Tapahtumatiedot
Asiakkaan tililtä siirrettiin 28.4.2017 499,18 euroa käyttäen hänen verkkopankkitunnuksiaan oikeudetta. Pankki katsoo, ettei se voi korvata aiheutunutta vahinkoa asiakkaan toimittua täysin vastoin verkkopankkitunnusehtoja.
Asiakkaan valitus
Asiakas vaatii Pankkia korvaamaan hänen kärsimänsä 499,18 euron vahingon, koska pankki ei pysty valvomaan internet-sivustojaan paremmin.
Sähköpostina saapui Pankin ilmoitus, jonka mukaan tili voidaan sulkea jos ei mene sivustolle ja täytä lomaketta. Asiakas täytti kyseisen lomakkeen kun kyseessä oli Pankin etusivulla oleva lomake. Myöhemmin asiaa mietittyään hän rupesi tutkimaan asiaa, joka ilmeni huijaukseksi. Asiakas kuoletti pankkitunnukset, mutta tililtä oli jo ehditty siirtää 499,18 euroa. Asiakas teki rikosilmoituksen poliisille ja reklamaation Pankille.
Asiakkaan mielestä Pankki on osasyyllinen, kun se ei valvo internet-sivustojaan ja sinne pääsevät rosvot lisäämään omiaan ilmoituksiaan ja käyttämään sivuja rikolliseen toimintaan. Kyseessä oli Pankin oma etusivu, johon oli lisätty tämä ilmoitus täytettävästä lomakkeesta.
Asiakas katsoo pankin olevan vastuussa myös, koska pankki on huonosti suojannut tiliasiakkaidensa sähköpostin niin, että se on ollut saatavilla ulkopuolisten käyttöön. Mistä muuten rikolliset olisivat osanneet lähettää tiliasiakkaan sähköpostiin huijauskirjeen. Vanhempi ihminen ei osaa arvata, että kysymyksessä on tosiaan huijaustapahtuma eikä pankin toimesta tehtävä tiedustelu.
Pankin vastine
Pankki kiistää asiakkaan vaatimukset perusteettomina.
Asiakas sai 28.4.2017 otsikolla "Turvallisuus Päivitys" sähköpostin, jossa kerrottiin pankin suorittavan päivityksiä kaikkien asiakkaiden tileille ja että kyseinen päivitys on kriittinen. Sähköpostissa on ohjeistettu klikkaamaan viestissä olevaa linkkiä, seuraamaan ohjeita ja odottamaan asiakaspalvelun yhteydenottoa seuraavan 48 tunnin aikana.
Asiakas on pankille tekemässään reklamaatiossa sekä rikosilmoituksessa kertonut vastanneensa tähän sähköpostiviestiin ja antaneensa pankkitunnuksensa sähköpostilinkistä avautuvalle sivulle. Asiakkaan tililtä on tehty 28.4.2017 oikeudettomaksi ilmoitettu 499,18 euron verkkomaksu, jonka saajana on pikaosto.fi.
Asiakkaalle on reklamaation teon yhteydessä 28.4.2017 kerrottu, että asiakkaan saama sähköposti on ollut huijaus, eikä Pankin lähettämä viesti ja ettei pankkitunnuksia saa antaa sähköpostitse niitä kysyttäessä.
Pankkitunnuksiin liittyvät turvallisuusohjeet ja -vaatimukset
Pankin ja asiakkaan välisissä digitaalisia palveluita koskevissa yleisissä ehdoissa asiakas velvoitetaan täyttämään kulloinkin pankin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudattamaan niitä. Asiakkaalle on ehdoissa asetettu velvollisuus tutustua pankin toimittamiin turvallisuusohjeisiin. Turvallisuusohjeita on annettu asiakkaalle Pankin verkkosivuilla sekä asiakkaan verkkopankissa.
Asiakkaan verkkopankkiin toimitetuissa Pankin verkkopankin turvallisuusohjeissa todetaan tietojenkalastelusta mm., että "Varo huijareita, jotka yrittävät saada pankkitunnuksiasi tai luottokorttitietojasi hyödyntämällä sähköpostiviestejä ja väärennettyjä verkkosivuja. Tällaiset huijaukset (phishing) ovat yleistyneet. Kyseistä huijausta yritetään tehdä myös puhelimitse soittamalla asiakkaalle ja pyytämällä häntä kertomaan verkkopankin asiointitunnuksensa tai luottokorttitietonsa. Yleensä näissä huijausyrityksissä huijari yrittää vedota asiakkaan luottamukseen esiintymällä pankin tai luottokorttiyhtiön edustajana. " sekä, että "Pankki ei milloinkaan kysy asiakkaan pankkitunnuksia tai luottokorttitietoja tai muita arkaluontoisia tietoja sähköpostiviestillä tai soittamalla asiakkaalle."
Pankki on tiedottanut ja varoittanut lisäksi Iaajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa talven ja kevään 2017 aikana. Pankin verkkosivuilla lukee asiakkaan verkkopankissa olevien ohjeiden lisäksi muun muassa, että "Verkkopankkitunnukset ovat henkilökohtaiset. Niitä ei tule antaa kenenkään muun, edes puolison tai perheenjäsenen käyttöön. Turvallisuussyistä tunnuksia tulee säilyttää huolellisesti ja aina erillään toisistaan. Älä tallenna tunnuksia käyttämällesi laitteelle vaan opettele ne ulkoa. Näin ehkäiset tunnusten joutumisen väärin käsiin. Pankki ei milloinkaan kysy pankkitunnuksiasi, luottokorttitietojasi tai muita arkaluonteisia tietoja sähköpostiviestillä tai soittamalla sinulle. Jos sinulta kysytään pankkitunnuksiasi esimerkiksi sähköpostissa, kyseessä on huijausviesti, johon ei pidä missään nimessä vastata. Mikäli saat tällaisen viestin, ilmoita siitä asiakaspalveluumme […]." Pankki on julkaissut 5.2.2016 tiedotteen "Kalasteluviesteja Iiikkeellä", jossa kerrotaan liikkeellä olevista huijausviesteistä sekä niitä koskevista toimintaohjeista. Pankin lisäksi tietojenkalastelusta Pankin ja muiden pankkien nimissä ovat viimeisen vuoden aikana tiedottaneet julkaisuissa verkkosivuillaan useat lehdet, viranomaiset sekä muut sivustot. Asiasta ovat tiedottaneet esimerkiksi viestintävirasto, Ilta-Sanomat, yksityisyydensuoja.fi, korttiturvallisuus.fi, Helsingin Sanomat ja Mikrobitti.
Tietojenkalastelusähköpostiviesti
Asiakkaan saama sähköpostiviesti on ohjannut asiakkaan hänen kertomansa mukaan linkistä avautuvalle sivulle, jossa asiakas on Pankin näkemyksen mukaan antanut pankkitunnuksiensa kaikki osat. Pankki toteaa, ettei asiakkaan pankille välittämää tietojenkalasteluviestiä voida sen muodon tai asiasisällön perusteella katsoa pankin lähettämäksi. Viestin sisältämien useiden kirjoitusvirheiden ja epätarkkuuksien vuoksi Pankki katsoo viestin vastaanottajan täytyneen ymmärtää, ettei viestin linkkiä painamalla olla asioimassa pankin kanssa. Lisäksi Pankki korostaa, että pankkitunnuksia tai niiden osia pyydettäessä pankkitunnusten haltijan täytyisi olla erityisen tarkkaavainen ja huolellinen lukiessaan kuvatunlaisia sähköpostiviestejä ja arvioidessaan niiden asianmukaisuutta. Pankki katsoo, että viestiä lukiessa, siihen vastattaessa ja sen ohjeita noudattaessa on menetelty täysin vastoin pankkitunnuksiin liittyviä huolellisuus- ja turvallisuusvaatimuksia ja siten menetelty pankkitunnuksien käsittelyssä erittäin huolimattomasti.
Pankilla ei ole tarkkaa tietoa, kuinka monta tunnuslukua tunnuslukutaulukosta on käyttäjätunnuksen ja salasanan lisäksi annettu asiakkaan saaman sähköpostiviestin linkistä avautuvalle sivulle. Pankki pitää todennäköisenä, että asiakas on antanut verkkosivuilla kuitenkin useamman kuin yhden tunnusluvun, sillä vastaavanlaisissa huijauksissa tili pyritään tyhjentämään useammalla verkkomaksulla, mihin tarvitaan useampi kuin yksi tunnusluku. Lisäksi Pankki toteaa, että linkistä avautuva sivu ei ole ollut asiakkaan väittämä Pankin etusivu, vaan jokin muu verkkosivu.
Arvioitaessa asiakkaan huolellisuutta pankkitunnusten käsittelemisessä tulee Pankin näkemyksen mukaan ottaa huomioon pankkitunnussopimuksen ehtojen sekä turvallisuusohjeiden noudattamisen lisäksi pankkitunnuksien turvallisuusriskeihin Iiittyvä yleinen kuluttajilta edellytettävä tietämys. Pankki katsoo, että yleiseen tietämykseen kuuluu edellä esitetyn kaltaisen tiedottamisen ja huolelliselta asiakkaalta edellytettävien vaatimusten perusteella ymmärrys siitä, ettei pankki ota asiakkaaseen missaan olosuhteissa yhteyttä kysyäkseen pankkitunnuksia ja varsinkaan pankkitunnuksien kaikkia osia useita tunnuslukuja mukaan lukien. Pankkitunnuksien tai niiden osien luovuttaminen toiselle suullisesti tai kirjallisesti kielletään pankin digitaalisia palveluita koskevissa ehdoissa sekä pankin käyttämissä ja asiakkaalle toimittamissa turvallisuusohjeissa.
Pankki katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut jättää sähköpostiviestin lähettäjän pyytämät tunnuslukutaulukon numerot ja muut pankkitunnuksien osat antamatta. Mikäli asiakas olisi perehtynyt pankin asiakkaalle toimittamiin turvallisuusohjeisiin sekä pankkitunnussopimukseen liittyviin ehtoihin ja ymmärtänyt kyseenalaistaa sähköpostiviestin asianmukaisuuden, asiassa olisi vältytty oikeudettomasti toteutetuilta verkkomaksuilta.
Lopuksi
Pankki katsoo, että asiakkaalle lähetetty viesti sekä siinä annettujen ohjeiden noudattaminen luovuttamalla pankkitunnuksien kaikki osat ilmentää asiakkaan menettelyssä selvää varomattomuutta sekä piittaamattomuutta pankin antamista turvallisuusohjeista. Pankki katsoo, ettei asiakas ole voinut perustellusti luulla asioivansa pankin kanssa antaessaan pankkitunnuksien kaikki osat hänelle tulleen yhteydenoton pohjalta internet-sivustolle. Asiakas on pankin näkemyksen mukaan toiminut täysin vastoin pankkitunnuksiin Iiittyviä huolellisuusvelvoitteita ja sopimusehtoja. Pankki katsoo, että asiakas on pankin digitaalisia palveluita koskevissa ehdoissa tarkoitetulla tavalla toiminut törkeän huolimattomasti luovuttaessaan pankkitunnukset sähköpostitse niitä kysyneelle taholle. Näin ollen Pankki ei ole korvausvastuussa asiakkaalle oikeudettomista verkkomaksuista aiheutuneesta vahingosta.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (ilmoitusaika 28.4.2017)
- Asiakkaalle 28.4.2017 tullut sähköposti aiheella ”Turvallisuus Päivitys”
- Digitaalisia palveluita koskevat yleiset ehdot
- Pankin käyttämä pankkitunnuksien turvallisuusohje asiakkaan verkkopankissa
- Ote tilitapahtumista ja tilitapahtuman tiedot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja Pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n 1 momentin mukaan maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista.
Lain 54 §:n 1 momentin mukaan maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n mukaan maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Pykälän 3 momentin mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä paitsi jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Pankin digitaalisia palveluita koskevien yleisten ehtojen Turvallisuutta koskevan kohdan mukaan:
Asiakkaan on täytettävä Pankin kulloinkin ilmoittamat, digitaalisten palvelujen tarjoamista ja käyttämistä koskevat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Pankki toimittaa asiakkaalle tarkemmat ohjeet pankkitunnusten käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä.
Pankin digitaalisia palveluja koskevien yleisten ehtojen Pankkitunnusten säilyttämistä ja asiakkaan vastuuta koskevan kohdan mukaan
Asiakas sitoutuu säilyttämään Pankin myöntämät pankkitunnukset huolellisesti. Asiakas sitoutuu säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Asiakas on velvollinen välittömästi ilmoittamaan Pankille, jos pankkitunnukset tai niiden osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa. […]
Asiakas vastaa kaikesta siitä vahingosta, jonka pankkitunnusten joutuminen ulkopuolisen tietoon on aiheuttanut Pankille, asiakkaalle tai sivulliselle siihen asti, kunnes Pankki on vastaanottanut edellä mainitun ilmoituksen ja estänyt digitaalisten palvelujen käytön jatkamisen niin nopeasti kuin mahdollista. Vastaanotettuaan mainitun ilmoituksen Pankilla on oikeus välittömästi keskeyttää asiakkaan tietoyhteys ja samalla Pankin digitaalisten palvelujen käyttö.
Asiakas vastaa pankkitunnusten oikeudettomasta käytöstä vain, jos:
1) hän on luovuttanut pankkitunnukset toiselle;
2) pankkitunnusten joutuminen niiden käyttöön oikeudettomalle johtuu asiakkaan huolimattomuudesta, joka ei ole lievää; taikka
3) Asiakas menetettyään pankkitunnusten hallinnan muulla kuin 2 kohdassa mainitulla tavalla on laiminlyönyt ilmoittaa tästä Pankille viipymättä sen havaittuaan.
Mikäli pankkitunnuksia on nyt mainituissa kohtien 2 ja 3 mukaisissa tapauksissa käytetty oikeudettomasti maksuvälineenä Asiakas vastaa maksuvälineen oikeudettomasta käytöstä enintään 150 euroon saakka. Tätä rajoitusta ei kuitenkaan sovelleta, jos Asiakas on toiminut tahallisesti tai törkeän huolimattomasti.
Asiakas ei kuitenkaan vastaa pankkitunnusten oikeudettomasta käytöstä:
1) siltä osin kuin pankkitunnuksia on käytetty sen jälkeen, kun Pankille tai sen nimeämälle muulle taholle on ilmoitettu pankkitunnusten katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos Pankki on laiminlyönyt huolehtia siitä, että Asiakkaalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus; tai
3) myyjä tai palveluksen suorittaja taikka se, joka maiden edustajana on hyväksynyt pankki tunnusten käytön, ei ole riittävän huolellisesti varmistunut haltijan oikeudesta käyttää pankkitunnuksia.
Asian arviointi
Pankkilautakunta toteaa pankin verkkopalvelutunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä tunnuslukutaulukosta. Riidatonta tässä tapauksessa on, että asiakas on antanut sähköpostiinsa tulleessa viestissä olleesta linkistä avautuneilla sivuilla käyttäjätunnuksensa, salasanansa sekä tunnuslukuja tunnuslukutaulukosta. Asiassa saadun selvityksen perusteella jää epäselväksi, kuinka monta tunnuslukua asiakas on antanut. Osittain epäselväksi asiassa on jäänyt myös se, minkälaiset internet-sivut asiakkaan saamassa sähköpostissa olleesta linkistä on avautunut ja millä tavoin sivuilla on pyydetty asiakkaan verkkopalvelutunnuksia ja miten asiakas on ne antanut. Asiassa saadun selvityksen puutteellisuudesta huolimatta Pankkilautakunta katsoo, että asia voidaan ratkaista asiassa esitetyn selvityksen perusteella eikä lautakunta ole tämän vuoksi katsonut tarpeelliseksi pyytää osapuolilta asiaan lisäselvitystä.
Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.
Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut Pankin kanssa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan niitä koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai Pankin digitaalisia palveluja koskevissa yleisissä ehdoissa tarkoitetusta tunnusten luovuttamisesta.
Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas verkkopankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Asiakkaan hyväksymien digitaalisia palveluita koskevien yleisten ehtojen mukaan asiakas on sitoutunut säilyttämään pankin myöntämät pankkitunnukset huolellisesti ja säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Edelleen ehtojen mukaan asiakkaan on noudatettava pankin antamia kohtuullisia turvallisuusohjeita. Pankin verkkopankin turvallisuusohjeissa varoitetaan huijareista, jotka hyödyntävät sähköpostiviestejä ja väärennettyjä verkkosivuja, ja huijausyrityksistä, joissa yleensä yritetään vedota asiakkaan luottamukseen esiintymällä pankin edustajana. Ohjeiden mukaan Pankki ei milloinkaan kysy asiakkaan pankkitunnuksia tai luottokorttitietoja sähköpostiviestillä tai soittamalla asiakkaalle. Pankin mukaan se on lisäksi tiedottanut ja varoittanut Iaajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa talven ja kevään 2017 aikana, ja Pankin lisäksi tietojenkalastelusta Pankin ja muiden pankkien nimissä ovat viimeisen vuoden aikana tiedottaneet julkaisuissa verkkosivuillaan useat lehdet, viranomaiset sekä muut sivustot.
Pankkilautakunta katsoo, että asiakkaan olisi yleisen tietämyksen ja hänelle lähetetyn sähköpostin muotoilun ja sisällön perusteella tullut ymmärtää, ettei sähköpostiviesti ollut pankin lähettämä, ja huolellisesti toimiessaan asiakkaan olisi tullut jättää sähköpostiviestissä ollut linkki avaamatta ja erityisesti jättää verkkopalvelutunnusten osia antamatta kun niitä ko. sivuilla pyydettiin. Mikäli asiakas olisi sähköpostin saatuaan tai siinä olleen linkin avattuaan ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden ja olisi ennen verkkopankkitunnustensa antamista ottanut itse yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja Pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan. Ottaen huomioon, miten pankki on turvallisuusohjeissaan ja aktiivisella tiedottamisellaan pyrkinyt varoittamaan tietojenkalastelusta ja kiinnittämään asiakkaidensa huomiota verkkopankkitunnusten turvalliseen käyttämiseen sekä miten tietojenkalastelu on muutoinkin ollut tapahtuma-aikaan ja sitä ennen esillä julkisuudessa, Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena poikkeavan selvästi siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja osoittavan siten vakavaa varomattomuutta.
Ottaen kuitenkin huomioon, että asiakas on tapauksessa verkkopankkitunnuksia käyttäessään luullut asioivansa Pankin kanssa turvallisuuspäivityksen tekemiseksi ja on tämän jälkeen heti epäilystensä herättyä ollut yhteydessä pankkiin verkkopankkitunnustensa sulkemiseksi, Pankkilautakunta katsoo, ettei asiakkaan voida katsoa suhtautuvan selvästi piittaamattomasti verkkopankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin ja ettei asiakkaan näin ollen voida katsoa toimineen törkeän huolimattomasti.
Lopputulos
Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo kuitenkin verkkopalvelutunnusten joutumisen sivullisen tietoon ja niiden oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja digitaalisia palveluita koskevien yleisten ehtojen mukaisia velvollisuuksiaan. Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan vakavaa varomattomuutta, mutta ei kuitenkaan asiakkaan suhtautuvan selvästi piittaamattomasti verkkopankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu verkkopankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 150 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen verkkopankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 150 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Sainio
Jäsenet: Aspelund, Atrila, Lilja