Haku

FIN-70437-B5G7V

Tulosta
Takaisin ratkaisuihin

Asianumero: FIN-70437-B5G7V (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.06.2025

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin mobiilisovelluksella vahvistetuista maksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on myynyt tori.fi -sivustolla legoja. Ostajaksi tekeytynyt huijari on ehdottanut ToriDiili -palvelun käyttöä kaupan tekemiseksi ja lähettänyt asiakkaalle linkin sivustolle, joka asiakkaan mukaan näytti pankin verkkosivustolta.

Asiakkaan korttitiedoilla on tehty verkossa 6.8.2024 klo 21:19, 21:23, 21:28 ja 21:32 neljä korttimaksua yhteisarvoltaan noin 27.600 euroa. Korttimaksut on vahvistettu pankin tunnistussovelluksella, joka on aktivoitu huijarin puhelimeen 6.8.2024 klo 21:09.

Tunnistussovelluksen käyttöönotto on edellyttänyt huijarilta asiakkaan pankkitunnusten käyttäjätunnusta ja salasanaa sekä pankin asiakkaalle 6.8.2024 klo 21:08 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Kyseinen tekstiviesti oli sisällöltään seuraava:

"[Pankin tunnistussovellus] Activation Code
lf you’re not trying to activate [pankin tunnistussovellus], please contact us immediately. Remember, we’ll never ask you for this code, but a fraudster would, so stay safe and don’t share this code with anyone. The code to complete your [pankin tunnistussovellus] activation is xxx. SMSID:xxxxxx”

Tunnistussovelluksen aktivoinnin jälkeen pankki on lähettänyt asiakkaalle klo 21:09 seuraavanlaisen viestin:

”Great news, you've successfully activated [pankin tunnistussovellus]. If you're not the one trying to activate [pankin tunnistussovellus] and you have received this message, please contact us immediately. SMSID: xxxxxx’’

Asiakkaan kaksi maksukorttia on suljettu automaattisesti samana päivänä klo 21:25 ja 21:31 järjestelmän havaittua epäilyttäviä maksuyrityksiä. Pankki on lähettänyt asiakkaalle klo 21:25 viestin siitä, tunnistiko asiakas viestissä mainitun maksutapahtuman. Asiakas on ottanut klo 21:34 yhteyden pankin sulkupalveluun. Asiakkaan verkkopankkitunnukset on suljettu klo 22:22.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan aiheutuneen 27.619,35 euron vahingon.

Pankin englanninkielinen tekstiviesti koskien mobiilisovelluksen lataamista ei ollut selkeä ja helposti ymmärrettävä. Siinä ei mainittu mitään tunnistautumiseen käytettävästä mobiilisovelluksesta, sovelluksen aktivoinnista eikä myöskään kerrottu mikä [pankin tunnistussovellus] on. Vastaavassa suomenkielisissä viesteissä kerrotaan sen sijaan selkeäsi, että on kyse tunnistautumissovelluksen aktivoimisesta.

Sovelluksen nimi on tulkittavissa henkilöllisyyden varmistamiseksi pankkitunnusten avulle. Asiakas luulikin, että kysymyksessä on hänen henkilöllisyytensä varmistaminen pankkitunnuksilla ja että hän oli aktivoimassa ToriDiili -palvelua. Tunnistussovellus oli asiakkaalle vieras asia. Englanninkielinen viesti ei herättänyt asiakkaassa epäilyä, sillä hän ei tiennyt, mikä taho lähettäisi hänelle koodin aktivointia varten.

Olisi kohtuutonta vaatia, että asiakkaan olisi tullut pankin viestien perusteella ymmärtää rikollisten olevan ottamassa käyttöönsä mobiilisovellusta, jota käytetään verkkopankissa tunnistautumiseen. Asiakas ei menetellyt asiassa törkeän huolimattomasti.

Asiakkaan tililtä siirrettiin ulkomaille huomattavia summia ja turvarajoja muutettiin, mihin pankki ei reagoinut mitenkään. Kun asiakas oli yhteydessä pankkiin, pankista vakuuteltiin kaiken olevan hyvin. Pankilta kesti yli tunnin sulkea asiakkaan verkkopankkitunnukset. Pankki ei toiminut tilanteessa asianmukaisesti. Asiakas ei myöskään saanut pankilta viestiä, jossa tiedusteltiin, tunnistaako hän 1.837,50 euron maksutapahtuman, vaan viestissä rahamäärä oli 837,50 euroa.

Pankin vastine

Pankki kiistää asiakkaan vaatimuksen.

Pankin lähettämissä tekstiviesteissä kerrottiin, että lähetetty koodi on pankin tunnistussovelluksen aktivointia varten ja varoitettiin antamasta koodia kenellekään. Asiakas kuitenkin luovutti koodin ja käyttäjätunnuksensa sekä salasanansa huijaussivustolle, minkä vuoksi huijari sai ladattua tunnistussovelluksen omalle laitteelleen ja vahvistettua korttimaksut. Pankin viestissä myös pyydettiin ottamaan yhteyttä pankkiin, jos asiakas ei ollut itse ottamassa käyttöön tunnistussovellusta. Jos asiakas ei ymmärtänyt viestejä englannin kielestä tai muusta syystä, hänen olisi huolellisesti toimiessaan tullut pidättäytyä aktivointikoodin luovuttamisesta ja olla yhteydessä pankkiin.

Pankki ei lähetä omissa nimissään toisen palveluntarjoajan palveluihin liittyviä koodeja. Viesti asiakkaalle tuli pankilta ja siinä puhuttiin pankin tunnistussovelluksen aktivoimisesta eikä verkon kauppapaikan palvelun aktivoimisesta.

Verkkopankkitunnusten sulkeminen kesti sulkupalvelussa olleen ruuhkan takia poikkeuksellisen pitkään. Sillä ei kuitenkaan ole vaikutusta tapahtuneeseen vahinkoon.

Asiakas on tuonut esiin saaneensa väärää tietoa pankista tapahtuman jälkeisenä aamuna 7.8.2024. Tuolloin huijaus oli jo tapahtunut ja korttimaksut oli tehty, eikä se muuta tilannetta.

Asiakas on menetellyt kokonaisuutena arvioituna törkeän huolimattomasti ja vastaa siten täysimääräisesti maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta.

Selvitykset

  • Litterointi asiakkaan puhelinsoitosta pankin sulkupalveluun
  • Yleiset korttiehdot henkilöasiakkaille

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja sähköisen asioinnin ehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:

1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.

[...]

Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.

Pankin henkilöasiakkaiden yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Määritelmät-kohdan mukaan

Näissä korttiehdoissa tarkoitetaan:
[...]
Tunnisteella sähköisessä asioinnissa henkilön tunnistamisen ja allekirjoituksen välinettä, joka on pankin hyväksymä (esimerkiksi verkkopankkitunnukset tai kortin tunnusluku).

Korttiehtojen Kortin omistus- ja käyttöoikeus -kohdan mukaan

[...] Korttia saa käyttää vain luottotilissä olevan luottorajan tai pankkitilillä olevien varojen ja muiden sopimusehtojen puitteissa. [...]

Korttiehtojen Korttien pääominaisuuksia ja käyttötapoja -kohdan MasterCard -kortit -alakohdan mukaan

Debit Mastercard-korttia ja MasterCard -luottokorttia voidaan käyttää maksuvälineenä niissä Suomessa ja ulkomailla sijaitsevissa maksunsaajan palvelupisteissä, jotka vastaanottavat kyseisellä Mastercard-kortilla tehtäviä maksuja. [...]
Kortilla voi Suomessa nostaa käteistä rahaa käteisautomaateista ja ulkomailla Mastercard-järjestelmään kuuluvista automaateista.
Lisäksi kortilla voi nostaa rajoitetusti käteistä kauppojen kassalta. [...]

Korttiehtojen Kortin käyttö -kohdan Kortin, tunnusluvun ja muun tunnisteen käyttö -alakohdan mukaan

[...] Maksamisen yhteydessä kortinhaltijan on luovutettava kortista tietoja

  • joko asettamalla kortti fyysisesti maksupäätteen tai muun vastaavan kortinlukijan taikka laitteen luettavaksi tai
  • antamalla etämaksamisen [esimerkiksi verkkomaksut, puhelinmyynti ja postimyynti) yhteydessä kortista tarkistetietoina sen numero, voimassaoloaika ja sitä kysyttäessä kortin kääntöpuolella oleva kolminumeroinen turvaluku. Etämaksamisessa ei välttämättä vaadita tunnusluvun käyttöä tai kortinhaltijan allekirjoitusta, vaan tunnisteella ja korttiin liitettyjä tarkisteita tai muita vastaavia menettelyjä käyttämällä tehty korttitapahtuma sitoo kortin haltijaa.

Pankki voi kortinhaltijan tunnistamiseksi edellyttää lisäksi erillistä vahvistamismenettelyä, joka saattaa vaihdella maksamistavasta riippuen.
[...]
Kortinhaltija hyväksyy tekemänsä sopimukset ja sitoutuu maksamaan korttitapahtumista ja varojen siirroista syntyneet saatavat pankille

  • allekirjoittamalla maksu- tai myyntitositteen, joka vastaa tunnusluvun käyttöä,
  • käyttämällä korttia yhdessä tunnusluvun tai muun tunnisteen kanssa,
  • käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua [esimerkiksi paikoitusautomaatti tai käyttämällä lähimaksuominaisuutta) tai
  • luovuttamalla kortin maksamis- ja/tai tarkistetiedot muulla vastaavalla tavalla (esimerkiksi etämaksamisessa).

Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan

Kortinhaltija sitoutuu säilyttämään ja käsittelemään korttia, siihen liittyvää tunnuslukua ja kortin käyttöön liittyvää muuta tunnistetta huolellisesti ja turvallisesti siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. [...]

Pankin sähköisen asioinnin ehtojen kohdan 2.1 (Sähköinen tunnistaminen ja sähköinen allekirjoitus) mukaan

Tunniste on luonnollisen henkilön sähköisen tunnistamisen ja sähköisen allekirjoittamisen väline.

Ehtojen kohdan 2.3 (Tunnisteen säilyttäminen ja katoamisvastuu) mukaan

Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä. Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.

Asian arviointi

Tapahtumienkulku

Asiassa on riidatonta, että ostajaksi tekeytynyt huijari on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta riidanalaisten korttimaksujen edellyttämät tiedot ja on niitä hyväksi käyttäen tehnyt verkossa neljä korttimaksua, joiden toteuttaminen on edellyttänyt pankin tunnistussovelluksella tehtyä vahvistusta.

Asiakas on saanut huijarilta viestin, jossa olleen linkin kautta asiakas on päätynyt rikollisten luomille valesivuille ja syöttänyt sivuille pankkitunnustietonsa. Huijari on saatuaan kyseiset tiedot valesivun kautta syöttänyt ne omalle laitteelleen lataamaansa pankin tunnistussovellukseen. Pankki on lähettänyt asiakkaalle tekstiviestitse tunnistussovelluksen aktivointikoodin, minkä asiakas on syöttänyt valesivustolle ja huijari on siten saanut tunnistussovelluksen aktivoitua.

Asiakkaan menettelyn arviointi

Asiakas on kertonut olleensa myymässä tori.fi -sivustolla tuotteita ja saaneensa ostajaksi tekeytyneeltä huijarilta viestin ToriDiili -palvelun aktivoimiseksi. Kyseisellä sivustolla on sinänsä käytössä mainittu palvelu kauppojen tekemiseksi ja huijarin viestin linkistä avautunut sivusto on näyttänyt asiakkaan mukaan pankin sivustolta. Asiakas on myös luullut käyttävänsä tunnuksiaan tavanomaisella tavalla tunnistautumistarkoituksessa. Kyseiset seikat ovat osaltaan saaneet asiakkaan uskomaan, että hän toimii asianmukaisesti.

Valesivustolle johtaneen linkin sisältäneen viestin on asiakkaan selvityksen mukaan lähettänyt hänelle tuntematon henkilö. Asiakas on syöttänyt pankkitunnustietonsa hänelle viestissä lähetetyn linkin kautta avautuneille sivuille maksun vastaanottamista varten. Saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin, asiakkaan olisi tullut ymmärtää jättää saamansa koodi syöttämättä tuntemattoman henkilön viestin linkistä avautuneelle verkkosivustolle. Pankin viestissä on mainittu, että kysymyksessä on aktivointikoodi, jota pankki ei koskaan kysy, mutta huijari kysyy. Lautakunta katsoo, että viestissä on kerrottu asianmukaisesti, mihin aktivointikoodia käytetään, mihin se ainoastaan tulee syöttää ja varoitettu myös huijauksista.

Asiakkaan syötettyä aktivointikoodin valesivustolle pankki on lähettänyt asiakkaalle toisen viestin tunnistussovelluksen aktivoinnista. Viestissä on muun ohella kehotettu ottamaan välittömästi yhteyttä pankin asiakaspalveluun, jos epäilee jonkun muun saaneen pääsyn pankin tunnistussovellukseen. Mikäli asiakas olisi ohjeen mukaisesti ottanut yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Aiemman ratkaisukäytäntönsä mukaisesti Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että asiakkaan syötettyä tuntemattoman henkilön lähettämän linkin kautta avautuneille sivuille pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Asiakas vastaa siten asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankin menettely

Lautakunta toteaa, että asiakas on pitänyt pankin menettelyä epäasianmukaisena, kun asiakkaan soitettua pankin asiakaspalveluun hänelle kerrottiin rahojen olevan turvassa ja lisäksi verkkopankkitunnusten sulkeminen kesti pitkään. Asiakkaan toimittamasta litteroinnista koskien häneen puheluaan pankkiin ilmenee muun ohella, että pankin asiakaspalvelija on sanonut, ettei pysty sanomaan tarkalleen, mitä tilillä on tapahtunut eikä asiakkaan tarvitse huolehtia asiasta enemmän. Asiakas on voinut keskustelusta jäädä siihen käsitykseen, että huijarit eivät onnistuneet käyttämään hänen maksukorttiaan.

Asiakkaan verkkopankkitunnukset on suljettu noin tunti sen jälkeen, kun hän oli soittanut sulkupalveluun. Korttimaksut oli jo tehty ennen asiakkaan puhelua.

Asiakkaan mukaan myös pankin mainittujen korttimaksujen jälkeen lähettämässä viestissä, jossa pankki on tiedustellut, tunnistiko asiakas maksutapahtumaa, oli eri rahamäärä kuin mitä pankki kirjelmissään on väittänyt. Edellä esitetyn perusteella kyseisellä viestillä eikä pankin kuvatulla menettelyllä ole vaikutusta aiheutuneeseen vahinkoon.

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Piilo ja Punakivi. Jäsen Makkosen eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heikinsalmi

Jäsenet:
Atrila
Makkonen
Piilo
Punakivi

Jäsen Makkosen eriävä mielipide:

Lautakunnan enemmistöstä poiketen katson, että asiakas ei ole puheena olevassa tapauksessa menetellyt törkeän huolimattomasti maksupalvelulain 62 §:n 2 momentissa tarkoitetussa merkityksessä. Lisäksi katson, että asiakas ei ole pätevällä tavalla antanut suostumustaan verkkopankin tunnuslukusovelluksen siirrosta ulkopuolisen henkilön puhelimeen siten, että asiakkaan vastuu maksutapahtumista voisi perustua maksupalvelulain 62 §:n 1 momentin 1 kohtaan.

Asiakkaan toiminnan arviointi törkeän huolimattomuuden näkökulmasta

Asiointi nyt puheena olevassa tapauksessa tapahtui tilanteessa, jossa kauppapaikka nimenomaisesti suosittelee vahvan tunnistautumisen käyttöönottoa kauppojen luotettavuuden parantamiseksi ja kaupan osapuolten todentamiseksi. Asiakkaalta ei siten ole perusteltua lähtökohtaisesti odottaa tunnistautumismenettelyn käytön kyseenalaistamista. Kyse ei ole esimerkiksi puhelimitse, sähköpostitse tai sosiaalisessa mediassa tapahtuneesta verkkopankkitunnusten kalastelusta.

Pankin lähettämä vahvistusviesti oli sisällöllisesti epäselvä. Vaikka vahvistusviestissä viitattiin pankin tunnuslukusovelluksen nimeen, viestin sanamuodoista on kuitenkin saattanut perustellusti saada käsityksen, että kyseessä oli ainoastaan vahva tunnistautuminen, koska siinä viitataan ID:hen. Viesti ei selkeästi ilmaissut, että kyseessä oli tunnistautumissovelluksen siirtoon liittyvän luvan antaminen.

Lautakunnan enemmistö on ratkaisun perusteluissa katsonut, että maksukortin numeron ilmoittaminen maksujen vastaanottamista varten olisi poikkeuksellista, ja tämän vuoksi asiakkaan olisi tullut kiinnittää huomiota epäilyttävään toimintaan. Sähköisten maksutapojen kirjo on valtava, eikä asiakkaan ole perusteltua odottaa tietävän kunkin palveluntarjoajan palveluiden toimintamekaniikkaa yksityiskohtaisesti.

On esimerkiksi tavanomaista, että maksujen palautuksia varten tarvitaan se korttinumero, jolla maksu on suoritettu. Maksukortin käyttötilanteet siten jonkin verran poikkeavat käytännössä siitä, mitä yleisissä ehdoissa on todettu. Maksukortin numeron ilmoittamista maksujen vastaanottamista varten ei tavanomaiset käyttötilanteet huomioiden voida pitää erityisen poikkeuksellisena.

Edellä todetuin perustein katson, että asiakkaan menettelyä ei voida pitää törkeän huolimattomana.

Yleisesti ottaen vahvan tunnistautumisen edellyttämisen yleistyminen ja erityisesti nyt puheena olevassa tapauksessa vahvan tunnistautumisen suosittaminen kauppapaikan toimesta antaa perustellusti aihetta arvioida asiaa eri tavalla kuin esimerkiksi puhelimitse, sähköpostitse tai sosiaalisessa mediassa tapahtuvassa verkkopankkitunnusten kalastelussa. Näin ollen katson, että aiempaa lautakunnan ratkaisukäytännössä omaksuttua linjaa ei ole perusteltua soveltaa sellaisenaan nyt puheena olevaan tapaukseen.

Verkkopankkitunnusten luovuttamisesta niiden käyttöön oikeudettomalle

Pankin lähettämästä tekstiviestistä on perustellusti voinut saada sen käsityksen, että kyse on vahvasta tunnistautumisesta, eikä tunnuslukusovelluksen asennusluvan antamisesta uudelle laitteelle. Vaikka viestissä käytetään pankin tunnuslukusovelluksen nimeä, on tunnuslukusovelluksen nimi sikäli yleisluontoinen, että asiakas on voinut perustellusti erehtyä antavansa luvan ainoastaan vahvaan tunnistautumiseen.

Tässä tapauksessa asiakkaan erehdyttäminen tapahtui verkkokauppaympäristössä, joka nimenomaan suosittelee vahvan tunnistautumisen käyttöönottoa. Aiempana tarkemmin esitetyin perustein katson, että asiakkaalla ei ole ollut perusteltua syytä epäillä menettelyn asianmukaisuutta myöskään sillä perusteella, että maksukortin numeroa kysyttiin maksun vastaanottamista varten. Siksi katson, että asiakkaan ei lähtökohtaisesti ole perusteltua odottaa epäilevän vahvan tunnistautumispyynnön asianmukaisuutta tai kyseenalaistaa sitä, että kyseessä olisi ollut mikään muu toimenpide kuin ainoastaan vahva tunnistautuminen.

Näin ollen katson, että asiakas ei ole luovuttanut verkkopalvelutunnuksia ulkopuolisen henkilön haltuun myöskään maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla.

Pankin sähköisen asiointikanavan vaikeaselkoisuudesta aiheutuvien riskien on yleisesti ottaen perusteltua olla pankin kannettavana.

Lopputulos

Katson pankkilautakunnalle toimitetun selvityksen perusteella, että asiakkaan toimintaa ei voida luokitella törkeän huolimattomaksi maksupalvelulain 62 §:n 2 momentissa tarkoitetulla tavalla, eikä asiakas ole luovuttanut verkkopankkitunnuksiaan käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla. Näin ollen asiakasta ei ole pidettävä kokonaisuudessaan vastuullisena nyt puheena olevista maksutapahtumista. Lautakunnan olisi sen sijaan tullut tarkemmin arvioida, onko asiakkaan toimintaa kokonaisuutena pidettävä huolimattomana maksupalvelulain 62 §:n 1 momentin 2 tai 3 kohdassa ja pykälän 2 momentissa tarkoitetulla tavalla – eli toisin sanoen sitä, rajoittuuko asiakkaan vastuu 50 euroon vai vastaako maksutapahtumista yksinomaan pankki.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä