Haku

FINE-003435

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-003435 (2017)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 22.08.2017

Miten vastuu asiakkaan verkkopankkitunnuksien oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaan ja pankin välillä? Verkkopankkitunnusten oikeudeton käyttö. Phishing. Törkeä huolimattomuus.

Tapahtumatiedot

Asiakkaan tililtä tehtiin 8.5.2017 kaksi verkkomaksua, yhteensä 2.499,18 euroa, käyttäen hänen verkkopankkitunnuksiaan oikeudetta.  Asiakas ilmoitti tunnusten oikeudettomasta käytöstä hetkeä myöhemmin.

Asiakkaan valitus

Asiakas on valituksessaan kertonut, että hänelle soitettiin ja soittaja esitti soittavansa pankista. Asiakkaalta pyydettiin pankin päivitystä varten verkkopankin tunnuslukuja. Soittaja kertoi, että verkkopankkia pystyi käyttämään taas klo 14 jälkeen. Asiakas huomasi jo puhelun aikana, että hänen tilinsä oli tyhjennetty verkkomaksuilla. Asiakas yritti soittaa takaisin soittajan numeroon, mutta numero ei enää vastannut. Asiakas soitti sen jälkeen pankkiin ja hänen pankkitunnuksensa suljettiin. Asiakas vaatii pankkia korvaamaan 2.499,18 euroa.

Pankin vastine

Pankki on vastineessaan todennut, että ehtojen mukaan asiakas on velvollinen täyttämään pankin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudattamaan niitä. Turvallisuusohjeita on annettu verkkopankissa ja lähetettäessä uusi tunnuslukutaulukko.

Verkkopankin turvallisuusohjeissa on varoitettu mm. puhelinsoitoista, joissa pyydetään kertomaan verkkopankin asiointitunnukset. Asiakkaalle on lähetetty 10.12.2015 ja 5.1.2017 uusi tunnuslukutaulukko saatekirjeineen. Kirjeessä on mm. todettu isoin kirjaimin, että pankki ei koskaan ota yhteyttä sähköpostilla tai puhelimella kysyäkseen pankkitunnuksiasi.

Pankki on lisäksi varoittanut tietojenkalastelusta verkkosivuillaan, sosiaalisessa mediassa talven ja kevään 2017 aikana ja tiedotteella talvella 2016. Asiasta ovat varoittaneet myös useat lehdet, viranomaiset sekä muut sivustot. Asiasta ovat tiedottaneet esimerkiksi viestintävirasto, Ilta-Sanomat, yksityisyydensuoja.fi, korttiturvallisuus.fi, Helsingin Sanomat ja Mikrobitti.

Pankille on jäänyt puhelun tarkan sisällön ohella epäselväksi, kuinka monta tunnuslukua tunnuslukutaulukosta on käyttäjätunnuksen ja salasanan lisäksi annettu puhelun aikana. Pankin näkemyksen mukaan kahden verkkomaksun toteuttamiseen tarvitaan kuitenkin vähintään kaksi tunnuslukua pankkitunnuksien käyttäjätunnuksen ja salasanan lisäksi.

Pankki katsoo, että asiakkaan olisi tullut ymmärtää, ettei puhelu tullut tosiasiassa pankista ja asiakkaan olisi huolellisesti toimiessaan tullut jättää antamatta tiedot. Pankki katsoo asiakkaan toimineen törkeän huolimattomasti eikä siten katso olevansa korvausvastuussa asiakkaalle aiheutuneesta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

- Asiakkaan reklamaatio.

- Tiliote.

- Digitaalisia palveluita koskevat yleiset ehdot.

- Uuden tunnuslukutaulukon saatekirje.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.

Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:

1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;

2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka

3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Pykälän 3 momentin mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin verkkopalvelutunnusten yleisten ehtojen kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä koskeva kohta vastaa maksupalvelulain kuluttajan hyväksi pakottavia säännöksiä.

Ehtojen mukaan asiakkaan on täytettävä pankin kulloinkin ilmoittamat, digitaalisten palvelujen tarjoamista ja käyttämistä koskevat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Pankki toimittaa asiakkaalle tarkemmat ohjeet pankkitunnusten käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä.

Ehtojen mukaan asiakas sitoutuu säilyttämään pankin myöntämät pankkitunnukset huolellisesti. Asiakas sitoutuu säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon.

Asian arviointi

Pankkilautakunta toteaa pankin verkkopalvelutunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä kertakäyttöisten avainlukujen listasta. Asiassa saadun selvityksen perusteella jää osittain epäselväksi, kuinka monta avainlukua asiakas on luovuttanut. Ilmeistä kuitenkin on, että asiakas on luovuttanut käyttäjätunnuksen ja salasanan lisäksi ainakin kaksi kertakäyttöistä tunnuslukua.

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut pankin kanssa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan verkkopalvelutunnuksia koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai verkkopalvelutunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas verkkopankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan hyväksymien ehtojen mukaan asiakas on sitoutunut säilyttämään pankin myöntämät pankkitunnukset huolellisesti ja säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Edelleen ehtojen mukaan asiakkaan on noudatettava pankin antamia kohtuullisia turvallisuusohjeita.

Pankki on lähettänyt asiakkaalle 10.12.2015 ja 5.1.2017 uusi tunnuslukutaulukko saatekirjeineen. Kirjeessä on mm. todettu, että ”pankkitunnukset ovat henkilökohtaisia eikä niitä saa luovuttaa toiselle henkilölle”. Edelleen kirjeessä on todettu, että ”[PANKKI] EI KOSKAAN OTA YHTEYTTÄ SÄHKÖPOSTILLA TAI PUHELIMELLA KYSYÄKSEEN PANKKITUNNUKSIASI”.

Pankin mukaan se on lisäksi varoittanut tietojenkalastelusta verkkosivuillaan, sosiaalisessa mediassa talven ja kevään 2017 aikana ja tiedotteella talvella 2016. Asiasta ovat varoittaneet myös useat lehdet, viranomaiset sekä muut sivustot. Asiasta ovat tiedottaneet esimerkiksi viestintävirasto, Ilta-Sanomat, yksityisyydensuoja.fi, korttiturvallisuus.fi, Helsingin Sanomat ja Mikrobitti.

Pankkilautakunta katsoo, että asiakkaan olisi tullut yleisen tietämyksen ja pankin erikseen antamien varoitusten perusteella ymmärtää, ettei puhelu tullut tosiasiassa pankista ja ettei hän olisi saanut antaa käyttäjätunnusta, salasanaa ja tunnuslukuja niitä pyytäneelle henkilölle.

Mikäli asiakas olisi puhelun saatuaan ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden ja olisi ennen verkkopankkitunnustensa antamista ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Yhteenvetona Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena poikkeavan selvästi ja olennaisesti siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja asiakkaan menettelyn kokonaisuutena arvioiden osoittavan näin ollen maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo kuitenkin verkkopalvelutunnusten joutumisen sivullisen tietoon ja niiden oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan kokonaisuutena arvioiden laissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

 

PANKKILAUTAKUNTA

 

Puheenjohtaja Sillanpää

Sihteeri Heino

 

Jäsenet:

Atrila

Kallio

Lehtonen

Pulkkinen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä