Haku

FINE-003294

Tulosta

Asianumero: FINE-003294 (2017)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 08.11.2017

Miten vastuu asiakkaan verkkopankkitunnuksien oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten haltijan huolimattomuus.

Tapahtumatiedot

Asiakas sai Pankin nimissä lähetetyn sähköpostiviestin, jossa kerrottiin Pankin suorittamasta kriittisestä turvallisuuspäivityksestä ja pyydettiin asiakasta klikkaamaan viestissä ollut linkkiä ja seuraamaan ohjeita. Asiakas avasi linkin ja avautuneilla sivuilla hän oletti tunnistautuvansa verkkopankkitunnuksillaan. Asiakkaalle tuli 21.4.2017 klo 12.49 puhelu, jonka soittaja esittäytyi Pankin työntekijäksi. Hän tarkasti asiakkaan henkilötiedot, kertoi että päivitys tehdään nyt ja pyysi asiakkaalta tunnuslukua tunnuslukutaulukosta kahteen kertaan. Asiakas huomasi samana iltana tililtään tehdyn kaksi oikeudetonta tilisiirtoa yhteisarvoltaan 5.000 euroa. Asiakas ymmärsi tulleensa huijatuksi ja oli välittömästi yhteydessä Pankkiin.

Asiakkaan valitus

Asiakas pyytää, että Pankki korvaisi hänelle aiheutuneen vahingon kokonaisuudessaan tai ainakin osittain.

Asiakas vastasi sähköpostiviestiin ”Kriittinen turvallisuuspäivitys verkossa”. Viesti oli oikeakielinen ja hyvin Pankin lähettämän näköinen. Viesti ohjasi Pankin verkkopankin näköiseen portaaliin, johon piti tunnistautua verkkopankkitunnuksin (ei tunnuslukuja). Tässä vaiheessa asiakkaalle ei lainkaan käynyt mielessä, että kyseessä on huijausviesti. Pankista ei ollut tullut asiakkaan tietoon mitään varoituksia/tiedotteita, että tällaisia on liikenteessä. Pankin verkkopankkisivuston alalaidassa ollut tiedote on tehty 18.4.2017, mutta sitä ei oltu toimitettu esimerkiksi henkilökohtaisena verkkoviestinä eikä se näkynyt suoraan näytöltä, kun verkkopankkiin kirjaudutaan sisään.

Asiakkaalle soitettiin oletetusti Pankista hyvin vakuuttavasti ja kerrottiin, että verkkopankissa tehdään tietyt tarkistukset ja päivitykset. Tarkistivat henkilötietoni ja kertoivat, että tarvitsevat vain tietyn tunnusluvun tehdäkseen nämä kuntoon. Puhelussa oli jotain sählinkiä ja asiakas joutui antamaan tunnusluvun useampaan kertaan. Soittaja oli hyvin vakuuttava ja kertoi jotain Pankin käytännöistä ja verkkopankin toimivuudesta. Asiakas ei hoksannut vieläkään huijausta, koska häneltä ei kysytty käyttäjätunnusta eikä salasanaa. Lisäksi Pankilla on ollut käytäntönä ainakin aiemmin kysyä tunnuslukutaulukosta numero tunnistaakseen asiakkaan, kun hän on asioita puhelimitse hoitanut. Näin oli myös keväällä, kun asiakas hoiti osakekirjojen siirtoja heidän kanssaan.

Illalla n. klo 22-23 asiakas huomasi, että verkkopankissa oli tilisiirtoja yhteensä 5.000 euron arvosta. Asiakas soitti välittömästi Pankin numeroihin. Aamusta asiakas meni Pankin toimipisteeseen, kertoi mistä on kyse ja pyysi, että siirtyvät rahat voitaisiin jotenkin ”pysäyttää” niiden ollessa ikään kuin matkalla huijarin tilille toisessa pankissa.

Tullessaan huijatuksi asiakas toimi välittömästi ja pyysi Pankilta apua, toimintaohjeita ja asiaan puuttumista, teki rikosilmoituksen ja toimitti kaikki tarvittavat tiedot Pankille. Asiakkaan mielestä Pankki viivytteli asian käsittelyssä, vaikka kyseessä oli summaltaan näin suuri petos. Myös asiaa tutkineen poliisin mukaan Pankilla pitäisi olla jonkinlainen vastuu siitä, että rahoja ei tässä tilanteessa pysäytetty ja toiminta oli hidasta. Pankin toimintatapa on ollut se, että puhelimitse oltaessa yhteydessä on asiakkaalta kysytty tunnuslukutaulukosta jokin luku asiakkaan tunnistamista varten. Lisäksi Pankkiin ei voi olla yhteydessä muutoin kuin puhelimitse tai verkkopankkiviestien välityksellä (Pankin toimipisteissä hoidetaan vain ns. perusasiat tileihin liittyen.). Mm. keväällä asuntokauppaan liittyvissä asioissa, kuten lainojen maksussa ja osakekirjojen siirrossa, Pankista ei saanut ketään henkilökohtaisesti kiinni ja käytännössä tärkeitä asioita on hoidettu puhelimitse tai sähköpostilla.

Pankin vastine

Pankki kiistää vaatimukset perusteettomina.

Asiakas on tehnyt Pankin kanssa pankkitunnussopimuksen 29.04.2008. Asiakkaalle on Iähetetty uusi tunnuslukutaulukko saatekirjeineen mm. 5.12.2016 ja 31.3.2017. Uutta tunnuslukutaulukkoa toimitettaessa lähetettävän kirjeen saatteen pohja on toimitettu lautakunnalle.

Pankin ja asiakkaan välisissä digitaalisia palveluita koskevissa yleisissä ehdoissa asiakas velvoitetaan täyttämään kulloinkin pankin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudattamaan niitä. Asiakkaalle on ehdoissa asetettu velvollisuus tutustua pankin toimittamiin turvallisuusohjeisiin. Turvallisuusohjeita on annettu asiakkaalle Pankin verkkosivuilla, asiakkaan verkkopankissa sekä lähetettäessä asiakkaalle uusi tunnuslukutaulukko.

Asiakkaalle lähetetyn uuden tunnuslukutaulukon mukana tulleessa saatteessa on annettu ehtojen mukaisina turvallisuusohjeina mm.: "Pankkitunnukset ovat henkilökohtaisia eikä niitä saa luovuttaa toiselle henkilölle." sekä "PANKKI EI KOSKAAN OTA YHTEYTTA SÄHKÖPOSTILLA TAI PUHELIMELLA KYSYÄKSEEN PANKKITUNNUKSIASI.".

Asiakkaan verkkopankkiin toimitetuissa Pankin verkkopankin turvallisuusohjeissa todetaan tietojenkalastelusta mm., että "Varo huijareita, jotka yrittävät saada pankkitunnuksiasi tai luottokorttitietojasi hyödyntämällä sähköpostiviestejä ja väärennettyjä verkkosivuja. Tällaiset huijaukset (phishing) ovat yleistyneet. Kyseistä huijausta yritetään tehdä myös puhelimitse soittamalla asiakkaalle ja pyytämällä häntä kertomaan verkkopankin asiointitunnuksensa tai luottokorttitietonsa. Yleensä näissä huijausyrityksissä huijari yrittää vedota asiakkaan luottamukseen esiintymällä pankin tai luottokorttiyhtiön edustajana." sekä, että "Pankki ei milloinkaan kysy asiakkaan pankkitunnuksia tai luottokorttitietoja tai muita arkaluontoisia tietoja sähköpostiviestillä tai soittamalla asiakkaalle."

Pankki on tiedottanut ja varoittanut lisäksi Iaajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa talven ja kevään 2017 aikana. Pankin verkkosivuilla lukee asiakkaan verkkopankissa olevien ohjeiden lisäksi muun muassa, että "Verkkopankkitunnukset ovat henkilökohtaiset. Niitä ei tule antaa kenenkään muun, edes puolison tai perheenjäsenen käyttöön. Turvallisuussyistä tunnuksia tulee säilyttää huolellisesti ja aina erillään toisistaan. Älä tallenna tunnuksia käyttämällesi laitteelle vaan opettele ne ulkoa. Näin ehkäiset tunnusten joutumisen vääriin käsiin. Pankki ei milloinkaan kysy pankkitunnuksiasi, luottokorttitietojasi tai muita arkaluonteisia tietoja sähköpostiviestillä tai soittamalla sinulle. Jos sinulta kysytään pankkitunnuksiasi esimerkiksi sähköpostissa, kyseessä on huijausviesti, johon ei pidä missään nimessä vastata. Mikäli saat tällaisen viestin, ilmoita siitä asiakaspalveluumme […]". Pankki on julkaissut 5.2.2016 tiedotteen "Kalasteluviestejä liikkeellä", jossa kerrotaan Iiikkeellä olevista huijausviesteistä sekä niitä koskevista toimintaohjeista. Pankin lisäksi tietojenkalastelusta Pankin ja muiden pankkien nimissä ovat viimeisen vuoden aikana tiedottaneet julkaisuissa verkkosivuillaan useat lehdet, viranomaiset sekä muut sivustot. Asiasta ovat tiedottaneet esimerkiksi viestintävirasto, Ilta-Sanomat, yksityisyydensuoja.fi, korttiturvallisuus.fi, Helsingin Sanomat ja Mikrobitti.

Tietojenkalastelusähköposti ja -puhelu

Asiakas on Pankille 3.5.2017 lähettämässään viestissä kertonut hänen saamansa sähköpostiviestin olleen hyvin oikeellisen tuntuinen ja että sen allekirjoittajana on ollut Pankki. Viesti on ohjannut asiakkaan hänen kertomansa mukaan täysin Pankin verkkopalvelun näköiseen portaaliin, jossa asiakas on antanut omat tietonsa. Pankki toteaa, ettei asiakkaan pankille välittämää tietojenkalasteluviestiä voida sen muodon tai asiasisällön perusteella katsoa pankin lähettämäksi. Viestin sisältämien useiden kirjoitusvirheiden ja epätarkkuuksien vuoksi Pankki katsoo viestin vastaanottajan täytyneen ymmärtää, ettei viestin linkkiä painamalla olla asioimassa pankin kanssa. Lisäksi Pankki toteaa, että pankkitunnuksia tai niiden osia pyydettäessä pankkitunnusten haltijan täytyisi olla vielä erityisen tarkkaavainen ja huolellinen lukiessaan kuvatunlaisia sähköpostiviestejä. Pankki katsoo, että viestiä lukiessa, siihen vastattaessa ja sen ohjeita noudattaessa on menetelty täysin vastoin pankkitunnuksiin liittyviä huolellisuus- ja turvallisuusvaatimuksia ja siten menetelty pankkitunnuksien käsittelyssä erittäin huolimattomasti.

Pankilla ei ole tarkkaa tietoa, kuinka monta tunnuslukua tunnuslukutaulukosta on käyttäjätunnuksen ja salasanan lisäksi annettu asiakkaalle soitetun tietojenkalastelupuhelun aikana. Pankin näkemyksen mukaan kahden verkkomaksun toteuttamiseen tarvitaan kuitenkin vähintään kaksi tunnuslukua pankkitunnuksien käyttäjätunnuksen ja salasanan lisäksi.

Arvioitaessa asiakkaan huolellisuutta pankkitunnusten käsittelemisessä tulee Pankin näkemyksen mukaan ottaa huomioon pankkitunnussopimuksen ehtojen sekä turvallisuusohjeiden noudattamisen lisäksi pankkitunnuksien turvallisuusriskeihin liittyvä yleinen kuluttajilta edellytettävä tietämys. Pankki katsoo, että yleiseen tietämykseen kuuluu edellä esitetyn kaltaisen tiedottamisen ja huolelliselta asiakkaalta edellytettävien vaatimusten perusteella ymmärrys siitä, ettei pankki ota asiakkaaseen missään olosuhteissa yhteyttä kysyäkseen pankkitunnuksia ja varsinkaan pankkitunnuksien kaikkia osia useita tunnuslukuja mukaan lukien. Pankkitunnuksien tai niiden osien luovuttaminen toiselle suullisesti tai kirjallisesti kielletään pankin digitaalisia palveluita koskevissa ehdoissa sekä pankin käyttämissä ja asiakkaalle toimittamissa turvallisuusohjeissa.

Pankki katsoo, että asiakkaan olisi tullut ymmärtää, ettei hänelle sähköpostiviestin jälkeen tullut puhelu tosiasiassa tullut pankista, ja asiakkaan olisi huolellisesti toimiessaan tullut jättää soittajan pyytämät tunnuslukutaulukon numerot antamatta. Mikäli asiakas olisi perehtynyt pankin asiakkaalle toimittamiin turvallisuusohjeisiin sekä pankkitunnussopimukseen liittyviin ehtoihin ja ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden, asiassa olisi vältytty oikeudettomasti toteutetuilta verkkomaksuilta.

Asiakas kertoo valituksessaan, että Pankin toimintatapa on ollut se, että puhelimitse oltaessa yhteydessä heillä on ollut tapana kysyä tunnuslukutaulukosta jokin luku tunnistaakseen hänet. Lisäksi asiakas toteaa Pankin käytännön olevan hoitaa tärkeitä asioita sähköpostitse ja puhelimitse. Pankki katsoo kuitenkin edelleen, että asiakkaan on täytynyt ymmärtää, ettei Pankki ota yhteyttä missään olosuhteissa asiakkaaseen kysyäkseen pankkitunnuksia tai niiden osia. Lisäksi Pankki ei koskaan pyydä asiakasta puhelimitse vahvasti tunnistaessaan asiakkaalta kaikkia pankkitunnuksien osia täydellisinä, vaan käyttäjätunnuksen neljä viimeistä numeroa ja yhden tunnusluvun. Ottaen lisäksi huomioon asiakkaalle tulleiden yhteydenottojen muoto ja muut olosuhteet tapauksessa Pankki katsoo niiden poikkeavan olennaisesti tilanteista, joissa asiakas on soittanut pankkiin asuntokauppaa tai laina-asioita koskien ja antanut tunnuslukutaulukostaan tunnusluvun tunnistautuakseen vahvasti pankin puhelinpalvelussa. Pankin näkemyksen mukaan asiakkaan velvollisuus on ymmärtää ero pankkitunnuksien tai niiden osien luovuttamisen sekä asiakkaan pankin palveluun tunnistautumisen välillä.

Lisäksi Pankki toteaa, että reklamaatioiden käsittelyssä on ollut pankissa ruuhkaa asiakkaan reklamoidessa tilisiirtoja. Pankki on kuitenkin vastannut kaikkiin asiakkaan verkkopankissa pankille lähettämiin viesteihin noin viikon kuluessa, jota voidaan pitää kohtuullisena vastausaikana. Asiakas on saanut pyytämänsä toimintaohjeet hänen niitä kysyessään käydessään Pankin asiakaspalvelupisteellä 22.4.2017 eikä vastauksien viipymisestä asiakkaan verkkoviesteihin ole aiheutunut asiakkaalle vahinkoa. Pankki pyrkii kuitenkin kehittämään toimintaansa pyrkimällä selvittämään huijausviesteihin Iiittyviä rikoksia tehokkaammin.

Asiakas on lisävastineessaan todennut, että Pankilla pitäisi olla mahdollisuus toimia nopeammin, sillä asiakas toimitti tiedot petoksesta ja rahojen siirtymisestä samana päivänä. Asiaa tutkivan poliisin lausuman mukaan pankilla on osavastuunsa siitä, että petos on tehty pankin nimissä esiintyen ja että pankki ei ole pysäyttänyt rahoja tapauksessa. Asiakkaan mukaan nopealla toiminnalla viikonloppuna rahojen siirtyminen olisi voitu Pankissa pysäyttää. Lisäksi asiakas on todennut, että pankeilla on jonkinlainen vastuu tilivaroista ja tilisiirroista etenkin, jos siirto tapahtuu pankin nimissä toimivan henkilön toiminnan johdosta.

Riidanalaiset verkkomaksut on tehty asiakkaan tililtä 21.4.2017. Asiakas on pankin tietojen mukaan lähettänyt 21.4.2017 klo 23:34:20 viestin, jossa hän on ilmoittanut tililtään kadonneen rahaa.

Maksupalvelulakiin perustuvien Euromaksualueella valitettavien euromaksujen yleisien ehtojen 4 kohdan mukaan "Maksutoimeksianto katsotaan annetuksi, kun maksajan pankki on vastaanottanut sen pankin hyväksymällä tavalla. Muuna kuin pankkipäivänä vastaanotetun maksutoimeksiannon aloituspäivä on seuraava pankkipäivä." Maksutoimeksiannon peruuttamisesta tai muuttamisesta ehtojen kohdassa 7 todetaan, että "Jos maksaja on kuluttaja, maksajalla on oikeus peruuttaa toimeksianto taikka muuttaa eräpäivää tai maksun määrää ilmoittamalla siitä pankille sovitulla tavalla viimeistään eräpäivää edeltävänä pankkipäivänä. Peruutus tai muutos on tehtävä viimeistään eräpäivää edeltävänä pankkipäivänä pankin tai palvelun aukioloaikana pankin ilmoittamaan ajankohtaan mennessä."

Pankki on maksujenvälityksen ehtojen mukaisesti veloittanut tehdyt maksut asiakkaan tililtä maksutoimeksiannoissa ilmoitettuna eräpäivänä. Tämän jälkeen Pankki on ehtojen mukaisesti välittänyt tilisiirron maksutoimeksiannon perusteella. On riidatonta, että asiakas ei ole peruuttanut maksutoimeksiantoa ehtojen ja lain mukaisella tavalla viimeistään eräpäivää edeltävänä pankkipäivänä. Pankki katsoo toimineensa oikein toteuttaessaan kyseessä olevat maksutoimeksiannot. Pankki ei pysty estämään pankin nimissä puhelimessa esiintymistä tai Pankin nimen käyttämistä sähköpostin allekirjoituksessa. Pankille on arvoitus, miten asiakas tai poliisi voi kuvitella Pankin nimissä esiintymisestä aiheutuvan Pankille vastuita.

Lopuksi

Pankki katsoo, että asiakkaalle lähetetty viesti ja hänelle soitettu puhelu sekä niissä annettujen ohjeiden noudattaminen luovuttamalla pankkitunnuksien osia ilmentävät asiakkaan menettelyssä selvää varomattomuutta sekä piittaamattomuutta pankin antamista turvallisuusohjeista. Pankki katsoo, ettei asiakas ole voinut perustellusti luulla asioivansa pankin kanssa antaessaan pankkitunnuksien osia hänelle tulleissa yhteydenotoissa. Pankki painottaa erityisesti, että asiakkaalle on vuoden 2017 ja 2016 aikana lähetetyssä viestinnässä kielletty isoilla kirjaimilla antamasta pankkitunnuksien osia puhelimitse niitä kysyvälle. Asiakas on pankin näkemyksen mukaan toiminut täysin vastoin pankkitunnuksiin liittyviä huolellisuusvelvoitteita ja sopimusehtoja. Pankki katsoo, että asiakas on pankin digitaalisia palveluita koskevissa ehdoissa tarkoitetulla tavalla toiminut törkeän huolimattomasti luovuttaessaan pankkitunnukset puhelimitse niitä kysyneelle. Näin ollen Pankki ei ole korvausvastuussa asiakkaalle oikeudettomista verkkomaksuista aiheutuneesta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (ilmoitusaika 22.4.2017)
- Asiakkaalle 17.4.2017 tullut sähköposti aiheella ”Kriittinen Turvallisuus Päivitys”
- Digitaalisia palveluita koskevat yleiset ehdot
- Pankin käyttämä pankkitunnuksien turvallisuusohje asiakkaan verkkopankissa
- Uuden tunnuslukutaulukon saatekirje
- Euromaksualueella välitettävien euromaksujen yleiset ehdot
- Tilitapahtuman tiedot ko. veloituksista

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja Pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.

Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin digitaalisia palveluita koskevien yleisten ehtojen Turvallisuutta koskevan kohdan mukaan:
Asiakkaan on täytettävä Pankin kulloinkin ilmoittamat, digitaalisten palvelujen tarjoamista ja käyttämistä koskevat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Pankki toimittaa asiakkaalle tarkemmat ohjeet pankkitunnusten käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä.

Pankin digitaalisia palveluja koskevien yleisten ehtojen Pankkitunnusten säilyttämistä ja asiakkaan vastuuta koskevan kohdan mukaan:
Asiakas sitoutuu säilyttämään Pankin myöntämät pankkitunnukset huolellisesti. Asiakas sitoutuu säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Asiakas on velvollinen välittömästi ilmoittamaan Pankille, jos pankkitunnukset tai niiden osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa. […]
Asiakas vastaa kaikesta siitä vahingosta, jonka pankkitunnusten joutuminen ulkopuolisen tietoon on aiheuttanut Pankille, asiakkaalle tai sivulliselle siihen asti, kunnes Pankki on vastaanottanut edellä mainitun ilmoituksen ja estänyt digitaalisten palvelujen käytön jatkamisen niin nopeasti kuin mahdollista. Vastaan-otettuaan mainitun ilmoituksen Pankilla on oikeus välittömästi keskeyttää asiakkaan tietoyhteys ja samalla Pankin digitaalisten palvelujen käyttö.
Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä vain, jos:
1) hän on luovuttanut pankkitunnukset toiselle;
2) pankkitunnusten joutuminen niiden käyttöön oikeudettomalle johtuu asiakkaan huolimattomuudesta, joka ei ole lievää; taikka
3) Asiakas menetettyään pankkitunnusten hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt ilmoittaa tästä Pankille viipymättä sen havaittuaan.
Mikäli pankkitunnuksia on nyt mainituissa kohtien 2 ja 3 mukaisissa tapauksissa käytetty oikeudettomasti maksuvälineenä Asiakas vastaa maksuvälineen oikeudettomasta käytöstä enintään 150 euroon saakka. Tätä rajoitusta ei kuitenkaan sovelleta, jos Asiakas on toiminut tahallisesti tai törkeän huolimattomasti.
 Asiakas ei kuitenkaan vastaa pankkitunnusten oikeudettomasta käytöstä:
1) siltä osin kuin pankkitunnuksia on käytetty sen jälkeen, kun Pankille tai sen nimeämälle muulle taholle on ilmoitettu pankkitunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos Pankki on laiminlyönyt huolehtia siitä, että Asiakkaalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus; tai
3) myyjä tai palveluksen suorittaja taikka se, joka maiden edustajana on hyväksynyt pankki tunnusten käytön, ei ole riittävän huolellisesti varmistunut haltijan oikeudesta käyttää pankkitunnuksia.

Asian arviointi

Pankkilautakunta toteaa Pankin verkkopalvelutunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä tunnuslukutaulukosta. Riidatonta tässä tapauksessa on, että asiakas on antanut sähköpostiinsa tulleessa viestissä olleesta linkistä avautuneilla sivuilla ainakin käyttäjätunnuksensa ja salasanansa, ja tämän jälkeen saamassaan puhelussa asiakas on antanut ainakin kaksi tunnuslukua tunnuslukutaulukostaan. Lautakunnalle on toimitettu asiakkaan aiheella ”Kriittinen Turvallisuus Päivitys” saama sähköposti, mutta osittain epäselväksi asiassa on jäänyt se, minkälaiset internet-sivut asiakkaan saamassa sähköpostissa olleesta linkistä ovat avautuneet, minkälaisia ohjeita ne ovat sisältäneet ja millä tavoin sivuilla on pyydetty asiakkaan verkkopalvelutunnuksia. Asiassa saadun selvityksen puutteellisuudesta huolimatta Pankkilautakunta katsoo, että asia voidaan ratkaista asiassa esitetyn selvityksen perusteella eikä lautakunta ole tämän vuoksi katsonut tarpeelliseksi pyytää osapuolilta asiaan lisäselvitystä.

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut Pankin kanssa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan niitä koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai Pankin digitaalisia palveluja koskevissa yleisissä ehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas verkkopankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan hyväksymien digitaalisia palveluita koskevien yleisten ehtojen mukaan asiakas on sitoutunut säilyttämään pankin myöntämät pankkitunnukset huolellisesti ja säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Edelleen ehtojen mukaan asiakkaan on noudatettava pankin antamia kohtuullisia turvallisuusohjeita. Pankin verkkopankin turvallisuusohjeissa varoitetaan huijareista, jotka hyödyntävät sähköpostiviestejä ja väärennettyjä verkkosivuja, ja huijausyrityksistä, joissa yleensä yritetään vedota asiakkaan luottamukseen esiintymällä pankin edustajana. Ohjeiden mukaan Pankki ei milloinkaan kysy asiakkaan pankkitunnuksia tai luottokorttitietoja sähköpostiviestillä tai soittamalla asiakkaalle. Pankin mukaan se on lisäksi tiedottanut ja varoittanut Iaajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa talven ja kevään 2017 aikana, ja Pankin lisäksi tietojenkalastelusta Pankin ja muiden pankkien nimissä ovat viimeisen vuoden aikana tiedottaneet julkaisuissa verkkosivuillaan useat lehdet, viranomaiset sekä muut sivustot.

Pankkilautakunta katsoo, että asiakkaan olisi yleisen tietämyksen ja hänelle lähetetyn sähköpostin muotoilun ja sisällön perusteella tullut ymmärtää, ettei sähköpostiviesti ollut Pankin lähettämä, ja huolellisesti toimiessaan asiakkaan olisi tullut jättää sähköpostiviestissä ollut linkki avaamatta ja erityisesti jättää verkkopalvelutunnusten osia antamatta kun niitä ko. sivuilla pyydettiin.

Edelleen ja erityisesti lautakunta katsoo, että asiakkaan olisi tullut ymmärtää, ettei myöskään hänelle linkin avaamisen ja avautuneilla sivuilla asioinnin jälkeen tullut puhelu tosiasiassa tullut pankista, ja asiakkaan olisi huolellisesti toimiessaan tullut jättää soittajan pyytämät tunnuslukutaulukon tunnusluvut antamatta.

Mikäli asiakas olisi sähköpostin saatuaan, siinä olleen linkin avattuaan tai viimeistään puhelun saatuaan ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden ja olisi ennen tunnuslukujensa antamista ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja Pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan. Ottaen huomioon, miten pankki on turvallisuusohjeissaan ja aktiivisella tiedottamisellaan pyrkinyt varoittamaan tietojenkalastelusta ja kiinnittämään asiakkaidensa huomiota verkkopankkitunnusten turvalliseen käyttämiseen sekä miten tietojenkalastelu on muutoinkin ollut tapahtuma-aikaan ja sitä ennen esillä julkisuudessa, Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena poikkeavan selvästi ja olennaisesti siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja osoittavan sellaista erittäin vakavaa varomattomuutta, jota maksupalvelulain mukaisella törkeällä huolimattomuudella tarkoitetaan.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo kuitenkin verkkopankkitunnusten joutumisen sivullisen tietoon ja niiden oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja digitaalisia palveluita koskevien yleisten ehtojen mukaisia velvollisuuksiaan kokonaisuutena arvioiden laissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää

Sihteeri Sainio

Jäsenet: Aspelund, Atrila, Lilja

Tulosta