Haku

FINE-070210

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-070210 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 05.09.2024

Miten vastuu asiakkaan verkkopankissa ulkomaille tehdyistä oikeudettomista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on kertomansa mukaan saanut 11.7.2023 pankin nimissä lähetetyn sähköpostin, jonka mukaan asiakkaan tilillä on havaittu epäasialliselta vaikuttavaa toimintaa ja 10.000 euroa on menossa maksuun, ja että maksun voi peruuttaa viestissä olevasta linkistä. Asiakas on linkin kautta avautuneilla sivuilla käyttänyt pankkitunnuksiaan ja joutunut näin verkkourkinnan uhriksi.

Rikolliset ovat em. valesivujen kautta saamillaan tiedoilla kirjautuneet asiakkaan verkkopankkiin ja tehneet 11.7.2022 klo 13.24 ja 13.26 verkkopankissa asiakkaan tililtä kaksi 10.000,00 euron tilisiirtoa ulkomaille. Verkkopankkiin kirjautuminen ja em. ulkomaanmaksut on vahvistettu asiakkaan verkkopankkitunnusten avainlukulistan tietyillä kertakäyttöisillä avainluvuilla, joita vastaavat järjestysnumerot pankki on ilmoittanut asiakkaalle lähettämissään tekstiviesteissä klo 13.19 sekä klo 13.23 ja 13.25.

Asiakas on ollut yhteydessä pankin puhelinpalveluun ilmoittaakseen väärinkäytöstä ja asiakkaan tunnukset on suljettu 11.7.2023 klo 13.44.

Asiakkaan valitus

Asiakas vaati pankkia korvaamaan 20.000 euroa.

11.7.2023 asiakas antoi nettihuijauksessa linkin kautta salasanat huijatulle verkkopankin sivulle. Asiakkaan toiminta oli väärä, mutta taustalla oli monta pankin aiheuttamaa sekaannusta, joiden perusteella oli syytä uskoa huijarin varoitusta, että asiakkaan tili on vaarassa. Asiakas soitti heti pankkiin ja tehtiin tarvittavat toimet. Tapahtumassa ja asiakkaan menettelyissä ja sen taustoissa on monta seikkaa, joiden perusteella asiakas ei ole ainoa syyllinen huijaukseen ja huijauksen onnistumiseen.

Perustelut korvausvaatimukselle tiivistetysti

Pankki on toiminut huonosti, virheellisesti ja välinpitämättömästi asiakkaan tiliasioissa. Asiakas on joutunut korjaamaan ja vaatimaan korjauksia asioihin koko kevään ja alkukesän ajan. Kun huijaussähköposti tuli 11.7.2023, asiakkaalla oli täysi syy uskoa, että tiliasiat ovat edelleen sekaisin. Pankki aiheutti omilla osaamattomilla toimillaan ja virheillään äkkipaniikin, jonka vallassa asiakas yritti pelastaa rahansa hakkerilta. Säikähdyksissään asiakas klikkasi huijarin linkkiä, jossa "pankki" kehotti tarkistamaan tilanteen epäasiallisesta toiminnasta tilillä, mikä tapahtui syöttämällä verkkotunnukset. Huijausoperaatiossa on kysytty "haluanko peruuttaa 10 000 eur maksun", ja sen asiakas on hyväksynyt. Vasta kun 2 x 10.000 oli lähtenyt "maksuun", huijaussysteemi ilmoitti asian olevan selvä.

Huijaussähköposti tuli alle kuukausi siitä, kun asiakas oli ensimmäistä kertaa 15 vuoden aikana mennyt mobiilipankkiin ja tililleen. Asiakas uskoo, että pankin salassapitojärjestelmä ei toimi, vaan on vuotanut asiakkaan sähköpostiosoitteen ja tilitiedot huijarille. Asiakas ei usko pelkkään sattumaan, että saa elämänsä ensimmäisen ja ainoan pankin huijausviestin juuri kun on ensi kertaa käyttänyt verkko-/mobiilipankkia.

Asiakas ymmärtää pankin päätöksen perustelut ja pankin esittämät tekniset todisteet. Kuitenkaan asiakas ei voi tunnistaa saaneensa pankilta maksuvahvistusviestejä, joissa pyydetään vahvistamaan maksut jonkun tuntemattoman tilille. Pankin vahvistusviestit ovat asiakkaan näkemyksen mukaan korvautuneet huijarin viesteillä, mikä kertoo pankin verkkopankin haavoittuvuudesta.

Asiakas soitti täysin välittömästi huijaustapahtuman jälkeen pankkiin mentyään verkkopankkiin tietokoneella ja nähdessään 20.000 euroa kadonneen. Tunnukset suljettiin ja pankki teki rahoista takaisinlähetyspyynnön, mutta kaksi viikkoa myöhemmin asiakkaan asiasta kysyessä hän sai tiedon, ettei ole tullut takaisinmaksua.

Tili on hiljaiseloa elänyt kasvutuottotili, jolla olettaisi rahojen olevan paremmassa turvassa. Takaisinlähetyspyynnöllä ei ollut mitään tehoa eikä merkitystä. Pankilla ei ole siis mitään puskuritoimintoa, vaan rahat katoavat ei-käyttötileiltäkin silmänräpäyksessä.

Kun asiakas yritti luoda uuden mobiiliavaimen juuri saaman uuden käyttäjätunnuksen ja avainlukulistan avulla, osoittautui, ettei se ole mahdollista. Pankin mobiili ei siis toimi pankin olettamalla tavalla vaan siellä on turvaongelma. Absurdia myös on, että pankki syyttää asiassa asiakasta, mutta on myöhemmässä vaiheessa itse lähettänyt asiakkaalle ajanvaraukseen liittyvän tekstiviestin, joka on sisältänyt linkin.

Asiakas on hoitanut ongelmitta digipankkiasioita säännöllisesti 30 vuotta eikä ole vahvistanut 10 000 euron maksamista yhteen enkä kahteen kertaan tuntemattomalle saajalle, vaan valitettavasti näyttää siltä, että huijari on onnistunut korvaamaan pankin maksuvahvistusviestit omilla maksun peruutus viesteillään. Tätä tukee sekin em. ilmiö, että pankin mobiili ilmoittaa turvaongelmasta eikä suostu toimimaan. Pankin mobiili ja verkkopankki eivät siis toimi täydellisessä synkronissa, vaan systeemissä on vika.

Pankin vastine

Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Selvitys tapahtumasta

Pankin selvityksen mukaan asiakkaan tililtä on tehty kaksi 10 000 euron tilisiirtoa 11.7.2023 klo 13:24:50 ja 13:26:34. Tilisiirtojen saajan tili on PT50 xxxx xxxx xxxx xxxx xxxx x ja saajan nimi on Y.

Puhelinnumeroon, joka on ollut 28.3.2023 alkaen liitettynä asiakkaan tunnus- ja digisopimuksessa maksun lisävahvistukseen, on lähetetty pankin toimesta turvallisuussyistä seuraavat tekstiviestit:
11.7.2023 klo 13:19:00
"Olet kirjautumassa tunnuksillasi [pankin] verkkopalveluun. Vahvista kirjautuminen avainlukulistan 84. avainluvulla. [pankki]"
11.7.2023 klo 13:23:26
"Olet maksamassa 10 000 EUR tilille PT50 xxxx xxxx xxxx xxxx xxxx x. Vahvista maksu avainlukulistan järjestysnumeroa 173 vastaavalla avainluvulla. [pankki]"
11.7.2023 klo 13:25:22
"Olet maksamassa 10 000 EUR tilille PT50 xxxx xxxx xxxx xxxx xxxx. Vahvista maksu avainlukulistan järjestysnumeroa 73 vastaavalla avainluvulla. [pankki]"

Pankin selvityksen mukaan kirjautuminen verkkopalveluun ja tilisiirrot on vahvistettu pyydetyillä avainlukulistan numeroilla, joten asiakkaan verkkopalveluun kirjautuneella ja maksut tehneellä henkilöllä on täytynyt olla tiedossaan asiakkaan tunnusten kaikki osat eli käyttäjätunnus, salasana ja pankin vahvistustekstiviesteissä pyydetyt avainlukulistan avainluvut. Avainlukulistan numerot löytyvät ainoastaan asiakkaan hallussa olleesta paperisesta avainlukulistasta eli muuta mahdollisuutta kuin se, että asiakas on ne luovuttanut, ei ole. Kirjautuminen pankin verkkopalveluun ja tilisiirrot on vahvistettu käyttäen vahvaa sähköistä tunnistamista.

Syöttäessään tunnuksensa eli käyttäjätunnuksen, salasanan ja kirjautumisen vahvistamiseen vaadittavan avainlukulistan numeron huijaussivustolle, on ulkopuolinen taho saanut haltuunsa asiakkaan tunnusten kaikki osat ja on voinut kirjautua niillä aitoon pankin verkkopalveluun. Kirjautumalla aitoon pankin verkkopalveluun, ulkopuolinen taho on päässyt näkemään mm., kuinka paljon asiakkaan tilillä on varoja ja on voinut sen mukaisesti määrittää, minkä suuruisia tilisiirtoja laittaa odottamaan maksun vahvistamista.

Maksujen vahvistaminen on vaatinut lisävahvistuksen, eli asiakkaan lisävahvistusnumeroon on lähetetty pankin toimesta tekstiviestillä edellä mainitut vahvistuspyynnöt, joissa on kerrottu paperista avainlukulistaa vastaavat koodit, joilla maksut voi vahvistaa. Ilman näitä avainlukuja maksut eivät olisi toteutuneet. Asiakas on ollut yhteydessä pankin puhelinpalveluun ilmoittaakseen väärinkäytöksestä ja asiakkaan tunnukset on suljettu 11.7.2023 klo 13:44:09.

Asiakkaan kertoman mukaan hänen pankista saamansa palvelu on osaltaan vaikuttanut siihen, että asiakas on klikannut sähköpostiinsa tullutta linkkiä ja syöttänyt tunnuksensa sivustolle. Asiakkaan 19.6.2023 allekirjoittaman asiakkuudensiirtovaltakirjan nojalla pankki on kesäkuussa 2023 pyytänyt pankkia B lopettamaan asiakkaan tilit ja asiakkaan tilivarat on siirretty pankkiin. Asiakas on kertomansa mukaan ennen juhannusta 2023 käyttänyt verkkopankkiaan, kokeillut tehdä tilisiirtoja ja todennut kaiken toimivan hyvin. Pankin näkemyksen mukaan asiakas on siis ennen 11.7.2023 saamaansa huijausviestiä nähnyt verkkopankissaan tiliasioidensa olevan kunnossa.

Pankilla ei ole tiedossaan, miten asiakkaan sähköpostiosoite on päätynyt huijauksen toteuttaneen tahon tietoon. Pankilla ei ole myöskään mahdollisuutta tämän selvittämiseen. Pankki kuitenkin selvyyden vuoksi toteaa, että pankin tiedossa ei ole mitään tietovuotoa, jossa asiakkaan yhteystiedot olisivat päätyneet pankista tietoihin oikeudettomalle taholle, ja jos näin olisi tapahtunut, pankki olisi ollut asianmukaisesti tiedottanut asiasta.

Pankki pahoittelee, että asiakkuuden ja tilin siirtäminen pankkiin ei ole sujunut asiakkaan odottamalla tavalla, ja myös, että muutoksenhakua koskeva ohjeistus ei ole ollut riittävän selkeä. Pankki kuitenkin katsoo, että asiakkuuden siirron vaiheilla ei ole merkitystä siinä arvioinnissa, onko asiakas antanut maksuille maksupalvelulain mukaisen suostumuksen tai toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Myöskään asiakkaan mahdollinen epäselvyys hänen reklamaationsa käsittelyn kulusta pankissa ei pankin näkemyksen mukaan vaikuta asian arviointiin, näiden tapahtumien ajoittuessa kyseessä olevien maksujen jälkeiseen aikaan.

Asiakas on vielä kertonut yrittäessään asentaa pankin tunnistusvälinettä 28.7.2023 saaneensa pankilta viestin, jossa käyttö on estetty 4 tunniksi ja sen jälkeen hän voi jatkaa tunnistusvälineen jälkeen käyttöönottoa 24 tunnin sisällä. Asiakas epäilee, että kyseessä on pankin mobiilipankin tekninen virhe. Selvyyden vuoksi pankki toteaa, että asiakkaalle on pankin toimesta lähetetty 28.7.2023 tekstiviesti, jossa todetaan, että: "Tunnuksillasi ollaan ottamassa käyttöön uutta [pankin tunnistusvälinettä] puhelimessa nimeltä samsunga53. Turvallisuussyistä käyttöönotto on estetty 4 tunnin ajan. Tämän jälkeen sinulla on 24h aikaa ottaa [pankin tunnistusväline] käyttöön. Jos et ole itse ottamassa [pankin tunnistusvälinettä] käyttöön, ota yhteyttä [pankki] Sulkupalveluun, sillä tietosi ovat vaarassa. [pankki]". Kyse on turvaominaisuudesta, jolla pyritään estämään mahdollisia väärinkäytöksiä. Jos asiakkaalla on ongelmia tunnuksen käyttämisessä tai tunnistusvälineen asennuksessa, pankki mielellään auttaa asiakasta palveluiden käyttöönotossa ja kehottaa asiakasta esimerkiksi varaamaan ajan konttorille tätä varten.

Asian arviointi

Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille

Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle tekstiviestit, jotka ovat sisältäneet tiedot maksujen määristä ja viesteissä maksut on pyydetty vahvistamaan asiakkaan hallussa olevassa paperisessa avainlukulistassa olevalla avainlukulistan numerolla. Luovuttamalla paperisesta avainlukulistastaan pyydetyt luvut, joilla viestin mukaisesti maksut vahvistetaan, asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä. Pankin lähettämät vahvistusviestit ovat pitäneet sisällään tiedon maksun vahvistamisesta sekä saajan tilinumeron ja maksun määrän. Tekstiviesti alkaa sanoilla olet maksamassa ja päättyy sanoihin, vahvista maksu avainlukulistan numerolla. Asiakkaan on näin ollen tullut ymmärtää, että avainlukulistan numerolla vahvistetaan maksu ja asiakas on antanut suostumuksensa maksulle maksupalvelulain mukaisesti.

Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus

Pankki on useaan otteeseen kevään ja kesän 2023 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Asiakas on myöntänyt kirjautuneensa palveluun sähköpostiviestillä tulleen linkin kautta. Asiakas on laiminlyönyt tarkastaa verkko-osoitteen, jolle on tietonsa syöttänyt. Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa tunnus- ja digisopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annettavalla Tärkeää tietoa [pankin] tunnuksistasi -asiakirjalla sekä muutoinkin viestinnässään. Maksun tehneellä taholla on täytynyt olla käytössään asiakkaan tunnusten kaikki osat eli käyttäjätunnus, salasana ja tarvittavat avainlukulistan numerot, jotka on mahdollista saada vain asiakkaan hallussa olevasta paperisesta avainlukulistasta. Asiakas on antanut avainlukulistan numerot siitä huolimatta, että asiakkaan pankilta saamat tekstiviestit ovat sisältäneet tiedot siitä, että avainlukulistan numeroilla ollaan vahvistamassa maksuja ja nämä viestit ovat sisältäneet tiedot myös maksujen määristä ja vastaanottajan tilinumerosta.

Kun otetaan huomioon, että asiakas on myöntänyt syöttäneensä tietonsa sähköpostiviestillä tulleen linkin kautta avautuneelle verkkosivustolle, sekä sen, että asiakas on joko jättänyt lukematta pankin lähettämät tekstiviestit tai ainakin jättänyt huomioitta viestien sisällön (tieto maksun vahvistamisesta, saajan tilinumero sekä maksun määrä) ja luovuttanut maksunvahvistamiseen tarvittavat avainlukulistan numerot, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Edellä mainituilla perusteilla pankki katsoo, että ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.

Pankin toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi olemme aktiivisesti varoittaneet asiakkaitamme verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla:
3.3.2023 Varoitus: rikolliset kalastelevat verkkopankkitunnuksia tekstiviesteillä 27.3.2023 Varoitus: rikolliset kalastelevat [pankin] tunnuksia tekstiviesteillä
5.5.2023 Varoitus: uusia huijausviestejä liikkeellä
22.6.2023 Varoitus: kalasteluviestit kehottavat nyt soittamaan huijausnumeroon

Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.

Sääntely

Pankki viittaa maksupalvelulain 38 §:n 1 momenttiin, 53 §:n 1 momenttiin ja  62 §:än sekä tunnus- ja digisopimusehtoihinsa.

Asiakkaalle on tunnus- ja digisopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa [pankin] tunnuksistasi -niminen asiakirja, jossa todetaan: "Pankki, poliisi tai viranomainen ei koskaan kysy tunnustasi tai sen osia puhelimessa tai esimerkiksi tekstiviestillä, sähköpostilla tai pikaviestipalvelulla. Näin toimii vain rikollinen. Jos sinulle lähetetään linkki viestinä, älä kirjaudu tai anna tunnuksesi osia sen kautta. Vahvista Mobiiliavaimella tai Avainlukulistalla vain ne tapahtumat, joita olet itse tekemässä.
Tarkista sivuston osoite, jolle syötät tunnuksesi. [Pankin] palveluihin voit kirjautua turvallisesti [pankin] mobiilisovelluksessa tai kirjoittamalla verkkoselaimen osoiteriville www.[pankki].fi. Tunnus on turvallista antaa myös palveluihin, jotka on kerrottu [pankin] verkkosivuilla osoitteessa [pankki].fi/tunnukset kohdassa "Täältä voit tarkistaa [pankin] tarjoamien palveluiden osoitteet ja nimet"."

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirroille vai onko tilisiirtoja pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 72 §:n 1 ja 3 momentin mukaan

Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.

Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan

Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan

Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan

Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan

Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa. […]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. [Pankki] voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. ulkomaanmaksut vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa.

Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet omalla laitteellaan kirjautumisen asiakkaan verkkopankkiin. Pankki on tämän johdosta lähettänyt asiakkaalle verkkopankkiin kirjautumista koskevan viestin 11.7.2023 klo 13.19:

"Olet kirjautumassa tunnuksillasi [pankin] verkkopalveluun. Vahvista kirjautuminen avainlukulistan 84. avainluvulla. [pankki]"

Pankkilautakunta katsoo asiassa riidattomaksi, että asiakas on syöttänyt em. viestissä mainitun avainluvun valesivustolle luulleessaan olevansa oikeilla pankin verkkosivuilla kirjautumassa verkkopankkiinsa. Rikolliset ovat näin saaneet tietoonsa asiakkaan verkkopankkiin kirjautumisen edellyttämän avainluvun ja päässeet kirjautumaan asiakkaan verkkopankkiin.

Tämän jälkeen rikolliset ovat tehneet verkkopankissa maksutoimeksiannon ulkomaille, minkä seurauksena pankki on lähettänyt klo 13.23 asiakkaalle tekstiviestin:

"Olet maksamassa 10 000 EUR tilille PT50 xxxx xxxx xxxx xxxx xxxx x. Vahvista maksu avainlukulistan järjestysnumeroa 173 vastaavalla avainluvulla. [pankki]"

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas on syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet klo 13.24 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.

Sama on toistunut klo 13.26 rikollisten vahvistaman toisen 10.000 euron tilisiirron kohdalla, jota koskevan samansisältöisen maksun vahvistamista koskevan tekstiviestin pankki on lähettänyt asiakkaalle klo 13.25.

Asiakkaan suostumus maksutapahtuman toteuttamiselle

Vaikka asiakkaan vastaanottamissa pankin lähettämissä tekstiviestissä on näkynyt ko. maksujen tiedot, ei asiakas kuitenkaan itse ole syöttänyt viestissä mainittuja avainlukuja verkkopankissaan vaan rikollisten luomilla valesivuilla. Ko. ulkomaanmaksuja koskevat toimeksiannot ovat luoneet ja vahvistuksen niille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomana.

Pankkitunnusten ja maksuvälineen luovuttaminen

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan luovuttaa tekstiviestillä tai sähköpostilla tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille. Tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Pankkilautakunta kiinnittää kuitenkin huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle digitaalisesti lähetetyn linkin kautta, lautakunnan tietojen mukaan pankki itse tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat kuitenkin viestivät asiakkailleen sähköpostitse ja ovat joissain tilanteissa voineet lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Vaikka tällaisissa tilanteissa linkin kautta avautuneilla sivuilla ei edellytettäisi pankkitunnuksien käyttämistä, voi tämä toimintatapa osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä sähköposteja ja tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan sähköpostin asianmukaisuutta.

Ottaen edellä todetun lisäksi huomioon, että sähköpostissa olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan pankiltaan maksun vahvistamista koskevan tekstiviestin, jossa on näkynyt vahvistettavan maksun tiedot, asiakkaan olisi tullut ymmärtää olla antamatta tekstiviestissä mainittua järjestysnumeroa vastaava avainlukua verkkosivuille. Ottaen huomioon, että asiakkaan pankilta saama tekstiviesti on ollut tavanomainen pankin lähettämä maksun vahvistamista koskeva viesti, joka alkaa sanoin ”Olet maksamassa..” ja jossa on näkynyt vahvistettavan maksun tiedot, lautakunta katsoo, että vaikka pankin verkkosivuilta näyttävillä valesivuilla olisi esitetty kyseistä avainlukua edellytettävän viestissä ilmoitetun suuruisen maksun perumiseen, asiakkaan olisi tullut ymmärtää keskeyttää asiointinsa ja jättää pyydetty avainluku syöttämättä sivuille. Mikäli asiakas olisi viimeistään tuossa vaiheessa esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan annettua kyseisen tilisiirtojen vahvistamista varten pyydetyt avainluvun verkkosivuille asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen erittäin vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon sen, että asiakkaan pankiltaan saamassa tavanomaisissa maksujen vahvistamista koskevissa tekstiviesteissä selvästi ilmaistaan asiakkaan olevan maksamassa ja kerrotaan vahvistettavien maksujen tiedot, lautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirroille maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta kuitenkin katsoo oikeudettoman käytön johtuneen siitä, että asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan ja asiakkaan siten vastaavan oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti asiakkaan ja pankin välisessä suhteessa.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Laine
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä