Haku

FINE-071859

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-071859 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 22.10.2024

Miten vastuu asiakkaan verkkopankissa tehdyistä oikeudettomista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 3.4.2023 klo 8.50 samaan tekstiviestiketjuun pankin lähettämien viestien kanssa rikollisten pankin nimissä lähettämän tekstiviestin:
”Olemme havainneet epätavallista toimintaa. Tarkista maksu [pankki]-petos-palvelu.com. [pankki]”
Asiakas on viestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä valesivuilla käyttänyt pankkitunnuksiaan.

Rikolliset ovat em. valesivujen kautta saamillaan tiedoilla kirjautuneet asiakkaan verkkopankkiin 3.4.2023 klo 8.54. Pankki ei ole kirjautumisen yhteydessä edellyttänyt asiakkaan vahvaa tunnistamista. Rikolliset ovat tehneet verkkopankissa asiakkaan tililtä kaksi 10.000,00 euron tilisiirtoa. Em. ulkomaanmaksut on vahvistettu klo 8.57 ja 9.01 asiakkaan verkkopankkitunnusten avainlukulistan tietyillä kertakäyttöisillä avainluvuilla, joita vastaavat järjestysnumerot pankki on ilmoittanut asiakkaalle lähettämissään tekstiviesteissä klo 8.56 ja 8.59. Pankin lähettämät maksunvahvistamista koskevat tekstiviestit ovat tulleet asiakkaan puhelimessa samaan viestiketjuun rikollisten pankin nimissä lähettämän em. viestin kanssa. Tilille, jolta em. maksut on tehty, on myös siirretty asiakkaan verkkopankissa klo 8.55 asiakkaan toiselta tililtä 3.000 euroa, klo 8.58 asiakkaan luottokortilta 5.900 euroa, klo 8.58 asiakkaan lapsen tililtä 1.985 euroa ja klo 8.58 asiakkaan toisen lapsen tililtä 1.900 euroa. Näiden verkkopankin sisäisten tilisiirtojen yhteydessä pankki ei ole edellyttänyt maksajan vahvaa tunnistamista.

Em. tapahtumien jälkeen rikolliset ovat vielä klo 9.04 lähettäneet asiakkaalle samaan viestiketjuun em. viestien kanssa tekstiviestin:
”Tilisi on nyt turvassa. Lisätoimia ei tarvita. Varat palautetaan päivän loppuun mennessä.
Soita meille, jos et ole saanut hyvitystä 04.04.2023 mennessä
[pankki]”

Asiakas on ollut yhteydessä pankin puhelinpalveluun ilmoittaakseen väärinkäytöksestä ja asiakkaan tunnukset on suljettu 3.4.2023 klo 9.25.

Asiakkaan valitus

Asiakas vaatii rahojensa palautusta korkoineen kaikille tileilleen täysimääräisesti sekä luottokortin menetykset korkoineen.

Asiakas sai tekstiviestin pankin puhelinnumerosta, josta hänelle on tullut aiemminkin pankin viestejä. Asiakas meni hädissään linkin kautta sisään, jolloin näkymään tuli "peruuta maksu 10.000e [Y]:Ile". Asiakas peruutti maksun kahdesti. Tuohon mennessä Y oli siirtänyt itselleen yhteensä 20.000 euroa asiakkaan viideltä eri tililtä mukaan lukien lasten säästötilit.

Asiakas huomasi tapahtuneen klo 9.05 ja soitti pankin asiakaspalveluun klo 9.20-9.30, jolloin tyhjennetyt tilit sekä pankkikortti jäädytettiin. Puhelussa asiakas pyysi virkailijaa perumaan rikollisen pankkisiirrot, mutta hän kehotti ensin tekemään rikosilmoituksen. Asiakas teki rikosilmoituksen 3.4. ja meni tämän jälkeen pankin konttoriin. Pankilta asiakas sai viestin 14.4., ettei maksunpalautus onnistu.

Asiakas painottaa, ettei ole luovuttanut kenellekään ulkopuoliselle tunnuksiaan, ei käyttäjätunnusta eikä salasanaa. Asiakas ilmoitti välittömästi sulkupalveluun, kun havaitsi oikeudettoman maksutapahtuman. Pankkivirkailija piti rikollisen lähettämiä tekstiviestejä pankin lähettäminä, joissa todettiin "tilin olevan nyt turvassa ja ettei lisätoimia tarvita". Kuinka maallikko tunnistaisi tekstiviestit rikollisen lähettämiksi, kun pankkivirkailijakaan ei niitä tunnistanut.

Pankki perustelee tiedottaneensa asiakkaita aktiivisesti tiedotteilla. Nämä kyseiset tiedotteet löytyvät näin jälkikäteen etsittäessä, nimellä "ajankohtaista". Tämä kohta/varoitukset löytyvät pankin etusivulta aivan sivun alalaitaan vierittämällä. Mobiilisovelluksesta, jota asiakas pääasiassa käytti, ei hän löytänyt ollenkaan edellä mainittuja varoituksia. Asiakkaan mielestä pankin varoitustoimenpiteet eivät ole riittävän näkyviä. Pankkitunnuksia asiakas on aina säilyttänyt erittäin huolellisesti. Tunnukset ovat asiakkaan muistissa ja avainlukulista muiden ulottumattomissa. Asiakas ei ole toiminut törkeän huolimattomasti.

Asiakas ihmettelee, miten rikollinen voi siirtää lasten säästötileiltä varat, vaikka tilit luoneilla vanhemmilla ei ole siihen oikeutta. Asiakas oli tallettanut lasten isän kanssa rahaa lasten säästötileille tulevaisuudessa tarvittaviin opiskeluihin, ajokorttiin yms. koska he kokivat, että säästötili on turvallisempi kuin käyttötili. Miten pankki ei kiinnitä minkäänlaista huomiota siihen, että usealta tililtä, mukaan lukien luottotili sekä lasten omistamilta säästötileiltä, siirretään huomattavia summia ulkopuolisen henkilön tilille.

Koska lasten säästötileiltä ei ollut koskaan tehty nostoja tai siirtoja, olisi pankin asiakkaan mielestä pitänyt reagoida rahojen siirtoihin varmistamalla siirtojen tekijä. Asiakas viittaa maksupalvelulain 41 ja 47 §:in. Jos virkailija olisi huomioinut asiakkaan useat pyynnöt siirron pysäyttämisestä, rahojen siirto olisi pystytty estämään pankin makupalvelulain 47 §:n mukaisen aikataulun puitteissa.

Pankin vastine

Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen pankki katsoo ensisijaisesti, että asiakas on antanut maksuille maksupalvelulain mukaisen suostumuksen eikä kysymys ole siten oikeudettomasta maksutapahtumasta. Toissijaisesti pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Selvitys tapahtumasta

Asiakkaan kertoman mukaan hän on saanut 3.4.2023 klo 8:56 tekstiviestin, jossa on kerrottu havaitun epätavallista toimintaa ja on kehotettu tarkistamaan maksu ja mukana on ollut linkki sivustolle "[pankki]-petos-palvelu.com". Asiakas on kertonut menneensä edellä mainitun linkin kautta kyseiselle sivustolle. Sivustolla on kehotettu asiakasta etsimään avainlukulistalta se avainluku, jonka järjestysnumero on ilmoitettu tekstiviestissä, tekstin alla on näkynyt maksajana asiakkaan nimi, kerrottu saajan nimi, maksun määrä ja maksunsaajan tilinumero sekä lisäksi viestin alussa on kerrottu, että vahvista maksu. Sivustolle on voinut lisätä avainluvun, ja alla on ollut painike "Peruuta Maksu".

Asiakas on kertomansa mukaan peruuttanut maksun kahdesti, jonka jälkeen asiakas on saanut tekstiviestin, jossa todetaan tilin olevan nyt turvassa ja ettei lisätoimia tarvita. Tämän jälkeen asiakas on huomannut, että tililtä on poistunut yhteensä 20 000 euroa.

Pankin selvityksen mukaan asiakkaan käyttötilille on siirretty 3.4.2023 klo 8:55:24 asiakkaan toiselta tililtä 3.000 euroa. Tämän jälkeen käyttötililtä on tehty 10 000 euron tilisiirto klo 8:57:21 saajalle Y. Asiakkaan käyttötilille on klo 8:58:10 siirretty asiakkaan luottokortilta luottoa 5.900 euroa, klo 8:58:29 asiakkaan lapsen tililtä 1985 euroa ja klo 8:58:48 asiakkaan toisen lapsen tililtä 1 900 euroa. Tämän jälkeen käyttötililtä on tehty toinen 10 000 euron tilisiirto klo 9:01:19 saajalle X. Tekniset sääntelystandardit, joita maksupalvelulain mukaisesti sovelletaan Suomessa, mahdollistavat poikkeamisen vahvan sähköisen tunnistamisen vaatimuksesta, ja sääntelystandardit sallivat sen, ettei omien tilien välisiin siirtoihin tarvitse käyttää vahvaa tunnistamista vaan vahvan tunnistamisen vaatimuksesta voidaan poiketa.  Asiakkaalle on aiheutunut vahinkoa vasta, kun kaksi 10.000 euron tilisiirtoa on tehty ulkopuoliselle saajalle pois asiakkaan hallusta eli tässä saajalle Y. Nämä tapahtumat, joissa varat ovat siirtyneet ulkopuoliselle pois asiakkaan hallusta, on toteutettu vahvasti sähköisesti tunnistautuneena.

Puhelinnumeroon, joka on ollut 29.5.2012 alkaen liitettynä asiakkaan tunnus- ja digisopimukseen, on lähetetty pankin toimesta turvallisuussyistä seuraavat tekstiviestit:
3.4.2023 klo 08:56:37
"Olet maksamassa 10 000,00 euroa tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 299 vastaavalla avainluvulla. [pankki]"
3.4.2023 klo 08:59:30
"Olet maksamassa 10 000,00 euroa tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 204 vastaavalla avainluvulla. [pankki]"

Pankin selvityksen mukaan kirjautuminen verkkopalveluun ja tehdyt maksut on vahvistettu pyydetyillä avainlukulistan numeroilla, joten asiakkaan verkkopalveluun kirjautuneella ja maksut tehneellä henkilöllä on täytynyt olla tiedossaan asiakkaan tunnusten kaikki osat eli käyttäjätunnus, salasana ja pyydetyt avainlukulistan avainluvut. Ilman näitä avainlukuja maksut eivät olisi toteutuneet. Avainlukulistan numerot löytyvät ainoastaan asiakkaan hallussa olleesta paperisesta avainlukulistasta eli muuta mahdollisuutta kuin se, että asiakas on ne luovuttanut, ei ole.

Asiakkaalle ei ole lähetetty kirjautumisesta erillistä vahvistuspyyntöä tekstiviestillä, vaan avainluku on pyydetty suoraan verkkoselaimessa. Em. tekniset sääntelystandarditmahdollistavat poikkeamisen vahvan sähköisen tunnistamisen vaatimuksesta niin, että vahvaa sähköistä tunnistamista kirjautumisen yhteydessä pyydetään vain 180 päivän välein. Tässä tapauksessa kirjautumiseen on sovellettu lain sallimaa poikkeusta, eli asiakkaan verkkopankkiin on voitu kirjautua ilman vahvaa sähköistä tunnistamista, koska edellisestä kirjautumisesta käyttäen vahvaa sähköistä tunnistamista on kulunut alle 180 päivää.

Kun asiakkaalla on käytössään verkkopalvelu, hän voi siellä tehdä tilisiirtoja omien tiliensä välillä. Samoin tilisiirtoja voidaan tehdä niiltä tileiltä, joihin asiakkaalle on annettu oikeus käyttää tiliä verkkopalveluissa. Selvyyden vuoksi pankki toteaa, että asiakkaalla on lastensa tileihin käyttöoikeus, jonka perusteella tilisiirtojen tekeminen niiltä on ollut mahdollista. Päästyään asiakkaan aitoon verkkopalveluun, ulkopuolinen taho on voinut tehdä samanlaisia siirtoja ja muita toimenpiteitä, joita asiakas voisi itsekin verkkopalvelussaan tehdä.

Asian arviointi

Ensisijaisesti kyseessä on maksupalvelulain mukainen suostumus maksutapahtumille

Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa maksuille. Pankki on asiakkaan kanssa sovitun mukaisesti toimittanut asiakkaalle tekstiviestit, jotka ovat sisältäneet tiedot maksujen määristä ja viesteissä maksut on pyydetty vahvistamaan asiakkaan hallussa olevassa paperisessa avainlukulistassa olevalla avainlukulistan numerolla. Maksun vahvistamista koskevat viestit ovat alkaneet sanoille "Olet maksamassa" ja lisäksi viestissä lukee, että vahvista maksu avainlukulistan numerolla xxx. Näillä tiedoin asiakkaan tulee ymmärtää, että avainlukulistalla vahvistetaan maksu. Pankin toimittamissa maksupalvelulain mukaiset tiedot sisältävissä viesteissä ei missään mainita sanaa peruutus, eivätkä viestit sisällä sellaisia tietoja, että asiakas olisi voinut pankin viestien perusteella luulla peruuttavansa maksun.

Luovuttamalla paperisesta avainlukulistastaan pyydetyt luvut, joilla viestin mukaisesti maksut vahvistetaan, asiakas on antanut maksupalvelulain 38 §:n mukaiset suostumukset maksuille, eikä kysymys ole oikeudettomasta käytöstä. Pankin lähettämien vahvistusviestien sisältämien tietojen perusteella asiakkaan on täytynyt ymmärtää, että avainlukulistan numerolla vahvistetaan maksu ja asiakas on antanut suostumuksensa maksulle maksupalvelulain mukaisesti. Viestissä ei maksun vahvistamiselle aseteta muuta kriteeriä kuin, että se vahvistetaan avainlukulistan numerolla.

Asiakas ihmettelee, miten pankki ei kiinnitä huomiota siihen, että asiakkaan usealta tililtä, mukaan lukien luottotili sekä lasten omistamilta tileiltä, siirretään huomattavia summia ulkopuolisen henkilön tilille. Asiakas on antanut maksupalvelulain mukaisesti suostumuksensa yhteensä 20 000 euron maksuille luovuttamalle paperisesta avainlukulistastaan pyydetyt luvut, joilla asiakkaalle lähetettyjen viestien mukaisesti maksut vahvistetaan. Pankilla on maksupalvelulain 41 §:n mukaisesti velvollisuus toteuttaa maksutoimeksianto, ja maksupalvelulain 47 § edellyttääkin pankkia välittämään maksut eteenpäin viimeistään maksutoimeksiannon antamista seuraavana päivänä.

Asiakkaan väite, että pankin olisi maksupalvelulain 47 §:n nojalla tullut suorittaa maksu vasta seuraavana arkipäivänä, on virheellinen. 47 §:ssä säädetään, että maksajan palveluntarjoajan on maksettava maksutapahtuman rahamäärä maksunsaajan palveluntarjoajan tilille viimeistään maksutoimeksiannon vastaanottamista seuraavana työpäivänä. Kyse on siis enimmäisajasta, jossa pankin tulee toimia. Kyseiseen pykälään ei sisälly mitään yleistä ohjetta siitä, että palveluntarjoajan tulisi lykätä maksuja varotoimenpiteenä. Maksupalvelulain mukainen puitesopimus maksutoimeksiantojen osalta on tilisopimus, jonka liitteenä on myös ns. cut off -liite, jonka mukaisiin maksutoimeksiannon toteuttamisaikoihin pankki on sitoutunut asiakastaan kohtaan. Maksupalvelulain 41 §:n mukaan maksutoimeksianto on mahdollista jättää toteuttamatta, jos puitesopimuksessa sovitut ehdot maksutoimeksiannon toteuttamiselle eivät täyty. Tapauksessa maksutoimeksiannon tiedot sekä suostumus maksutoimeksiannolle ovat olleet puitesopimuksen mukaiset ja näin ollen toimeksianto on tullut suorittaa välittömästi. Maksutoimeksiannon toteuttaminen välittömästi on pääsääntö, ja pankkialaa koskevassa sääntelyssä ollaan siirtymässä entistä lyhempiin pankkeja velvoittaviin enimmäisaikoihin maksujen suorittamiselle.

Pankki on toiminut asiassa lain mukaisesti välittäessään maksun heti saatuaan puitesopimuksen mukaiset tiedot ja suostumuksen. Tapauksessa pankki on asiakkaan pyynnöstä ja suostumuksella tehnyt myös maksunpalautuspyynnön, mutta se ei valitettavasti ole tuottanut asiakkaan toivomaa tulosta.

Toissijaisesti kyseessä on tunnuksen haltijan törkeä huolimattomuus

Asiakas vastaa pankkitunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt. Pankki on useaan otteeseen talven 2022-2023 aikana varoittanut asiakkaitaan tietojenkalastelusta. Näissä varoituksissa on muun muassa tuotu esille se, että kalasteluviestit saattavat näkyä puhelimessa samassa viestiketjussa kuin pankin lähettämät aidot tekstiviestit. Pankki katsoo yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Asiakkaan verkkopalveluun on kirjauduttu ja kirjautuminen on vahvistettu pyydetyllä avainlukulistan numerolla, joka on ainoastaan asiakkaan hallussa. Jotta ulkopuolisen tahon on ollut mahdollista kirjautua asiakkaan pankin digipalveluun sekä tehdä maksuja, on asiakkaan täytynyt luovuttaa tunnuksensa kaikki osat eli käyttäjätunnuksen, salasanan ja pyydetyn avainlukulistan numeron tekstiviestillä tulleen linkin kautta auenneelle verkkosivustolle.

Pankki on kieltänyt asiakkaitaan kirjautumasta linkin kautta palveluihinsa pankin tunnus- ja digisopimuksessa, sopimuksen tekemisen sekä ehtomuutosten yhteydessä annettavana Tärkeää tietoa [pankin] tunnuksistasi -asiakirjalla sekä muutoinkin viestinnässään. Maksun tehneellä taholla on täytynyt olla käytössään asiakkaan tunnusten kaikki osat. Asiakas on antanut avainlukulistan numerot siitä huolimatta, että asiakkaan pankilta saamat tekstiviestit ovat sisältäneet tiedot siitä, että avainlukulistan numeroilla ollaan vahvistamassa maksuja ja nämä viestit ovat sisältäneet tiedot myös maksujen määristä ja vastaanottajan tilinumerosta.

Kun otetaan huomioon, että asiakas on joko jättänyt lukematta pankin lähettämät tekstiviestit tai ainakin jättänyt huomioitta viestien sisällön ja luovuttanut maksunvahvistamiseen tarvittavat avainlukulistan numerot, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Lisäksi asiakkaan on täytynyt huomata itsekin, että maksuissa on jotain outoa, kun hän on ottanut kuvakaappaukset huijaussivustolta ja näin huomattuaan asiakkaan olisi tullut lopettaa asiointi ja ottaa välittömästi yhteyttä pankkiin. Yleisen elämänkokemuksen perusteella ei ole tavallista, että asiakkaat ottavat kuvakaappauksia verkkosivuista asioidessaan pankin kanssa.

Edellä mainituilla perusteilla pankki katsoo, että ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.

Asiakkaan lasten tilien avaaminen ja käyttöoikeudet

Lasten tilien avaamisesta on sovittu lasten huoltajien kanssa. 15.3.2016 allekirjoitetuilla tilisopimuksilla on sovittu, että lapsilla ei ole käyttöoikeutta omiin tileihinsä. Lisäksi tilisopimuksen liitteenä olevalla käyttöoikeusliitteellä on sovittu, että käyttöoikeuden haltijoita ovat lapsen huoltajat. Käyttöoikeudeksi on sovittu laajat käyttö- ja tiedonsaantioikeudet, eli tilisopimuksen mukaisesti käyttöoikeuden haltija saa käyttää tiliä ja tilata tiliotteita esimerkiksi pankin konttoreissa ja verkkopalveluissa. Käyttöoikeus on voimassa, kunnes pankille on tehty ilmoitus sen loppumisesta. Tällaista ilmoitusta pankille ei ole tehty. Lapsen huoltajien kanssa on siis sovittu, että molemmilla on oikeus käyttää tiliä mm. pankin verkkopalveluissa, jolloin tiliä voi käyttää kumpikin yksin, ilman toisen käyttöoikeudenhaltijan erillistä suostumusta.

Pankin toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi olemme aktiivisesti varoittaneet asiakkaitamme verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla:
28.11.2022 Varoitus: rikolliset kalastelevat [pankin] nimissä verkkopankkitunnuksia tekstiviesteillä
9.1.2023 Varoitus: rikolliset kalastevat pankkitunnuksia tekstiviesteillä 3.3.2023 Varoitus: rikolliset kalastelevat verkkopankkitunnuksia tekstiviesteillä
Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi olemme ohjeistaneet, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.

Sääntely

Pankki viittaa maksupalvelulain 38 §:n 1 momenttiin, 53 §:n 1 momenttiin ja 62 §:ään sekä tunnus- ja digisopimuksensa ehtoihin ja asiakkaalle sopimuksen tekemisen yhteydessä annettuun Tärkeää tietoa [pankin] tunnuksistasi -niminen asiakirjaan.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Pankin tunnus- ja digisopimuksen ehdot
  • Kuvakaappauksia rikollisten pankin nimissä asiakkaalle 3.4.2023 lähettämistä tekstiviesteistä samassa viestiketjussa pankin lähettämien maksun vahvistamista koskevien tekstiviestien kanssa
  • Kuvakaappaus rikollisten luomista valesivuista [pankki]-petospalvelu.com
  • Sähköisesti tehty rikosilmoitus
  • Kuva asiakkaan tilitapahtumista
  • Kaksi tilisopimusta (15.3.2016) asiakkaan lasten tileistä

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirroille vai onko tilisiirtoja pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 72 §:n 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
 […]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.

Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.

Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Voit antaa pankille maksutoimeksiantoja [pankin] digitaalisissa palveluissa.
[…]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. [Pankki] voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.[Pankin] digitaalisiin palveluihin kirjautumisen jälkeen annat suostumuksesi maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksu-painiketta.
[…]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. maksut on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla päässeet kirjautumaan asiakkaan verkkopankkiin.

Riidatonta asiassa on, ettei tapa jolla asiakkaan verkkopankkiin on kirjauduttu, ole täyttänyt vahvan sähköisen tunnistamisen vaatimuksia. Asiakkaan verkkopankkiin päästyään rikolliset ovat tehneet asiakkaan yhdelle tilille siirtoja asiakkaan toiselta tililtä, asiakkaan luottokortilta ja asiakkaan lasten tileiltä. Riidatonta on, ettei pankki ole myöskään näiden verkkopankin sisäisten siirtojen yhteydessä edellyttänyt vahvaa tunnistamista.

Tämän jälkeen rikolliset ovat tehneet verkkopankissa maksutoimeksiannon, minkä seurauksena pankki on lähettänyt 3.4.2023 klo 8.56 asiakkaalle tekstiviestin:
"Olet maksamassa 10 000,00 euroa tilille FIxx xxxx xxxx xxxx xx. Vahvista maksu avainlukulistan järjestysnumeroa 299 vastaavalla avainluvulla. [pankki]"
Em. viesti on tullut samaan viestiketjuun rikollisten lähettämien viestien kanssa.

Pankin aidoilta sivuilta näyttävillä valesivuilla on lukenut seuraavasti:
”Sinulle on lähetetty lisävahvistuksen tekstiviesti numeroon +358xxxxxxxxx. Tarkista tekstiviestin tiedot. Etsi avainlukulistalta se avainluku, jonka järjestysnumero on ilmoitettu tekstiviestissä.”
Tekstin alla on näkynyt asiakkaan tililtä tehtävän maksun tiedot, sarake syötettävälle avainluvulle sekä Peruuta maksu -painike.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että myös em. viestissä mainittu ja ko. tilisiirron toteuttamisen edellyttämä avainluku on päätynyt rikollisille siten, että asiakas on maksun peruuttaakseen syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet klo 8.57 vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa.

Rikolliset ovat tehneet asiakkaan verkkopankissa vielä toisen 10.000 euron maksutoimeksiannon, minkä seurauksena pankki on lähettänyt asiakkaalle klo 8.59 toisen samansisältöisen maksun vahvistamista koskevan tekstiviestin, jossa pyydetyllä avainluvulla rikolliset ovat vahvistaneet toisen maksun klo 9.01.

Asiakas saanut samaan viestiketjuun vielä klo 9.04 rikollisten lähettämän tekstiviestin:
”Tilisi on nyt turvassa. Lisätoimia ei tarvita. Varat palautetaan tämän päivän loppuun mennessä.
Soita meille, jos et ole saanut hyvitystä 4.4.2024 mennessä.
[Pankki]”

Asiakas soitti pankin sulkupalveluun ja asiakkaan tunnukset on suljettu 3.4.2023 klo 9.25.

Asiakkaan suostumus maksutapahtuman toteuttamiselle

Vaikka asiakkaan vastaanottamissa pankin lähettämissä tekstiviesteissä on näkynyt ko. maksujen tiedot, ei asiakas kuitenkaan itse ole syöttänyt viesteissä mainittuja avainlukuja verkkopankissaan vaan rikollisten luomilla valesivuilla. Ko. maksuja koskevat toimeksiannot ovat luoneet ja vahvistuksen niille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoja eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiantojen toteuttamiselle. Näin ollen tilisiirtoja on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomana.

Pankkitunnusten ja maksuvälineen luovuttaminen

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan luovuttaa tekstiviestillä tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluilla ja sovelluksille. Tunnuksia ei saa koskaan antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella eikä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Pankkilautakunta kiinnittää kuitenkin huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle digitaalisesti lähetetyn linkin kautta, lautakunnan tietojen mukaan pankki itse tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat ovat kuitenkin joissain tilanteissa voineet lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Vaikka tällaisissa tilanteissa linkin kautta avautuneilla sivuilla ei edellytettäisi pankkitunnuksien käyttämistä, voi tämä toimintatapa osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.

Tässä tapauksessa lautakunta kiinnittää huomiota myös siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti on tullut samaan viestiketjuun pankin lähettämien viestien kanssa, ja katsoo, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuluneen tietoa siitä, että rikolliset voivat lähettää tekstiviestejä, jotka lähettäjätiedon mukaan näyttävät tulleen pankilta. Tämän lisäksi lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä.

Ottaen edellä todetun lisäksi huomioon, että tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan peruuttaakseen oikeudettomia maksuja ja estääkseen rahojensa menettämisen - käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan pankiltaan maksun vahvistamista koskevan tekstiviestin, jossa on näkynyt vahvistettavan maksun tiedot, asiakkaan olisi tullut ymmärtää olla antamatta tekstiviestissä mainittua järjestysnumeroa vastaavaa avainlukua verkkosivuille. Asiakas on kertomansa mukaan ymmärtänyt peruuttavansa tililtään lähteviä 10.000 euron maksuja ja asiakkaan toimittamassa kuvakaappauksessa pankin aidoilta sivuilta näyttävillä sivuilla avainlukua pyydetään maksun peruuttamista varten. Ottaen huomioon, että asiakkaan pankilta saamat tekstiviestit ovat kuitenkin olleet tavanomaisia pankin lähettämiä maksun vahvistamista koskevia viestejä, jotka alkavat sanoin ”Olet maksamassa..” ja joissa on näkynyt vahvistettavan maksun tiedot, lautakunta katsoo, että vaikka pankin verkkosivuilta näyttävillä valesivuilla onkin esitetty kyseisiä avainlukua edellytettävän viestissä ilmoitetun suuruisen maksun perumiseen, asiakkaan olisi tullut ymmärtää keskeyttää asiointinsa ja jättää pyydetyt avainluvut syöttämättä sivuille. Mikäli asiakas olisi viimeistään ensimmäisen maksunvahvistamista koskevan tekstiviestin saatuaan esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan annettua kyseiset tilisiirtojen vahvistamista varten pyydetyt avainluvut verkkosivuille asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon erityisesti sen, miten taidokkaasti rikolliset ovat - asiakkaalle lähetetyt tekstiviestit ja valesivujen sisältö huomioiden - pankkitunnustietojen verkkourkinnan toteuttaneet ja miten asiakas on voinut tämän johdosta perustellusti ymmärtää käyttävänsä maksunvahvistusviesteissä mainittuja avainlukuja nimenomaan estääkseen rahojensa menettämisen ja pankin aiemmassa ja samassa viestiketjussa olleessa tekstiviestissä varoittaman petollisen maksun toteutumisen, lautakunta katsoo, ettei asiakkaan menettelyn kokonaisuutena kuitenkaan voida katsoa osoittavan hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirroille maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta katsoo oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla, mutta ei kokonaisuutena arvioiden kuitenkaan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Atrila
Ketola
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä