asiakas ei ole kertomansa mukaan tehnyt, on vahvistettu pankin tunnistussovelluksella, joka on rekisteröity 12.9.2023. Sovellus on klo 15.32 ladattu seuraavaan laitteeseen: SCG01 ja sovelluksen aktivoinnissa on käytetty asiakkaan henkilökohtaista käyttäjätunnusta, salasanaa ja avaintunnuskortin turvalukua. Sovelluksen aktivointi on vahvistettu lisävahvistuksella, joka on lähetetty asiakkaan puhelinnumeroon tekstiviestinä klo 15.32. Aktivoinnin jälkeen asiakkaalle on lähetetty aktivoinnista kertova tekstiviesti klo 15.32.

Asiakas on kertonut, että em. tekstiviestejä ei ole toimitettu hänelle, vaikka puhelinnumero onkin asiakkaan. Pankki toteaa, että lokitietojen mukaan viestit on onnistuneesti toimitettu asiakkaan puhelinnumeroon. Muita viestejä pankki ei ole lähettänyt asiakkaalle kyseisenä päivänä.

Pankki on yrittänyt selvittää asiakkaalta tapahtumankulkua kysymällä mm. mille sivustolle asiakas on kirjautunut ko. päivänä pankkitunnuksillaan. Asiakas on toimittanut kuvan, josta näkee millä sivustoilla asiakas on käynyt sinä päivänä kun tunnistussovellus on otettu käyttöön. Kuvasta käy ilmi, että asiakas on yrittänyt mennä pankin verkkopankkiin käyttämällä hakukonetta ja että asiakas on yrittänyt kirjautua verkkopankkiin huijaussivuston kautta.

Asiakkaan on täytynyt antaa huijaussivustolle käyttäjätunnuksensa, salasanansa, avaintunnuskortin turvaluvun sekä tekstiviestinä saadun lisävahvistuskoodin. Asiakkaan on siis täytynyt syöttää huijaussivustolle kaikki pankin tunnistussovelluksen lataamiseksi tarvittavat tiedot, mikä on mahdollistanut sen että rikollinen on pystynyt aktivoimaan pankin tunnistussovelluksen sekä tekemään tilisiirrot.

Elleivät tekstiviestit olisi saapuneet perille, myöskään viestin sisältämä vahvistuskoodi ei olisi tavoittanut asiakasta. Ilman viestin sisältämää vahvistuskoodia tunnistussovellusta ei ole mahdollista saada käyttöön. Viestin vastaanottamista puoltaa sekin, että uusi sovellus on rekisteröity heti tuon tekstiviestin lähettämisen jälkeen. Lokitiedoista käy myös ilmi, että asiakas on useita kertoja yrittänyt kirjautua toisen pankin verkkopankkiin pankin verkkopankkitunnuksilla.  

Asiakkaan edustajan väite pankin lokitietojen ristiriitaisuudesta ei pidä paikkaansa. Mikäli asiakas luovuttaa pankkitunnuksen osia kolmannelle henkilölle esimerkiksi puhelimitse tai huijaussivuston kautta, tästä ei jää lokimerkintää. Siinä vaiheessa kun pankin tunnistussovellus otetaan käyttöön ja asiakkaalle toimitetaan tekstiviesti sovelluksen käyttöönotosta syntyy lokimerkintä. Lokitietojen perusteella näyttää siltä, että tunnistussovellus on onnistuneesti otettu käyttöön, eikä pankki ole lokitietojen perusteella voinut tietää, että käyttöönottaja oli joku muu kuin asiakas.

Pankin lähettämän sovelluksen käyttöönottoa kertovan viestin sisältö kertoo selkeästi vahvistuskoodin liittyvän pankin tunnistussovelluksen käyttöönottoon. Tekstiviestissä kerrotaan selkeästi, että vahvistuskoodi syötetään aina puhelimessa tai tabletissa olevaan tunnistussovellukseen, eikä ikinä internet-selaimeen. Asiakkaan on kuitenkin täytynyt syöttää koodi huijaussivustolle, viestin nimenomaisen kiellon vastaisesti. Asiakas ei ole myöskään reagoinut pankin lähettämään toiseen viestiin, jossa asiakasta on informoitu siitä, että tunnistussovellus on aktivoitu. Samassa viestissä asiakasta on myös kehotettu ottamaan yhteyttä asiakaspalveluun, mikäli asiakas ei ole ottanut sovellusta käyttöön.

Yllä mainittujen viestien sisällöt ovat olleet selkeitä ja helposti ymmärrettäviä. Pankki katsoo, että asiakas ei ole kiinnittänyt riittävästi huomiota tekstiviestien sisältöihin. Asiakkaan olisi pitänyt ymmärtää olla syöttämättä vahvistuskoodi huijaussivustolle. Pankki viittaa maksupalvelulain 53 §:än sekä pankkitunnuksilla käytettävien palveluiden yleisiin ehtoihin ja katsoo, että asiakas on toiminut törkeän huolimattomasti.

Pankin toiminnasta

Pankki katsoo toimineensa asiassa lainsäädännön ja hyvän pankkitavan mukaisesti. Pankki on jatkuvasti omalla verkkosivuillaan ja sosiaalisessa mediassa tiedottanut erilaisista huijausmuodoista ja opastanut, miten pankin verkkopalveluja käytetään turvallisesti. Asiakas on käynyt useamman kerran konttorissa avaamassa lukkiutuneita verkkopankkitunnuksiaan viimeisen parin vuoden aikana. Silloin asiakkaan kanssa mm. käyty läpi verkkopankin käyttöä koskevia asioita. Asiakas on usein tapaamisissa toistanut, että hänen tyttärensä avustaa häntä tarvittaessa verkkopankin käytössä. Tapaamisissa ei ole syntynyt sellaista kuvaa, ettei asiakas pystyisi käyttämään pankkitunnuksiansa turvallisesti.  Tapaamisten aikana asiakas on aina ollut kykenevä toimimaan omatoimisesti, eikä ole ollut aihetta epäillä, ettei asiakas pysyisi käyttämään ja säilyttämään verkkopankkitunnuksiansa lainsäädännön ja pankin sopimusehtojen edellyttämällä tavalla. Tämän lisäksi pankki toteaa, että pankin toimihenkilön mahdollisuus arvioida asiakkaan kykyä käyttää verkkopankkitunnuksia on lyhyen asiakaskohtaamisen perusteella hyvin rajallinen.

Asiakkaan edustaja on lisäkirjelmässä vedonnut kahteen käräjäoikeuden antamiin päätöksiin. Kyseiset päätökset eivät ole lainvoimaisia, eivätkä ne siten ole relevantteja.

Pankki on tehnyt petosperusteisen maksunpalautuspyynnön heti kun selvisi, että asiakas ei ole tehnyt näitä tilisiirtoja itse. Maksunpalautuspyyntö on lähetty 26.9.2023 klo 11.14 vastaanottajapankille, joka on 19.12.2023 vastannut kielteisesti puuttuvien varojen takia. Pankki on asiassa toiminut niin nopeasti kuin mahdollista vahinkojen minimoimiseksi eikä ole voinut vaikuttaa siihen, missä aikataulussa vastaanottajapankki vastaa palautuspyyntöön.

Asiakas on myös esittänyt kysymyksiä liittyen pankin monitorointijärjestelmään. Pankki toteaa tässä yhteydessä, ettei pankki turvallisuus- ja liikesalaisuussyistä johtuen voi kommentoida niitä menettelyitä, joilla se monitoroi asiakkaidensa maksuliikennettä väärinkäytösten estämiseksi. Pankilla on käytössään vaatimusten ja markkinakäytännön mukaiset automaattiset monitorointiratkaisut.

Pankin näkemyksen mukaan asiakas on toiminut maksupalvelulain ja pankin yleisten ehtojen vastaisesti. Asiakas ei ole toiminut sillä tavalla mitä huolelliselta verkkopankkitunnusten haltijalta voidaan edellyttää ja asiakkaan menettely on ollut kokonaisuutena arvioiden törkeän huolimatonta. Tämän takia pankki ei katso olevansa korvausvelvollinen reklamoiduista tilisiirroista, vaan asiakas vastaa itse aiheutuneesta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuva asiakkaan selaushistoriasta
- Sähköisesti tehty rikosilmoitus
- Kuvia asiakkaan puhelimesta
- Pankin henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Lisäksi lautakunnan on arvioitava, onko pankki laiminlyönyt maksupalvelusääntelyyn tai sopimussuhteeseensa asiakkaan kanssa perustuvia velvollisuuksiaan asiassa tavalla, joka vaikuttaa asiakkaan ja pankin väliseen vastuunjakoon.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin henkilöasiakkaan pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten käyttämisestä verkkopalveluissa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Pankkitunnusten käyttäminen verkkopalveluissa -kohdan mukaan
Pankkitunnusten käyttäminen edellyttää, että asiakas ja pankki ovat sopineet tunnuksista verkkopankkisopimuksella. Henkilöasiakkaalle myönnetyt pankkitunnukset ovat myös vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuja tunnistusvälineitä, ellei toisin nimenomaisesti sovita.
Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit sitovat asiakasta sen jälkeen, kun ne on lähetetty pankille palvelussa edellytetyllä tavalla.

Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa toiselle henkilölle, ei edes perheenjäsenelle eikä myöskään erilliselle sovellukselle tai palvelulle, jota pankki ei ole hyväksynyt. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista. Yllä mainitusta poiketen asiakas voi käyttää pankkitunnuksia maksupalvelulaissa tarkoitettujen maksutoimeksianto- ja tilitietopalvelun tarjoajien tuottamien palveluiden toteuttamiseksi.
Asiakas sitoutuu säilyttämään pankkitunnukset huolellisesti ja tunnusten osat erillään toisistaan siten, ettei kenelläkään ole mahdollisuutta saada niitä tietoonsa tai käyttää niitä. Tunnusten kaikkia osia ei saa säilyttää samassa säilytyspaikassa, kuten lompakossa tai käsilaukussa. Asiakkaan on varmistettava säännöllisesti, että tunnukset ovat tallessa.

Pankkitunnusehtojen Ilmoitus pankkitunnusten katoamisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
"Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon.
Ilmoituksen voi tehdä pankin aukioloaikoina henkilökohtaisesti pankin toimipaikoissa tai puhelimitse pankin ilmoittamaan asiakaspalveluun. Pankin aukioloaikojen ulkopuolella ilmoitus tehdään tunnusten sulkupalvelun numeroon +358 xx xxx."

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt tapauksessa selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella todennäköiseksi, että kun asiakkaan tarkoituksena 12.9.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa.

Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 12.9.2023 klo 15.32 sovelluksensa käyttöönottoa koskevan aktivointikoodin sisältäneen tekstiviestin:
"ABYKM. Tietoturvavaroitus: Seuraava koodi syötetään aina puhelimessa tai tabletissa olevaan [pankin tunnistussovellus]-sovellukseen, ei ikinä internet-selaimeen! Jos et ole itse tekemässä [pankin tunnistussovellus]-sovelluksen käyttöönottoa mobiililaitteellasi, soita asiakaspalveluun xxx xxx xxxx. Ota käyttöön [pankin tunnistussovellus]-sovellus vahvistuskoodilla: 906835. [Pankki]."

Pankkilautakunta katsoo, että asiakkaan on täytynyt syöttää myös em. viestissä ollut vahvistuskoodi valesivuille. Rikolliset ovat koodin saatuaan aktivoineet pankin tunnistussovelluksen käyttöönsä, minkä seurauksena pankki on lähettänyt asiakkaalle vielä toisen tekstiviestin 12.9.2023 klo 15.32:
"Olet aktivoinut [pankin tunnistussovellus] -sovelluksen laitteellesi. Jos et ole ottanut sovellusta käyttöön, soita asiakaspalveluun xxx xxx xxxx. [Pankki]"

Em. tunnistussovelluksella vahvistaen asiakkaan tililtä on tehty kaksi oikeudetonta yhteisarvoltaan 37 000,00 euron tilisiirtoa 14.9.2023 klo 02.19 ja klo 02.30.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta. Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.

Pankkitunnusehdoissa ei määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Pankki on kertomansa mukaan verkkosivuillaan ja sosiaalisessa mediassa jatkuvasti tiedottanut erilaisista huijausmuodoista ja opastanut miten pankin verkkopalveluja käytetään turvallisesti. Pankin mukaan tapaamisissa asiakkaan kanssa on mm. käyty läpi verkkopankin käyttöä koskevia asioita. Pankki ei ole kuitenkaan esittänyt, että pankin asiakasta tai pankin asiakkaita ylipäänsä olisi varoitettu myös hakukoneen käyttämisen riskeistä.

Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan tekstiviestin sijaan pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti mm., mitä tarkoitusta varten viestissä ollut koodi on ja mihin koodi tulee syöttää. Viestissä myös kielletään syöttämästä koodia internetselaimeen ja pyydetään soittamaan pankin asiakaspalveluun, jos ei ole itse tekemässä tunnistussovelluksen käyttöönottoa mobiililaitteellaan.

Pankkilautakunta katsoo, että myös siinä tapauksessa, että asiakas ei olisi tekstiviestin sisällön perusteella ymmärtänyt, mihin pankin toimittama koodi on tarkoitettu, olisi hänen huolellisesti toimiessaan tullut ymmärtää keskeyttää asiointinsa ja jättää syöttämättä viestissä ollut koodi verkkosivuille. Mikäli asiakas olisi viestin saatuaan esimerkiksi viestissä olleen ohjeen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn tarkoitusta ja asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan syötettyä viestissä olleen koodin verkkosivuiille kiinnittämättä huomiota pankin lähettämän tekstiviestin sisältöön ja ohjeistukseen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla.

Pankki on em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle toisen tekstiviestin, jossa pankki kertoo pankin tunnistussovelluksen aktivoimisesta ja pyytää soittamaan pankin asiakaspalveluun, jos ei ole itse ottanut sovellusta käyttöön. Jälkimmäinen viesti on lähetetty minuutin sisällä edellisestä viestistä ja Pankkilautakunta katsoo, että asiakkaan asioinnin on täytynyt olla vielä kesken viestin saapuessa. Edelleen lautakunta katsoo, että asiakkaan on täytynyt huomata myös pankin lähettämä jälkimmäinen sovelluksen aktivoinnista kertova viesti, mutta hän on jättänyt viestin huomioimatta ja sen sisältöön reagoimatta tavalla, jota huolelliselta pankkitunnusten haltijalta voidaan edellyttää.

Tunnistussovelluksen oikeudeton käyttö on tapahtunut vasta yli vuorokauden päästä em. viestien vastaanottamisesta ja sovelluksen aktivoimisesta, ja näin ollen on ilmeistä, että asiassa aiheutuneelta vahingolta olisi vältytty, mikäli asiakas olisi viimeistään jälkimmäisessä viestissä olleen ohjeen mukaisesti ottanut yhteyttä pankkiin. Asiakkaan jätettyä tällä tavoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta asiakkaan menettelyn osoittavan selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin.

Asiassa saadun kokonaisselvityksen perusteella ja erityisesti edellä pankin tekstiviestien osalta todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan kokonaisuutena maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Pankin menettelystä

Asiakas on tapauksessa vedonnut pankin riittämättömään viestintään ja ohjeisiin sekä siihen, että pankki olisi laiminlyönyt oman huolellisuus- ja huolenpitovelvollisuutensa asiakasta kohtaan.

Osapuolten näkemykset siitä, miten asiakastapaamiset konttorissa ovat edenneet, poikkeavat olennaisesti toisistaan. Asian käsittely Pankkilautakunnassa on kirjallista eikä lautakunnan käytettävissä olevin menetelmin asiaan ole saatavissa lisäselvitystä. Pankkilautakunta katsoo asiassa jääneen näyttämättä, että pankki olisi näissä tapaamisissa laiminlyönyt velvollisuuksiaan asiakasta kohtaan.

Lisäksi asiakas on vedonnut siihen, että pankilla on puutteelliset valvonta- ja hälytysjärjestelmät. Kyseiset siirrot ovat asiakkaan normaalista tilikäyttäytymisestä täysin poikkeavia ja asiakkaan näkemyksen mukaan pankin olisi pitänyt reagoida niihin nopeammin. Asiakkaan näkemyksen mukaan pankin tulisi myös ottaa henkilökohtaisesti yhteyttä asiakkaaseen, jos mobiilisovellusta ollaan käyttöönottamassa.

Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole esimerkiksi estänyt ko. oikeudettomia maksuja tai reagoinut niihin muulla tavoin nyt tapahtunutta aiemmin. Lisäksi lautakunta toteaa ko. tunnistussovelluksen käyttöönoton tapahtuneen sääntelyn edellyttämällä tavalla asiakkaan vahvaa tunnistamista edellyttäen.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä