Tapahtumatiedot
Asiakas on saanut 16.8.2022 klo 14.15 pankin nimissä lähetetyn tekstiviestin:
”[Pankki]: Korttisi on jäädytetty. Voit poistaa korttisi lukituksen kirjautumalla osoitteeseen https://tili-[pankki]-fi.com/”
Asiakas on asioinut tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankki on lähettänyt 16.8.2023 klo 14.34 asiakkaan puhelinnumeroon pankin tunnistussovelluksen käyttöönoton edellyttämän koodin sisältävän tekstiviestin, jossa on todettu seuraavaa:
”Read carefully! Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named [pankki]. To prevent fraud, continue only if you yourself have downloaded [pankki]'s mobile app and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code XXXXX only on [pankki]'s mobile app. Don't enter or give this code anywhere else, as that puts your personal information at risk. If you suspect a scam, call [pankki] Deactivation Service now. [pankki]"
Asiakkaan pankkitunnuksilla (käyttäjätunnus, salasana ja vaihtuva avainlukulistanumero) ja viestissä olevalla vahvistuskoodilla on otettu käyttöön asiakkaan nimiin pankin mobiilisovellus ja siinä oleva tunnistusväline uudella laitteella.
Tämän jälkeen em. mobiilisovelluksella on muutettu asiakkaan kortin turvarajoja 16.8.2023 klo 15.34 sekä vahvistettu klo 15.37 3.900 euron korttimaksu ja klo 15.43 2.050,00 euron korttimaksu. Klo 16.03 on vielä vahvistettu 92,00 euron tilisiirto, joka on kuitenkin palautunut asiakkaan tilille 21.8.2023.
Asiakas on sulkenut korttinsa ja verkkopankkitunnuksensa 16.8.2023 klo 15.51.
Asiakkaan valitus
Asiakas vaatii pankkia hyvittämään korttiluotolta tehdyn 5.950,00 euron suuruisen tilisiirron sekä toisen korttiluoton 167,00 euron suuruisen siirtokulun.
Tausta
Asiakas aloitti pankin kanssa asuntolainaneuvottelut 25.7.2023 ja myönteisen lainapäätöksen saatuaan hän päätti siirtyä pankin asiakkaaksi. Tilien avaaminen ja korttisopimukset tehtiin 4.8.2023. Pankin tunnistusvälineen käyttöönotto ei onnistunut ensimmäisellä asiakkaan saamalla koodilla. Pankista pyydettiin odottamaan vuorokausi ja yrittämään uudestaan. Silloin asiakas sai uuden koodin ja tunnistusvälineen avaaminen onnistui.
Tapahtumien kuvaus
Asiakas sai mielestään täysin uskottavan suomenkielisen viestin pankilta 16.8. klo 14.15:
”[Pankki]: Korttisi on jäädytetty. Voit poistaa korttisi lukituksen kirjautumalla osoitteeseen https://tili-[pankki]-fi.com/”
Asiakas kirjautui linkkiin poistaakseen korttiensa lukitukset. Poistaessaan lukituksia hän sai ilman otsikkoa pankin puhelinnumerosta englanninkielisen tekstiviestin klo 14.34. Kyseisestä puhelinnumerosta tuli myös aikaisemmat suomenkieliset viestit, jotka sisälsivät koodit mobiilipankin käyttöönottoa varten. Asiakas oli täydessä uskossa, että oli yhteydessä koko ajan pankin kanssa. Asiakas ymmärsi englanninkielisen viestin niin, että tämä koodi tarvitaan korttien lukituksen poistamiseen, ja lähetti sen edelleen. Asiakas ei ymmärtänyt englanninkielistä viestiä siten, että olisi ollut avaamassa pankin tunnistusvälinettä uudelle laitteelle.
Perustelut
Asiakas ei katso toimineensa asiassa törkeän huolimattomasti.
• Pankki on todennut, että pankki on väärinkäytöksien ehkäisemiseksi aktiivisesti varoittanut asiakkaitaan v. 2023 viidellä tiedotteella 9.1. - 28.7.2023. Asiakas tuli pankin asiakkaaksi 4.8.2023 eikä ole pankin tiedotteita voinut saada. Asiakas ei ole myöskään pankin seuraaja sosiaalisessa mediassa. Sopimuksia laadittaessa pankki ei nostanut missään vaiheessa esille, että nimenomaan pankin asiakkaisiin on kohdistunut useita aidolta näyttäviä huijausviestejä, ja että näihin kohdistuvat tiedotteet ovat esillä Tietoturvan uutisarkistossa.
• Pankin on todennut, että mikäli asiakas ei ole täysin ymmärtänyt englanninkielistä viestiä, olisi hänen pitänyt pidättäytyä koodin antamisesta. Asiakas ymmärsi viestin niin, että koodi pitää lähettää korttien lukituksen poistamiseksi. Jos viesti olisi ollut suomen kielellä, olisi hän varmasti ymmärtänyt sisällön oikein. Pankin järjestelmän pitäisi tällaisessa poikkeavassa tilanteessa reagoida, että jotain poikkeavaa on tapahtumassa. Näin vakavaseurauksisen viestin pitäisi aina tulla suomalaiselle kortinhaltijalle ensisijaisesti suomen kielellä.
• Asia on ratkaistu yleisellä tasolla ottamatta huomioon asiakasta koskevia erityisiä seikkoja. Maksupalvelulain 62 §:n erityisperusteluissa HE 132/217 todetaan, että vaikka maksupalvelun käyttäjän on tällöin katsottava olevan vastuussa sen henkilön toimista ja huolellisuudesta, jolle maksuväline on luovutettu, syy-yhteyden riittävyys esimerkiksi tilanteessa, jossa kolmas henkilö anastaa maksuvälineen viimeksi mainitulta ja käyttää maksuvälinettä oikeudettomasti, on arvioitava tapauskohtaisesti.
• Yhteenvetona asiakas katsoo, että pankki ei ole tiedottanut asiakkaalle uutena asiakkaana (2 viikkoa ennen huijausviestiä) nimenomaan pankkiin kohdistuvista huijausviesteistä, ratkaiseva pankin viesti oli englannin kielellä, eikä pankki ole arvioinut reklamaatiota tapauskohtaisesti.
Pankin vastine
Pankki kiistää asiakkaan vaatimuksen.
On yleisesti tiedossa, että tämänkaltaisia tietojen kalasteluhuijauksia kohdistuu kaikkien pankkien asiakkaisiin. Näin ollen sillä, että pankki ei ole erikseen tiedottanut asiakkaalle uutena asiakkaana nimenomaan pankkiin kohdistuvista huijausviesteistä, ei ole asiassa ratkaisevaa merkitystä.
Asiakas kertoo saaneensa tekstiviestin pankin nimissä ja kirjautuneensa viestissä olleesta linkistä, koska viestissä oli uskoteltu, että asiakkaan kortti on jäädytetty ja lukituksen voi poistaa kirjautumalla linkin kautta. Pankin tunnus- ja digisopimuksen ehtojen ensimmäisellä Tärkeää tietoa tunnuksistasi -sivulla sanotaan, että jos sinulle lähetetään linkki viestillä, älä kirjaudu tai anna tunnuksesi osia sen kautta. Tässä tapauksessa asiakas on luovuttanut huijaussivustolle tunnuksensa kaikki osat (käyttäjätunnus, salasana ja vaihtuva avainluku hallussaan olleelta fyysiseltä avainlukulistalta) ja näiden avulla ulkopuolinen on pystynyt aloittamaan pankin tunnistusvälineen aktivoinnin.
Pankki lähettää tunnistusvälineen aktivointipyynnön asiakkaalle sen laitteen kielikoodin mukaan, johon tunnistusvälinettä ollaan aktivoimassa. Normaalista asiointikielestä poikkeavana kielellä saapuvan viestin pitäisi nimenomaisesti herättää asiakkaan epäilyksen siitä, että on tapahtumassa jotain tavanomaisesta poikkeavaa.
Pankin asiakkaalle lähettämän tunnistusvälinen aktivointipyynnön sisällössä ei ole mitään korttiin tai sen lukitsemiseen/avaamiseen viittaavaa. Viestin sisältö ja asiakkaan normaalista asiointikielestä poikkeava kieli huomioiden on hänen menettelynsä katsottava olleen sellainen maksuvälineen haltijan vakava varomattomuus, jota maksupalvelulain sekä kortteja ja verkkopalvelua koskevien sopimusehtojen mukaisella törkeällä huolimattomuudella tarkoitetaan. Pankin lähettämät viestit tulee lukea huolella ennen viestissä olevien koodien syöttämistä. Mikäli asiakas ei ole varma mihin pankin tekstiviestitse toimittama koodi on tarkoitettu, ei koodia tule syöttää.
Asian ratkaisu on perustunut asiakkaan menettelyn huolellisuuden tapauskohtaiseen arviointiin. Keskeistä arvioinnin kannalta oli, että asiakas on syöttänyt pankin tunnuksensa kaikki osat (käyttäjätunnus, salasana ja luku avain-lukulistalta) tekstiviestillä saamansa linkin kautta sekä antanut suostumuksensa uuden tunnistusvälineen aktivoinnille syöttämällä tunnistusvälineen aktivointiin tarvittavan koodin huijaussivustolle vastoin viestissä ollutta ohjeistusta; aktivointikoodi tulee syöttää vain pankin mobiilisovellukseen ja vain siinä tapauksessa, että asiakas on itse tekemässä aktivointia.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus rikollisten asiakkaalle 16.8.2023 klo 14.15 lähettämästä tekstiviestistä
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kuluttajan asemassa olevan asiakkaan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin käyttötavat. Missä voi maksaa kortilla? -kohdan mukaan
Asiakas saa käyttää korttia ja luovuttaa hallussaan olevan Kortin tiedot vain näissä ehdoissa mainittuihin käyttötarkoituksiin.
Korttia voidaan käyttää käteisen nostoon, ostosten ja palveluiden maksamiseen tai rahan tallettamiseen korttiin liitetylle pankkitilille. Lisäksi Kortin tietoja voidaan käyttää ostosten ja palveluiden maksamiseen. Korttia saa käyttää vain pankki- tai luottotilillä olevien varojen tai myönnetyn luottorajan puitteissa.
[…]
Korttiehtojen Kortin tietojen käyttö etämaksamisessa -kohdan mukaan
Asiakas voi Kortin tiedoilla maksaa etämyynnissä ostamiaan tuotteita ja palveluita.
[…]
Asiakkaan tulee antaa Kortin tiedot vain turvalliseksi tietämilleen kolmansille palveluntarjoajille. […]
Käyttäessään Kortin tietoja asiakas on velvollinen noudattamaan [pankin] antamia ohjeita. Maksa turvallisesti verkossa -ohje on saatavilla tilipankin toimipakoissa [pankin] osoitteessa www.[pankki].fi. […]
Korttiehtojen Asiakkaan velvollisuudet -kohdan Kortista ja Kortin tiedoista huolehtiminen -alakohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.
[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internet-kauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan.
[…]
Korttiehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Kortin tai laitteen ja siihen tallennettujen Kortin tietojen katoamisesta, joutumisesta sivullisen haltuun, […] tai oikeudettomasta käytöstä on viipymättä ilmoitettava [pankille].
[…]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa op.fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
[…]
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
[…]
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.[Pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.
Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
[…]
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan mukaan [pankin] digitaalisten palveluiden käyttäminen -kohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
Voit tunnistautua [pankin] digitaalisiin palveluihin myös muulla [pankin] tarjoamalla tai [pankin] hyväksymällä Kolmannen osapuolen myöntämällä varmenteella tai tunnistusvälineellä. Jos Kolmannen osapuolen tarjoamaa varmennetta tai tunnistusvälinettä koskeva sopimus on tunnistusvälineen tai varmenteen säilyttämisen ja / tai käyttämisen osalta ristiriidassa [pankin] tunnus- ja digisopimuksen ehtojen kanssa, sovelletaan ensisijaisesti [pankin] tunnus- ja digisopimuksen ehtoja.
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. XXXXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.
Asian arviointi
Tapahtumienkulku
Pankki on esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset asiakkaan korttitietoja käyttäen tehdyt korttimaksut on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan ja korttitietonsa luullessaan asioivansa pankkinsa kanssa.
Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt 16.8.2023 klo 14.34 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen englanninkielisen tekstiviestin.
Asiakas on syöttänyt myös em. tekstiviestissä olleen koodin valesivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistusvälineen ja mobiilisovelluksen omalle laitteelleen.
Asiakkaan kortin tietoja käyttäen ja em. pankin tunnistusvälineellä vahvistaen on verkossa tehty asiakkaan korttiluotoilta siirtoja asiakkaan tilille ja ko. oikeudettomat korttimaksut 16.8.2023 klo 15.34–15.43 välisenä aikana. Asiakas on sulkenut korttinsa ja verkkopankkitunnuksensa 16.8.2023 klo 15.51.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään antamasta tunnuksia sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella taikka kirjautumasta pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti on näyttänyt tulleen pankilta. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Pankkilautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävä sivusto ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Asiakas on saadun selvityksen mukaan syöttänyt valesivustolle myös korttitietonsa. Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut jo tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta. Joka tapauksessa saatuaan tämän jälkeen tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi viimeistään tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä sulkupalveluun tai pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti mm., mitä tarkoitusta varten viestissä ollut koodi on ja mihin koodi tulee syöttää. Asiakkaan näkemyksen mukaan pankin vakavaseurauksisen viestin pitäisi tulla suomalaiselle kortinhaltijalle aina suomen kielellä, ja hän on vedonnut ymmärtäneensä englanninkielisen viestin niin, että koodi tarvitaan korttien lukituksen poistamiseen.
Pankkilautakunta katsoo, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, olisi hänen huolellisesti toimiessaan keskeytettävä asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta. Pankkilautakunta katsookin tässä tapauksessa, että asiakkaan olisi vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta.
Yhteenvetona Pankkilautakunta katsoo, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnustensa lisäksi pankin tekstiviestitse lähettämän koodin ymmärtämättä tekstiviestin sisältöä, on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Lopputulos
Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Laine
Punakivi,
Tervonen