Haku

FINE-070953

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-070953 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 05.09.2024

Miten vastuu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetusta tiisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakkaan verkkopankkiin on kirjauduttu 2.1.2024 klo 18.42 ja verkkopankissa on tehty asiakkaan tililtä klo 18.44 veloittunut 15.000 euron tilisiirto. Pankin selvityksen mukaan vahvistus verkkopankkiin kirjautumiselle sekä em. maksun vahvistus ja lisävahvistus on annettu asiakkaan puhelimessa olleella pankin tunnistussovelluksella.

Asiakkaan valitus

Asiakas kokee, ettei mitään törkeää huolimattomuutta ole tapahtunut, ja vaatii pankkia korvaamaan vahingon.

Verkkopankkia käytettiin normaalisti 2.1.2024 aamupäivällä asiakkaan vaimon toimesta. Kaikki oli tuolloin kunnossa. Tilit ovat yhteisomistuksessa vaimon kanssa. On olemassa vain oma epäily, että kyseessä voisi olla omakanta-huijaus, sillä asiakas on samana päivänä aamupäivällä koittanut kirjautua katsomaan laboratoriotuloksia. Osoite on tuolloinkin kirjoitettu selaimen osoiteriville, eikä hakukonetta ole käytetty. Kalasteluyrityksiä ei ole ollut puhelimitse, eikä sähköisten välineiden kautta. Pankkitunnuksia ei ole koskaan kysytty. Vakiintunut tapa on poistaa myös epäilyttävät sähköpostit ja tekstiviestit avaamatta. Näiden kautta ei siis ole mahdollista, että tunnukset olisivat päätyneet vieraisiin käsiin.

Pankkiin kirjauduttiin normaalisti toisen kerran laskujen maksua varten illalla. Tuolloin huomattiin rahojen kadonneen. Välittömästi tämän jälkeen otettiin yhteys pankin asiakaspalveluun ja soitettiin 112. Tietokonetta tai kännykkää ei ole tutkittu ja siten ei ole tietoa, miten tunnukset olisivat voineet päätyä rikollisten käsiin. Ei siis voida mitenkään päätellä miten tunnukset ovat rikollisille joutuneet, eikä voida myöskään todentaa omaa huolimattomuutta.

Asiakas suhtautuu tunnustensa käyttöön suurella vakavuudella ja erityisellä huolellisuudella. Ei ole mahdollista, että hän olisi siirrot hyväksynyt. Asiakas osaa lukea ja ymmärtää lukemansa vallan hyvin eikä siirtojen vahvistuksia voi tehdä vahingossa. Myös lisävahvistus olisi erikoistapaus, johon varmasti huomio kiinnittyy. Asiakas on varma siitä, että vahvistukset on tehty rikollisten toimesta jollain keinolla. On täysin kohtuutonta olettaa, että yksittäinen kansalainen voi olla niin varovainen, että pärjäisi kansainväliselle rikollisuudelle, jonka keinot tietojen ja laitteidenkin kaappaamiselle ovat kovin moninaiset ja kehittyneet.

Pankin näkökulman mukaan asiakas on syyllinen huolimattomuuteen kunnes toisin todistetaan, vaikka tämä on täysin vastoin yleistä oikeuskäsitystä. Tahallista ja huomattavaa huolimattomuutta ei kuitenkaan ole tapahtunut, mutta tätä on mahdoton todistaa tavallisilla IT-taidoilla. Pankin selvitystä uskotaan epäilyksittä. Kuluttajan näkökulmasta tilanne on aivan kohtuuton.

Pankin toiminta on ollut prosessin alussa hidasta ja laadultaan huonoa. Viestinnässä on annettu myös väärää tietoa. Vahinko oltaisiin voitu torjua, jos pankki olisi tarttunut toimenpiteisiin ajoissa.

Pankin vastine

Pankki kiistää vaatimuksen ja katsoo, ettei vastuu tilisiirrosta kuulu maksupalvelulain ja pankin ehtojen mukaan pankin vastattavaksi.

Asiakkaan kuvaus tapahtumista

Asiakas kertoo, että verkkopankkia käytettiin 2.1.2024 aamupäivällä hänen vaimonsa toimesta. Saman päivän iltana kirjauduttiin uudestaan verkkopankkiin laskujen maksamista varten, jolloin asiakas huomasi varojen kadonneen. Asiakas kiistää itse vahvistaneensa riidanalaista maksua pankkitunnuksillaan.

Tapausta koskevat tosiseikat ja pankin havainnot tapahtumainkulusta

Pankin selvityksen mukaan asiakas on oletettavasti joutunut verkkopankkitunnusten kalastelun kohteeksi. Asiakas on luultavasti luullut kirjautuvansa OmaKantaan tai verkkopankkiin ja näin mahdollistanut huijareille pääsyn verkkopankkiin.

Asiakkaan verkkopankkiin on kirjauduttu ja verkkopankki-istunto alkanut 2.1.2024 klo 18:42:53. Verkkopankkiin kirjautumisesta pankin tunnistussovellukseen on lähetetty seuraavanlainen vahvistusviesti 2.1.2024
klo 18:42:28.
”Haluatko kirjautua
henkilöasiakkaiden verkkopankkiin?
Kirjautumistunniste: WGPQ
Varmista ennen vahvistamista, että kirjautumistunniste on sama kuin se, joka näkyy tunnistautumisnäkymässä.”

Sisäänkirjautuminen verkkopankkiin on vahvistettu 2.1.2024 klo 18:42:49. 15 000 euroa on veloitettu tililtä 2.1.2024 klo 18:44:11. Tapahtuma on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 19.8.2020. Asiakkaan tunnuksilla ei ole aktivoitu muuta pankin tunnistussovellusta kyseisenä ajankohtana.

Ennen maksun vahvistamista asiakkaan tunnistussovelluksessa on näkynyt maksunvahvistuspyyntö. Ensimmäisen vahvistuspyynnön lisäksi maksu on lisävahvistettu. Lokitiedoista ilmenee, että ennen maksunvahvistusta ja lisävahvistusta sovelluksessa on näytetty seuraavat tiedot:

2.1.2024 klo 18:43:24
”[Pankin verkkopankki] pyytää vahvistusta
Haluan maksaa
summa: 15 000,00 EUR
saaja: X
tilille: IT34 xxxx xxxx xxxx xxxx xxxx xx
päiväys: 2.1.2024
tililtä: FIxx xxxx xxxx xxxx xx”
Tapahtuma vahvistettiin 2.1.2024 klo 18:43:34

2.1.2024 klo 18:43:51
”[Pankin verkkopankki] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 15 000,00 EUR
tilille: IT34 xxxx xxxx xxxx xxxx xxxx xx
saaja: X
tililtä: FIxx xxxx xxxx xxxx xx”
Tapahtuma lisävahvistettiin 2.1.2024 18:44:02

Vastuu riidanalaisesta tilisiirrosta

Pankki viittaa maksupalvelulain 38, 53, 54 ja 62 §:in sekä pankkitunnusten käyttöön sovellettavat sopimusehtoihinsa ja Pankkitunnusten turvallinen käyttö -ohjeisiinsa.

Pankin näkemyksen mukaan riidanalainen tilisiirto kuuluu maksupalvelulain ja sopimusehtojen mukaan asiakkaan vastuulle, sillä maksu on vahvistettu käyttäen asiakkaan tunnistussovellusta. Sovelluksessa on ennen maksun vahvistamista näkynyt maksunsaajan nimi ja summa. Lisäksi sovelluksessa on näkynyt varsinaisen vahvistusviestin lisäksi lisävahvistusviesti. Molemmista viesteistä käy ilmi, että asiakas on tekemässä maksua. Maksulle on annettu suostumus pankin kanssa sovitulla tavalla eli tunnistussovelluksella käyttäen asiakkaan omavalintaista henkilökohtaista PIN-koodia ja näin ollen maksua ei maksupalvelulain 38 §:n mukaan voi pitää oikeudettomana. Kyseinen maksu on vahvistettu asiakkaan tunnistussovelluksella, joka on otettu käyttöön 19.8.2020.

Mikäli maksu katsottaisiin vastoin pankin näkemystä oikeudettomaksi, asiakas on pankin näkemyksen mukaan tässäkin tapauksessa vastuussa vahingosta, sillä hän on laiminlyönyt maksupalvelulain mukaisen velvollisuutensa huolehtia maksuvälineistä ja niihin liittyvistä henkilökohtaisista turvatunnuksista. Riidanalainen maksu on vahvistettu asiakkaan omassa tunnistussovelluksessa, jolloin riidanalaista maksua koskevat tiedot ovat näkyneet ennen vahvistamista. Kokonaisarvion perusteella huolimattomuusvelvoitteen laiminlyönti on katsottava törkeäksi.

Pankin näkemys on, että asiakas on huolimattomuudellaan laiminlyönyt maksupalvelulain ja sopimusehtojen mukaisen velvollisuutensa huolehtia maksuvälineestä. Maksunvahvistuksissa on käytetty henkilökohtaisina turvatunnuksina toimivia pankkitunnuksia siitä huolimatta, että tunnistussovelluksessa näkyi nimenomaan vahvistusviestit, jotka varmistivat haluaako asiakas tehdä riidanalaisen tilisiirron. Asiakkaan kuvaama vahinko on syntynyt sen johdosta, ettei sovelluksessa näkyneitä vahvistusviestejä tarkistettu ennen maksun vahvistamista.

Asiakas kertoo, että tapahtumapäivän aamuna hänen vaimonsa käytti asiakkaan verkkopankkia. Jos riidanalainen maksu on vahvistettu vaimon toimesta, asiakas on pankin näkemyksen mukaan silloinkin vastuussa vahingosta, sillä hänen on tällöin katsottava luovuttaneen tahallaan henkilökohtaiset turvatunnuksensa ja hän on siten laiminlyönyt maksupalvelulain ja sopimusehtojen mukaisen velvollisuuden huolehtia henkilökohtaisista turvatunnuksista.

Pankki on hyvin pahoillaan tapahtuneesta. Maksupalvelulain ja sopimusehtojen nojalla pankki ei nähdäkseen ole vastuussa asiakkaalle aiheutuneesta valitettavasta vahingosta.

Selvitykset

Valitus koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 2.1.2024)
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Pankkitunnusten turvallinen käyttö

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankkitunnusehtojen Tunnistautumistietojen käyttäminen -kohdan mukaan

Tunnistautumistietoja saa käyttää vain se pankkitunnuksilla käytettäviä palveluja koskevan sopimuksen tehnyt asiakas, jolle pankki on antanut tunnistautumistiedot.
Tunnistautumistietojen käyttöä koskevat ohjeet pankki ilmoittaa pankkitunnusten turvallista käyttöä koskevissa ohjeissaan.

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan

Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -kohdan mukaan

Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
[…]
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. […]

Asian arviointi

Pankin asiassa antamien selvitysten mukaan kirjautuminen asiakkaan verkkopankkiin 2.1.2024 sekä ko. tilisiirto on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 19.8.2020. Edelleen pankin selvityksen mukaan asiakkaan tunnuksilla ei ole aktivoitu muuta pankin tunnistussovellusta kyseisenä ajankohtana. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella ilmeiseksi, että asiakas on joutunut rikoksen - todennäköisesti jonkinlaisen verkossa tapahtuneen petoksen tai verkkourkinnan - uhriksi, mutta asiassa kuitenkin jääneen epäselväksi, onko tämä tapahtunut esimerkiksi Omakantaan kirjautumisen tai asiakkaan omien laskujen maksun yhteydessä.

Pankkilautakunta katsoo selvitetyksi, että asiakas tai hänen puolisonsa on vahvistanut ko. tilisiirron asiakkaan puhelimessa olleella pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen maksun vahvistuksen antamista näkynyt asianmukaisesti ”[Pankin verkkopankki] pyytää vahvistusta. Haluan maksaa” sekä maksun tiedot mukaan lukien maksun euromäärä sekä saajan nimi ja tilinumero. Tilisiirron toteuttaminen on edellyttänyt tavanomaisen tunnistussovelluksessa annettavan maksun vahvistamisen lisäksi sovelluksessa annettua lisävahvistusta. Lisävahvistuksen kohdalla on em. tietojen lisäksi todettu seuraavasti: ”[Pankin verkkopankki] pyytää vahvistusta Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein.”

Annettuaan tunnistussovelluksensa puolisonsa käytettäväksi vastoin pankkitunnusehtoja asiakas vastaa suhteessaan pankkiinsa puolisonsa tunnistussovelluksella tekemistä toimista ja puolisonsa huolellisuudesta sovellusta käytettäessä. Näin ollen sillä, onko em. vahvistukset antanut asiakas vai asiakkaan puoliso, ei ole tässä tapauksessa merkitystä asiakkaan ja pankin välisessä suhteessa.

Pankkilautakunta katsoo, että asiakas tai asiakkaan puoliso hänen puolestaan on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja pankkitunnusehtojen mukaisen vahvistuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle. Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole perusteita pankin vastuulle maksusta asiakkaalle aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä