Haku

FINE-068552

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-068552 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.03.2024

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Kun asiakkaan tarkoituksena 11.11.2022 on ollut hakeutua verkkoselaimessa pankin verkkosivuille ja kirjautua verkkopankkiinsa, on hän hakukoneen kautta päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt pankkitunnuksiaan kirjautuakseen pankin verkkopalveluun ja joutunut näin verkkourkinnan uhriksi.

Rikolliset ovat asiakkaan pankkitunnuksilla ja pankin asiakkaalle 11.11.2022 klo 16.12 lähettämässä tekstiviestissä olleella koodilla aktivoineet käyttöönsä pankin tunnistussovelluksen omalle laitteelleen. Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X ja viesti on ollut sisällöltään seuraavanlainen:
"Kod. 4491 Du aktiverar funktionen med denna engångskod"

Em. tunnistussovellusta hyväksi käyttäen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja tehneet 14.-15.11.2022 sovelluksella vahvistaen oikeudettomia tilisiirtoja asiakkaan tileiltä ja tileiltä, joiden käyttöoikeus asiakkaalla oli. Oikeudettomia tilisiirtoja ulkomaille on tehty yhteensä 128.090,00 euron määrästä. Varoista on saatu palautettua 16.530,63 euroa vahingon jäädessä näin ollen 111.559,37 euroon.

Asiakas huomasi tapahtuneen kirjauduttuaan 20.11.2022 verkkopankkiinsa ja soitti pankkiin sulkeakseen tilit.

Asiakkaan valitus

Tapahtumainkuvaus

Asiakas on 11.11.2022 vapaa-ajan asunnollaan ollessaan yrittänyt kirjautua kiinteällä PC:Ilä verkkopankkiinsa tarkoituksenaan selvittää, oliko hänen tilillään riittävä saldo ison laskun maksamiseksi. Bing-hakukoneen ensimmäinen ehdotus oli www-[pankki].com. Osoite muistuttaa erehdyttävästi pankin omaa url-osoitetta www.[pankki].com, joka pankilla on osoitteen www.[pankki].fi ohella käytössään. Sivun sisältö oli täysin identtinen pankin omien sivujen kanssa.

Sekä väärennetyillä sivuilla että pankin oikeilla sivuilla suositeltiin mobiilipankin X:n käyttöönottoa. Asiakas oli jo harkinnut tällaista X-mobiilipankin käyttöönottoa ja nyt kun verkkosivu jälleen kerran rohkaisi siirtymään mobiilipankin käyttöön ja tarjosi helpon opastuksen siihen, hän päätti aktivoida mobiilipankin "pankkiasioinnin helpottamiseksi ja tietoturvan parantamiseksi" kuten pankki asiaa mainosti.

Asiakas näppäili käyttäjätunnuksensa, salasanansa ja tunnuslukutaulukosta seuraavan tunnusluvun kuten aikaisemminkin, minkä jälkeen pankki lähetti hänelle matkapuhelimeen tekstiviestinä klo 16.11 tekstiviestikoodin, jonka hän myös näppäili sille varattuun paikkaan. Tässä tekstiviestissä luki:
"Kod: 9454 [bankens] SMS-verifiering"
Heti tämän jälkeen klo 16.12 hän sai uuden tekstiviestikoodin, jonka asiakas näppäili sille varattuun paikkaan. Tekstiviestissä, jonka lähettäjäksi oli merkitty X, oli teksti:
"Kod: 4491 Du aktiverar funktionen med denna engångskod"
Heti perään klo 16:13 asiakkaan puhelimeen lähetettiin X:stä uusi samansisältöinen tekstiviesti koodilla 1392, jonka X myös näppäili sivulle.

Ensimmäisen viestin lähettäjä oli siis "[pankki]” ja kahden jälkimmäisen viestin lähettäjä oli mobiilipankin käyttöönoton jälkeen "X". Asiakas ei voinut mieltää, että asiassa olisi ollut jotakin poikkeavaa tai virheellistä varsinkin, kun hän oli nimenomaan yrittämässä aktivoida pankin X-nimistä mobiilipankkisovellusta. Huomionarvoista kuitenkin on, että sen enempää osoitteesta [pankki] kuin X lähetetyissä tekstiviesteissä ei ollut minkäänlaista varoitusta tai ilmoitusta siitä, että pankin X-sovellus on juuri otettu käyttöön. Olisihan asiakas silloin voinut havaita, että mobiilisovellusta ei ollut aktivoitu hänen kädessään olevaan mobiilipuhelimeen, jolloin hän ilman muuta olisi heti ottanut pankkiin yhteyttä (vrt. FINE-058608).

Tämän jälkeen asiakas yritti vielä kirjautua verkkopankkiin selvittämään, oliko hänen tilillään riittävää saldoa tulevien laskuihin, mutta kirjautuminen ei enää onnistunut. Parin yrityksen jälkeen hän jätti asian sikseen, koska oli lähdössä mökiltään. Mökin nettiyhteys muodostetaan matkapuhelimen kautta ja yhteys on joskus liian heikko ja asiakas oletti, että kirjautumisen epäonnistuminen johtui huonosta nettiyhteydestä, eikä hänelle tullut mieleenkään, että olisi juuri joutunut verkkokalastelun kohteeksi.

Asiakas kirjautui verkkopankkiin sairastumisen vuoksi vasta 20.11.2022 ja huomasi, että hänen omat tilinsä sekä muutkin viisi tiliä, joihin hänellä oli käyttöoikeus, oli tyhjennetty. Asiakas soitti välittömästi pankkiin eikä laiminlyönyt ilman aiheetonta viivytystä ilmoittaa pankille havaitsemastaan tilivarojen oikeudettomasta käytöstä.

Y-seura ry:n kahdella tilillä, joilla oli yhteensä hieman yli 124.100 euron saldo, oli tilikohtainen nostoraja 15.000€/päivä, jota asiakkaalla ei ole yhdistyksen sääntöjen ja pankin ehtojen mukaan oikeutta edes yksin muuttaa. Asetettu nostoraja ei kuitenkaan estänyt rikollisia tyhjentämästä kumpaakin tiliä jo yhden päivän aikana. Asiakkaan hallinnassa olleet tilit olivat kaikki yhden yhteisen sisäänkirjautumisen takana, ja pankilla oli käytössä ns. omasiirto, jonka avulla tilin käyttöoikeuden haltija pystyy siirtämään hallitsemiltaan tileiltä varoja tililtä toiselle ilman nostorajoituksia. Tätä ominaisuutta hyväksikäyttämällä rikolliset pystyivät runsaan vuorokauden sisällä tyhjentämään seitsemän tilin käytännössä kaikki rahat.

Anastetut rahat siirrettiin 17:Ile eri tilille ulkomaisiin pankkeihin. Siirrot, yhteismäärältään 128.090 euroa, olivat isoja, keskimäärin 7.535 e/siirto vaihdellen 2.300-9.800 euron välillä, eli yksittäiset siirrot olivat täysin poikkeuksellisia asiakkaan tilien aikaisempaan ja vakiintuneeseen rahaliikenteeseen nähden.

Jos asiakas olisi tiennyt, että yhdistysten nostorajoja (10.000–15.000 e/tili) voi omasiirtojen avulla kiertää ilman minkäänlaista nostorajaa, hän olisi huolehtinut siitä ettei yksityistilin nostoraja olisi ollut niinkin korkea kuin 60.000 euroa. Hän piti näin isoa nostorajaa lähinnä teoreettisena, koska tili toimi asiakkaan käyttötilinä, jossa saldo vaihteli 100-5.000 euron välillä. Sen sijaan rikolliset tiesivät, että he pystyivät tarvittaessa helposti muuttamaan yksityistilien nostorajoja. Pankki ei ollut 30 vuoden ajan varoittanut hakijaa tällaisista vaaroista. Pankin tuolloin käyttämä systeemi oli luvattoman haavoittuva ja mahdollisti aivan liian helposti rikoksen onnistumisen.

Pankin vastaus ei asiakkaan käsityksen mukaan vastaa todellisuutta eikä tapahtumainkulkua. Asiakas katsoo, että pankin ala-arvoinen tietoturva on mahdollistanut pankkitilien tyhjentämisen ja sen, että asiakas on itse joutunut vaaraan syyllistyä rikokseen, koska mm. toisten tilinhaltijoiden varoja on ensin siirretty hänen henkilökohtaiselle tililleen.

Asiakkaan käsitys asiasta

Asiakas katsoo, että hän ei ole ollut huolimaton käyttäessään hakukonetta mennäkseen pankin sivustolle ja käyttäessään siellä tunnuksiaan niiden tavanomaisessa käyttötarkoituksessa. Sivuja ei voi normaalin pankkiasioinnin yhteydessä edes erottaa toisistaan sivujen ulkonäön tai toiminnallisuuden perusteella.

Asiakas on entinen KHT-tilintarkastaja, jolla on vankka kokemus isojenkin pörssiyritysten talousasioiden, IT-systeemien ja sisäisen kontrollin tarkastamisesta. Huijaussivu on ollut täysin identtinen pankin oman sivun kanssa, eikä pankki ole ollenkaan tai ainakaan riittävän nopeasti ryhtynyt minkäänlaisiin toimiin poistaakseen väärennetyn sivun internetistä.

Kun on kysymys mobiilipankin aktivoimisesta, on vastuuttoman huolimatonta antaa mobiilipankin avaajalle oikeus muuttaa asiakkaan puhelinnumeroa. Jos tällainen mahdollisuus kuitenkin annetaan, niin ennen uuden puhelinnumeron hyväksymistä ja voimaansaattamista pankin pitäisi ehdottomasti saada tilien oikealta käyttäjältä kaksivaiheisen 2FA-ehdot täyttävän tunnistautumisen. Tällaista asiakas ei ole tehdystä puhelinnumeromuutoksesta saanut. Pankki on kiistatta laiminlyönyt tarpeellisen tietoturvan ylläpitämisen, minkä vuoksi asiakas katsoo, että pankki on korvausvelvollinen hänelle aiheuttamastaan tai myötävaikuttamastaan vahingosta.

Asiakas ei ole luovuttanut pankkitunnuksiaan ja verkkopankkiaan toisen käyttöön, vaan ne on anastettu häneltä oikeudettomasti käyttäen hyväksi pankin riittämätöntä turvajärjestelmää. Pankin sisäinen valvonta ja tarkastus eivät täytä hyväksyttäviä turvallisuus- ja laatuvaatimuksia. Pankin perustehtävä, asiakkaitten talletusten turvallinen säilyttäminen pankkitilillä, on täysin laiminlyöty. Pankki on itsekin tunnistanut tietoturvansa puutteellisuuden, koska se on asiakkaan käsityksen mukaan tammikuussa 2023 muuttanut käytäntöään niin, että mobiilisovelluksen avaamisen yhteydessä pankkiasiakkaan omaa puhelinnumeroa ei voi enää muuttaa X:n aktivoinnin yhteydessä, vaan se pitää tehdä omassa profiilissa.

Finanssivalvonta korostaa tietoturvallisuutta ja edellyttää, että luottolaitoksella on oltava riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Luottolaitokselta edellytetään myös häiriötilanteissa aiheutuvien vahinkojen rajoittamista. Myös luottolaitoslaki edellyttää, että luottolaitoksella on oltava menetelmät operatiivisten riskien tunnistamiseksi, arvioimiseksi ja hallitsemiseksi sekä riittävät, turvalliset ja toimintavarmat maksu-, arvopaperi- ja muut tietojärjestelmät. Tässä tapauksessa näin ei ole ollut ja pankki näyttää sälyttävän oman järjestelmänsä puutteet sekä heikon tietoturvan asiakkaan vastuulle. Pankin järjestelmä ei millään tavalla puuttunut aikaisempaan tilien käyttämiseen verrattuna täysin epätavallisiin nostorajojen korottamiseen, tilisiirtojen lukumäärään ja suuruuteen sekä kohteisiin ulkomaisille tileille. Pankilla olisi ollut oikeus keskeyttää toimet tai vähintään vaatia niille lisävahvistusta oikealta käyttäjältä.

Yhteenveto

Asiakas on pankkitunnusten haltijana toiminut riittävän huolellisesti, eikä hän ole laiminlyönyt maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan. Tekstiviestien lähettäjien koodimerkintöjä ei tavallinen pankkiasiakas voi ilman erityistä opastusta edes luokitella vilpillisiksi tai ei-vilpillisiksi, eikä tällaista velvollisuutta voida pankkipalveluiden käyttäjälle kohtuudella asettaa. Hakukoneen käyttäminen ei niin ikään voi johtaa huolimattomuuteen, koska hakukoneiden käyttäminen on täysin jokapäiväistä toimintaa verkkoympäristössä. Se, olisiko käyttäjän tullut havaita verkko-osoitteen pistettä muistuttavan merkin ero pisteestä, ei myöskään voi olla pelkästään palvelun käyttäjälle asetettu vaatimus. Suurin merkitys ja vaikutusmahdollisuus tällaisessa asiassa on pankilla, joka ammattimaisena toimijana on velvollinen tarjoamaan turvallisen ja käyttökelpoisen palvelun. Asiakkaan oma toiminta ei voi osoittaa millään objektiivisella arviointitavalla mitattuna ainakaan lievää suurempaa huolimattomuutta. Edellä kerrotun perusteella asiakas vaatii pankkia palauttamaan kokonaisuudessaan asiakkaan hallinnoimilta pankkitileiltä anastetut varat.

Pankin vastine

Pankki on tutkinut valituksen kohteina olevat maksutapahtumat, ja selvityksestä käy ilmi, että yrittäessään kirjautua sisään pankin Internetkonttoriin 11.11.2022 asiakas on luultavasti päätynyt pankin nimissä olevalle huijaussivustolle käyttäessään hakukonetta. Selvityksestä käy myös ilmi, että käytti kirjautumisyrityksen yhteydessä käyttäjätunnustaan, salasanaansa, tunnuslukuja tunnuslukutaulukosta sekä tekstiviesteinä tulleita kertakäyttökoodeja.

Osa tekstiviesteistä tuli lähettäjältä X. Näiden tekstiviestien sisältö oli: "Koodi: XXXX Aktivoit toiminnon tällä koodilla." Antaessaan nämä tekstiviesteinä X-nimiseltä lähettäjältä tulleita kertakäyttökoodeja sekä tunnuslukuja tunnuslukutaulukostaan, asiakas mahdollisti X:n aktivoimisen. Näin aktivoidulla X:llä voitiin hyväksyä kaikki valituksen kohteina olevat maksutapahtumat.

Pankin digitaalisten palvelujen yleisten ehtojen kohdan 1 mukaan yhteys Pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla. On asiakkaan vastuulla tarkistaa, että verkko-osoite vastaa pankin WWW-osoitetta, mikä käy ilmi digitaalisten palvelujen yleisistä ehdoista, erityisesti, jos käyttää hakukonetta ja valitsee linkin hakutulosten joukosta.

Pankki on julkaissut syksystä 2022 lähtien tietoa tietojenkalastelusta pankin nimissä sekä verkkosivustollaan että pankin Internetkonttorin kirjautumissivulla. Sen lisäksi pankki on lähettänyt syksyn 2022 aikana asiakkaidensa Internetkonttoreihin viestin, jossa on turvallisuusohjeita koskien sisäänkirjautumista Internetkonttoriin. Viestistä käy selvästi ilmi, että pankin Internetkonttoriin tulee kirjautua osoitteen www.[pankki].fi kautta, ja että hakukoneen, kuten Googlen tai Bingin, käyttö voi johtaa huijaussivustolle.

Käytettäessä digitaalista allekirjoitusta, joka vastaa asiakkaan omakätistä allekirjoitusta, asiakkaalta edellytetään aina huolellista toimintaa, ja digitaalisten palvelujen yleisissä ehdoissa asiakas sitoutuu suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään ja olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.

Pankki edellyttää asiakkaan huomaavan, jos tekstiviestin lähettäjä ja sisältö poikkeavat aiemmin pankilta tulleista tekstiviesteistä pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Kirjautumisyrityksensä yhteydessä asiakas vastaanotti kertakäyttökoodeja tekstiviestinä, jossa sekä lähettäjä että sisältö eroavat aikaisemmin lähetetyistä tekstiviesteistä sisäänkirjautumisen yhteydessä. Myös asiakkaan selvityksestä käy ilmi, että hän on yrittänyt aktivoida X:ää näillä koodeilla. Asiakas on siis ymmärtänyt, että X aktivoituu syöttämällä koodeja nettisivulle. Kun asiakas huomaa jotakin poikkeavaa kirjautuessaan sisään Internetkonttoriin, hänen tulee välittömästi ottaa yhteyttä pankkiin ja keskeyttää kirjautumisyritys.

Asiakas ei kuitenkaan ilmoittanut asiasta pankille, eikä myöskään tarkistanut asiaa seuraavien päivien aikana. Kaikki reklamoidut tilisiirrot tehtiin vasta 3 päivää myöhemmin, joten asiakkaalla olisi ollut tarpeeksi aikaa reagoida viesteihin, tarkistaa X:n aktivointia ja ilmoittaa pankille asiasta.

Edellä esitetyn perusteella pankki katsoo asiakkaan laiminlyöneen pankin digitaalisten palvelujen yleisten ehtojen mukaiset velvollisuutensa menettelyllään siinä määrin, ettei ehtojen ja maksupalvelulain 62 §:n mukainen korvausvelvollisuus koske valituksen kohteina olevia maksutapahtumia.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Digitaalisten palvelujen yleiset ehdot
- Kuva asiakkaan selaushistoriasta
- Kuvia pankin asiakkaalle lähettämistä tekstiviesteistä
- Kuva pankin verkkosivuilta ja valesivuilta
- Asiakkaan laatima yhteenveto tilitapahtumista
- Kuva pankin ohjeesta matkapuhelinnumeron valintaan
- Kaksi rikosilmoitusta
- Tiliote

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Yleistä -kohdan mukaan
"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[…]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."

Pankkitunnusehtojen Määritelmät -kohdan mukaan
”[…]
Kuluttaja on luonnollinen henkilö, joka solmii sopimuksen pääasiassa muuta kuin mahdollisesti harjoittamaansa elinkeinotoimintaa varten.
[…]”

Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan
”Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”

Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]"

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa riidattomaksi, että kun asiakkaan tarkoituksena 11.11.2022 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan sekä pankin asiakkaalle tekstiviestitse lähettämää koodia kirjautuakseen pankin verkkopalveluun. Pankki ei ole esittänyt selvitystä em. tekstiviestistä, mutta asiakkaan saamistaan tekstiviesteistä toimittaman kuvan perusteella hän on vastaanottanut em. tekstiviestin klo 16.11 ja viesti on ollut sisällöltään seuraavanlainen:
"Kod: 9454 [bankens] SMS-verifiering"

Rikolliset ovat valesivujen kautta tietoonsa päätyneillä tiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 11.11.2022 klo 16.12 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin. Pankki on esittänyt viestin olleen suomenkielinen, mutta asiakkaan saamistaan tekstiviesteistä toimittaman kuvan perusteella viesti on ollut ruotsinkielinen ja sisällöltään seuraavanlainen:
"Kod: 4491 Du aktiverar funktionen med denna engångskod"
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.

Pankkilautakunta katsoo asiassa riidattomaksi, että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin em. pankin verkkosivuilta näyttäneille valesivuille. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen.

Rikolliset ovat tämän jälkeen kirjautuneet asiakkaan verkkopankkiin pankin tunnistussovelluksella vahvistaen, tehneet verkkopankissa asiakkaan käytettävissä olevien tilien välisiä siirtoja ja vahvistaneet 14.-15.11.2022 välisenä aikana ulkomaille yhteensä 128.090,00 euron tilisiirrot, joista on saatu palautettua 16.530,63 euroa.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.

Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista huijauksista ja myös hakukoneen käyttämisestä, Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan koodin sisältäneen tekstiviestin jälkeen toisen tekstiviestin eri lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan mukaan hän kuitenkin nimenomaan yritti aktivoida käyttöönsä X-nimistä mobiilipankkisovellusta, jota sekä väärennetyillä että pankin oikeilla suositeltiin ottamaan käyttöön, ja jonka käyttöönottoon sivusto tarjosi helpon opastuksen.  Tämän vuoksi asiakas ei voinut mieltää, että asiassa ja siinä, että viestin lähettäjä oli X, olisi ollut jotakin poikkeavaa tai virheellistä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään ja mihin se kuuluisi syöttää.

Pankkilautakunta kiinnittääkin tässä tapauksessa erityistä huomiota pankin asiakkaalle lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen informaatioarvoon, ja siihen, ettei pankki viestissään tuo esiin, mitä toimintoa varten ja mihin viestissä ollut koodi tulisi syöttää. Pankkilautakunta katsookin, että asiakas on tässä tapauksessa voinut perustellusti käsittää, että pankin sovelluksen käyttöönottoa varten pankin lähettämä koodi on ollut tarkoitus syöttää pankin verkkosivuilla/verkkopalvelussa, jossa asiakas luuli asioivansa ja joilla tarjottiin helppo opastus mobiilipankin aktivoimiseen pankkiasioinnin helpottamiseksi ja tietoturvan parantamiseksi.

Tämän jälkeen asiakas yritti vielä kirjautua verkkopankkiin, mutta kirjautuminen ei enää onnistunut. Kertomansa mukaan asiakas oletti tämän johtuvan mökin huonosta nettiyhteydestä eikä hänelle tullut mieleenkään, että olisi juuri joutunut verkkokalastelun kohteeksi. Asiakas jätti asian sikseen ja kirjautui sairastumisen vuoksi seuraavan kerran verkkopankkiinsa vasta 20.11.2022. Asiakas on vedonnut myös siihen, ettei pankilta tullut minkäänlaista varoitusta tai ilmoitusta siitä, että pankin X-sovellus on otettu käyttöön.

Pankkilautakunta katsoo olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa esitetyn selvityksen perusteella katsoa olleen muutoinkaan erityistä syytä epäillä pankkitunnustensa vaarantuneen asiointinsa yhteydessä ja siten korostunutta syytä olla yhteydessä pankkiin tai sulkupalveluun ennen kuin hän on seuraavan kerran verkkopankkiinsa kirjautunut.

Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely pankkitunnustensa ja pankin lähettämien koodien käyttämisen sekä sulkuilmoituksen tekemisen suhteen kokonaisuutena arvioiden osoita hänen vakavaa varomattomuuttaan taikka piittaamatonta suhtautumista tunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin, eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä