Tapahtumatiedot
Asiakkaan kortilla on tehty Tokiossa 15.3.2018 klo 02.13-03.20 paikallista aikaa neljä, yhteisarvoltaan 2.065,58 euron automaattinostoa, jotka asiakas kiistää itse tehneensä. Asiakas oli käyttänyt korttiaan edellisen kerran ostaessaan internetissä Suomessa 17.10.2018 lentolippuja.
Asiakkaan valitus
Asiakas ei mielestään ole laiminlyönyt huolellisuusvelvoitteita eikä osoittanut törkeää huolimattomuutta ja hän vaatii pankkia ottamaan vastatakseen oikeudettomat automaattinostot.
Asiakas oli lomamatkalla perheensä kanssa Tokiossa 7.-17.03.2018. Näistä päivistä asiakas varasi 14. ja 15.3. päivät kahteen liiketapaamiseen. 14.3. iltana asiakas noudettiin hotellista klo 16.30 yrityksen vieraaksi. Ennen lähtöä asiakas pukeutui pukuun ja laittoi pienen erillisen matkalompakkonsa puvun taskuun. Pienen koon idea on se, että lompakko mahtuu mahdollisimman huomaamattomasti syvälle esimerkiksi puvuntakin taskuun. Haittapuoli on, että pienen lompakon mukanaoloa ei oikein tunne. Noin klo 18.00-18.25 asiakas siirtyi kävellen ruuhkaisella kävelykadulla yrityksen edustajien kanssa illallisravintolaan. Illallisen jälkeen yrityksen edustaja saattoi asiakkaan taksilla hotelliin, jonne asiakas saapui omasta mielestään ja vaimon mukaan noin klo 23.30. Asiakas nukkui aamulla pitkään. Vaimo ja lapsi olivat jo lähteneet hotellista. Aamutoimien jälkeen asiakas käsitteli sähköpostiaan ja tutustui materiaaliin, jonka oli varannut seuraavaa tapaamista varten. Kun toisen yrityksen kanssa sovittu noutoaika lähestyi, asiakas päätti käydä pikaisella lounaalla. Hän laittoi puvun päälleen ja huomasi, että lompakko ei ollut puvun takin eikä housujen taskussa. Asiakas etsi sitä hetken hotellihuoneesta ja kun ei löytänyt, hän päätti sulkea kaikki luottokortit. Korttien sulkeminen tapahtui 15.3. n. klo 14.00-14.30.
Asiakas ei ollut käyttänyt ko. korttia Tokiossa ja se oli mukana lähinnä, koska asiakas oli maksanut sillä lentoliput. Asiakas ei myöskään ole tehnyt ko. nostoja Tokiossa itse, minkä kaiketi todistaa epäonnistuneiden nostoyritysten lukumäärä. Asiakkaan epäily on, että lompakko varastettiin noin klo 18.00-18.25 ruuhkaisella kävelykadulla. Luonnollisesti asiakas varoi ruuhkaisella kadulla, mutta ei kuitenkaan taputellut rintataskua koko ajan tai ottanut lompakkoa esiin tarkistaakseen onko se tallessa ja kertoakseen ympäristölle, mistä se löytyy.
Asiakas sulki kortit heti kun huomasi lompakon kadonneen. Asiakas ei käyttänyt rahaa tai kortteja eikä tarvinnut lompakkoa 14.3. illalla eikä 15.3. ennen noin klo 14. Tuohon saakka asiakas on koko ajan ollut varma, että lompakko on mukana ja tallessa. Loogisin ja luonnollisin hetki tarkistaa lompakon tallellaolo, olisi ollut hotelliin palatessa. Asiakas ei tehnyt sitä, koska hän ei tyhjentänyt housujen enkä puvuntakin taskuja pimeässä kun yritti toimia herättämättä huoneessa nukkujia eikä asiakkaalla ollut syytä olettaa ettei lompakko olisi tallella.
Asiakas opettelee maksukorttien tunnusluvut ulkoa eikä lompakossa tai korttien yhteydessä tai kännykän muistissa ollut tunnuslukuja selko- eikä salakielellä. Lompakon mukana 14.3. katosi kolme korttia (ko. kortti, MasterCard ja Visa) ja asiakkaalla on eri pin-koodit kaikkiin kortteihin. Ainoa kortti, jota Tokiossa ei käytetty väärin, oli Visa. Korttien tunnusluvut eivät päätyneet vääriin käsiin lompakon mukana. Jos niin olisi, niin näin olisi käynyt myös Visan tunnusluvulle. Koska korttia on käytetty, on pin-koodi hakkeroitu. Ilmeisesti Visa on vaikeampi hakkeroida kuin nuo muut.
Pin-koodi on olemassa, jotta vain kortinomistaja voi korttia käyttää. Pankin pin-koodi on helppo hakkeroida ja pankin kortti helposti väärin käytettävissä. Asiakkaan ymmärryksen mukaan myös kortin magneettinauha on suhteellisen helppo hakkeroida. Asiakkaan olettaman varkausajankohdan ja ensimmäisen nostotapahtuman väli on n. 7 tuntia. Varkailla on ollut runsaasti aikaa selvittää kortin tunnusluku.
Pankin toteamus, ettei sirukortin ja tunnusluvun hakkeroinnista ole kansainvälistä näyttöä ei taida pitää paikkaansa. On pankkien ja korttiyhtiöiden intresseissä ylläpitää julkisuudessa illuusiota siitä, että sirukortti on turvallinen eikä sitä voi hakkeroida. Tunnusluku voidaan ohittaa, järjestelmä saadaan uskomaan, että oikea tunnusluku on syötetty jne. Ranskassa lehdistössä on raportoitu tapauksesta ja menetelmästä jo n. 8-9 vuotta sitten, jolla sirukortin väärinkäyttö oli mahdollista. Omar S. Choudary, University of Cambridge Computer Laboratory Darwin College, kehitti opinnäytetyössään jo vuonna 2010 - siis n. 8 vuotta sitten - halvan kädessä pidettävän laitteen, jolla voidaan manipuloida sirukorttimaksuprosessia niin maksajan suojelemiseksi kuin kortin käyttämiseksi väärin. Lisää ja paljon tuoreempia esimerkkejä tapauksista ja käytetyistä keinoista löytynee pankkien ja korttiyhtiöiden tuntemista ja käyttämistä asiantuntijalähteistä.
Sirukortti- ja EMV-systeemistä on löydetty haavoittuvuuksia, joiden avulla kortteja voidaan käyttää oikeudettomasti. Lisäksi monet maat ja pankit ovat kehittäneet omia protokollia EMV:n ja ISO-7816 spesifikaatioiden päälle. Tämä on joidenkin lähteiden mukaan johtanut siihen, että sirukortissa ja maksujärjestelmän toiminnassa on lukuisia haavoittuvuuksia. Se, että pankki noudattaa sirukorteissaan EMV-standardia, ei tee sen kortista sellaista, että sitä ei voi hakkeroida eikä käyttää väärin.
Pankin vastine
- Tapahtumankulkua
Korttiostoksien varmennusjärjestelmästä ilmenee, että asiakkaan kortilla on tehty Tokiossa 15.3.2018 paikallista aikaa aamuyöstä neljä onnistunutta käteisnostoa sekä viisi epäonnistunutta nostoyritystä paikallisesta käteisautomaatista. Käteisnostot tapahtumatietoineen on eritelty alla olevassa taulukossa, jossa näkyvät kellonajat ovat Ruotsin talviajassa.
|
Tapahtuma |
Tapahtuma |
Summa jeneissä (JPY) |
Summa euroissa (EUR) |
Hyväksytty/ hylätty |
|
14.3.2018 19:58 |
15.3.2018 03:58 |
JPY 10.000 |
|
hylätty |
|
14.3.2018 19:20 |
15.3.2018 03:20 |
JPY 10.000 |
|
hylätty |
|
14.3.2018 19:20 |
15.3.2018 03:20 |
JPY 10.000 |
EUR 79,45 |
hyväksytty |
|
14.3.2018 18:50 |
15.3.2018 02:50 |
JPY 20.000 |
|
hylätty |
|
14.3.2018 18:25 |
15.3.2018 02:25 |
JPY 50.000 |
|
hylätty |
|
14.3.2018 18:19 |
15.3.2018 02:19 |
JPY 100.000 |
|
hylätty |
|
14.3.2018 18:18 |
15.3.2018 02:18 |
JPY 100.000 |
EUR 794,45 |
hyväksytty |
|
14.3.2018 18:14 |
15.3.2018 02:14 |
JPY 100.000 |
EUR 794,45 |
hyväksytty |
|
14.3.2018 18:13 |
15.3.2018 02:13 |
JPY 50.000 |
EUR 397,23 |
hyväksytty |
TOTAL JPY 260.000 EUR 2.065,58
Asiakkaan kortti on ollut läsnä tapahtumissa ja tapahtumat on varmennettu sirua ja henkilökohtaista tunnuslukua käyttäen. Tunnusluvun oikeellisuus on varmistettu pankin järjestelmästä. Taulukosta ilmenee, että kolme ensimmäistä nostoa on mennyt läpi varmennusjärjestelmässä, jonka jälkeen kolme seuraavaa tapahtumaa on hylätty. Hylätyt tapahtumat ovat ylittäneet kortille asetetun käteisnostoon liittyvän turvarajan eikä niitä sen johdosta ole hyväksytty. Viimeinen onnistuneista nostoista on puolestaan ollut sen verran pieni summaltaan, että se on vielä mahtunut turvarajan sisään.
Asiakas ei ole käyttänyt korttia Tokiossa ennen reklamoimiaan käteisnostoja, vaan korttia on käytetty edellisen kerran Suomessa 17.10.2018.
2. Kortinhaltijan henkilökohtainen tunnusluku läsnä käteisnostojen yhteydessä
Käteisnostoja tehtäessä automaattiin syötetty tunnusluku on ollut ensi yrittämällä oikea eli virheellisiä yrityksiä ei maksukortilla siten ole ja tämän takia henkilö, joka nosti kortilla rahaa automaatilta, on tiennyt tai saanut käsiinsä kortin tunnusluvun. Asiakkaan mainitsemien hylättyjen käteisnostoyritysten epääminen ei siten liittynyt PIN-koodin oikeellisuuteen.
Pankin mukaan on mahdollista, että:
(a)kortti tunnuslukuineen on päätynyt ulkopuolisen haltuun; tai
(b)asiakas on tehnyt käteisnostot itse.
a) Asiakkaan kortti ja henkilökohtainen tunnusluku on päätynyt ulkopuolisen haltuun
Käteisen nostaminen ei ole mahdollista pelkän kortin avulla vaan käyttäjällä on oltava sekä tunnusluku että kortti samanaikaisesti hallussaan. Pankki katsoo, että kortin tunnusluku on voinut päätyä ulkopuolisen henkilön tietoon:
1. kortin varastamisen yhteydessä niin, että tunnuslukua on säilytetty korttiehtojen vastaisesti varastetussa lompakossa joko sellaisenaan tai muuten tunnistettavassa muodossa;
2. koska asiakas on luovuttanut salaisen tunnuslukunsa oikeudettomaan käyttöön; tai
3. koska tunnusluku on jossain vaiheessa urkittu asiakkaalta.
Jostain yllä olevasta vaihtoehdoista johtuen asiakkaan henkilökohtainen tunnusluku on päätynyt ulkopuolisen haltuun.
Pankki ei kuitenkaan pidä kumpaakaan kahdesta viimeisestä vaihtoehdosta todennäköisenä, koska korttia oli käytetty edellisen kerran Suomessa 17.10.2018 internet-ostoksen yhteydessä. Lisäksi asiakas on todennut, että hänellä on eri tunnusluvut lompakossa olleisiin kaikki kortteihin. Siten, vaikka jonkin muun kortin tunnusluku olisikin urkittu, ei tällaisella toisen kortin tunnusluvulla olisi ollut mahdollista nostaa käteistä asiakkaan kortilla.
Asiakas on myös vaatimuksessaan vihjannut, että pankin korttien siru ja tunnusluku olisi helppo hakkeroida. Pankki toteaa, ettei millään muulla keinolla henkilökohtaista tunnuslukua voi saada selville. Pankki toteaa lisäksi, ettei sirun ja tunnusluvun onnistuneesta hakkeroinnista ole kansainvälisesti näyttöä eikä tällaista ole tiedotettu tapahtuvaksi korttiverkoston toimesta.
Jotta maksukortit voisivat toimia ympäri maailman, niiden magneettijuova sisältää tarpeelliset soveltuvien standardien mukaiset tiedot. Pankin kortin magneettijuova ei koskaan sisällä PIN-koodia - ei kryptatussa eikä selkokielisessä muodossa - eikä sen hakeminen kortin magneettijuovalta ole siten mahdollista.
Pankki noudattaa toiminnassaan globaalisti sovittuja korttimaksamisen standardeja. Näiden standardien tarkoituksena on, että eri kortinmyöntäjien kortit toimivat kansainvälisesti. Tällaisia standardeja ovat muun muassa:
·ISO/IEC 7813, joka määrittelee muun muassa maksutapahtumiin käytettävien magneettikorttien ominaisuuksia;
·ISO/IEC 7816, joka määrittelee maksutapahtumiin käytettävien sirukorttien ominaisuuksia;
·EMV, technical standards for smart payment cards (EMV-standardi määrittelee sirullisien maksukorttien, maksupäätteiden ja käteisautomaattien yhteentoimivuutta sekä siruun liittyviä teknisiä ominaisuuksia.); ja
·Payment Card Industry (PCI) security standards.
Pankki on kortinmyöntäjänä suorittanut asianmukaiset kryptograafiset tarkistukset, kun asiakkaan korttia on käytetty käteisautomaattinostoihin. Näiden tarkistusten perusteella tiedämme, että kortin EMV-siru on luettu riidan kohteena olevien käteisautomaattinostojen ja nostoyritysten yhteydessä. Pankki on myös varmentanut asiakkaan kortin sirun PIN-koodin, jota käytettiin ko. käteisautomaattinostoissa ja nostoyritysten yhteydessä. Automaattiin syötetty PIN-koodi oli korttitapahtumien varmennusjärjestelmän lokitietojen mukaan oikea. Koska PIN oli oikea, pankki katsoo, että kortin käyttäjän täytyi tietää kortin PIN-koodi.
Asiakkaan viittaamassa Choudaryn tutkimuksessa käytetty laite ei kykene huijaamaan kortinmyöntäjän varmennusjärjestelmää. Choudaryn tutkimuksessa todellista ja oikeaa PIN-koodia ei koskaan annettu. Hyökkäys suoritettiin tavalla, jossa kortin ja maksupäätteen välistä viestiliikennettä muokattiin muotoon, että kortti olisi hyväksynyt annetun PIN-koodin, vaikkei näin ollutkaan. Tutkimus ei siten käsitellyt kortinmyöntäjän varmennusjärjestelmän huijaamista; ainoastaan kortin sirun ja maksupäätteen välistä viestiliikennettä.
Tämä Choudaryn kuvaama tekniikka ei pankin käsityksen mukaan toimi tapauksessa, jossa kortinmyöntäjä - ei siis maksupääte - varmentaa sirun PIN-koodin. Kun pankin korttia käytetään käteisautomaattinostoissa, pankki kortinmyöntäjänä varmentaa kortin käyttäjän käteisnostoautomaattiin syöttämän PIN-koodin. Siten tällaista Smart Card Detective -tutkimuksessa käytettyä kortin ja maksupäätteen välistä viestiliikenteen häiritsemistä koskevaa tekniikkaa ei ole pankin mielestä voitu edes teoriassa käyttää käteisautomaatin huijaamiseen.
(b) Asiakas on tehnyt käteisnostot itse
Asiakas on kiistämisensä perusteluissa väittänyt oman ja puolisonsa käsityksen mukaan saapuneensa takaisin hotellille ennen käteisnostojen tekemistä klo 23.30 maissa. Pankin mukaan tällaista väitettä ei voida pitää luotettavana todisteena asiakkaan väitteelle, ettei hän ollut voinut tehdä nostoja, koska oli jo siinä vaiheessa hotellihuoneessa.
3. Kortit ovat olleet ulkopuolisen hallussa
3.1. Velvollisuus huolehtia kortista - maksupalvelulain 53 §:n 1 momentti
Pankki viittaa maksupalvelulain 53 §:än ja korttiehtojensa mukaisiin maksuvälineen haltijan velvollisuuksiin. Pankki katsoo, että huolellisen kortinhaltijan on kiinnitettävää tavallista suurempaa huomiota kortin säilytykseen ja käyttämiseen tapauksen olosuhteissa. Jos korttien anastaminen on onnistunut ilman, että asiakas huomasi asiaa, hän ei kuitenkaan ole 20 tuntiin tarkistanut lompakkonsa tallella oloa.
Lisäksi lokitiedoissa ei ole virheellisiä tunnusluvun syöttöyrityksiä. Pankin näkemys se, että tunnusluku on siten ollut saatavilla eli sitä on mahdollisesti säilytetty korttiehtojen vastaisesti lompakossa joko sellaisenaan tai muuten tunnistettavassa muodossa. Tällöin kyseessä ei ole korttiehtojen tarkoittama kortinhaltijan tarkka ja jatkuva huolehtiminen kortista ja tunnusluvusta.
Pankki katsoo, että asiakas on laiminlyönyt lain ja korttiehtojen mukaisen velvollisuutensa säilyttää korttejaan huolellisesti ja valvoa niiden tallella oloa puvun takin taskussa sekä velvollisuutta olla paljastamatta, merkitsemättä tai säilyttämättä tunnuslukua asianmukaisesti ja tämä on johtanut hänen korttinsa päätymiseen ulkopuolisen haltuun.
3.2. Vastuu huolellisuusvelvollisuuden laiminlyönnistä - maksupalvelulain 62 §:n 1 momentti
Huolellisuus- ja tarkastamisvelvollisuus on ravintoloissa, baareissa ja suurissa ihmisjoukoissa korostunut. Asiakas kertoo havainneensa lompakkonsa katoamisen puvun takin taskusta vasta seuraavana päivänä n. klo 14 eli 20 tuntia olettamansa varkaushetken jälkeen. Tämä tarkoittaa, että asiakas ei ole yön tai seuraavan aamun aikana tarkistanut lompakkonsa ja siten korttinsa tallella oloa kertaakaan. Asiakas on ollut ulkomailla ilta-aikaan paikallisella vilkkaalla kävelykadulla sekä ravintolassa, joissa hänen korttiehtojen mukaisesti olisi tullut huolehtia kortista ja henkilökohtaisesta tunnusluvusta tarkasti ja jatkuvasti. Yleisen elämänkokemuksen perusteella tämän tyyppisissä paikossa on huolehdittava tavaroistaan, erityisesti arvoesineistä, kuten lompakko, erityisen tarkasti.
Pankin mukaan on selvää, että asiakas on toiminut huolimattomasti ja laiminlyönyt lain ja korttiehtojen mukaisia huolellisuusvelvoitteitaan. Pankki katsoo, että ulkomailla ilta-aikaan vilkkaalla kävelykadulla ja ravintolassa ollessaan huolellisen kortinhaltijan tulee kiinnittää tavallista suurempaa huomiota kortin säilytykseen ja käyttämiseen. Sekä korttiehdoissa että laissa vaaditaan tietynasteista huolellisuutta ja asiakas on näin toiminut sekä lain että korttiehtojen vastaisesti.
Asiakkaan huolimattomuus on johtanut kortin ja henkilökohtaisen tunnusluvun oikeudettomaan käyttöön eli hallituksen esityksen vaatima syy-yhteys maksuvälineen oikeudettomasta käytöstä ja korttiehtojen rikkomiseen on täyttynyt.
3.3. Törkeä huolimattomuus - maksupalvelulain 62 §:n 2 momentti
Ruuhkaisella kävelykadulla ilta-aikaan liikkuminen ja ravintolassa käyminen ulkomailla voi yleisen elämänkokemuksen perusteella katsoa aiheuttavan jonkinasteisen varkaus- ja muun riskin. Korttiehdoista ilmenee selkeästi, että ruuhkaiset katu-alueet ja ravintolat ovat mainittu esimerkkeinä sellaisista paikoista, joissa asiakkaan olisi pitänyt kiinnittää erityistä huomiota lompakkoonsa, korttiinsa ja tunnuslukuunsa. Tämä osoittaa pankin mielestä asiakkaalta tietoisen riskin ottamista.
Asiakkaan on täytynyt mieltää olosuhteista aiheutunut suurempi varkaus- ja muu riski. Asiakas ei ole n. 20 tunnin aikana kaivannut lompakkoaan, mikä osoittaa vakavaa varomattomuutta.
Pankki katsoo, että käteisnostojen tekeminen oikeaa tunnuslukua käyttäen on onnistunut koska asiakas ei ole asianmukaisesti huomioinut olosuhteita (ts. ruuhkaiset katu-alueet ja ravintolat), ja on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain ja korttiehtojen mukaiset velvoitteensa korttinsa säilyttämisen ja sen tallella olon seuraamisen illan ja seuraavan päivän aikana sekä myös tunnusluvun säilyttämistä ja muistiin merkitsemistä koskevat velvoitteet.
Pankki katsoo, että asiakkaan toiminta kortin ja tunnusluvun säilytyksessä ja käsittelyssä osoittaa sellaista törkeää huolimattomuutta ja vakavaa varomattomuutta, että asiakkaan tulee vastata kortin oikeudettomasta käytöstä kokonaisuudessaan.
4. Yhteenveto
Pankki katsoo, että reklamoidut nostot ovat joko asiakkaan itsensä tekemiä tai vaihtoehtoisesti, että hän on toiminut maksupalvelulain ja kuluttajaehtojen mukaisesti törkeän huolimattomasti ja siten mahdollistanut sen, että joku kolmas on helposti voinut tehdä edellä mainitut käteisnostot. Pankki toteaa, ettei sillä ole velvollisuutta hyvittää asiakkaan vaatimaa summa, vaan että asiakas vastaa kortillaan tehdyistä tapahtumista täysimääräisesti.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
-Yleiset korttiehdot (Kuluttajat)
-Tapahtumavarmennusloki
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, onko automaattinostot tehnyt asiakas itse vai joku ulkopuolinen asiakkaan korttia käyttäen. Mikäli asiassa katsotaan olevan kyse kortin oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, onko riitautetut automaattinostot tehty asiakkaalta jollain tavalla saatua kortin tunnuslukua käyttäen vai onko nostot onnistuttu tekemään asiakkaan esittämällä tavalla korttia/korttijärjestelmää hakkeroimalla. Edelleen Pankkilautakunnan on arvioitava, voidaanko kortin oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja korttiehtojen mukaiset velvollisuutensa ja onko asiakkaan mahdollinen huolimattomuus törkeää.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n 1 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1)luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2)huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3)laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1)siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2)jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3)jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4)jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin kielletty käyttö –kohdan mukaan
Kortti ja yksilölliset tunnistetiedot ovat henkilökohtaisia. Niitä ei saa luovuttaa toiselle henkilölle, eikä toinen henkilö saa käyttää korttia. Kortti ja yksilölliset tunnistetiedot ovat arvoesineitä, joita on välittömästi niiden vastaanottamisen jälkeen säilytettävä ja käsiteltävä turvallisesti siten, ettei kukaan muu voi käyttää niitä tai korttitietoja. Korttia tai korttitietoja ei saa esimerkiksi jättää ilman valvontaa hotellihuoneeseen, ajoneuvoon, laukkuun, takin taskuun tai vastaavaan paikkaan. Kortista on huolehdittava tarkasti julkisilla paikoilla, joihin katsotaan liittyvän erityisen suuri varkausriski. Tällaisia erityistä tarkkaavaisuutta vaativia paikkoja ovat esimerkiksi ravintolat, yökerhot, kaupat, odotushuoneet, pukuhuoneet, julkiset kulkuneuvot, uimarannat ja torit. […]
Korttiehtojen Vastuu kortista –kohdan mukaan
Kortinhaltijan velvollisuutena on:
[…]
(b)tuhota tunnusluvun tai muita korttitietoja sisältävä kirje tai sähköinen viesti välittömästi sen jälkeen, kun kortinhaltija on lukenut tunnusluvun tai muut korttitiedot,
[…]
(d)olla paljastamatta tunnuslukua, yksilöllisiä tunnistetietoja tai muita korttitietoja muille,
(e)merkitä tunnusluku tai muut korttitiedot muistiin vain siten, ettei kukaan muu saa selville, että kyseessä on tunnusluku tai muu korttitieto,
(f)olla merkitsemättä tunnuslukua korttiin tai olla säilyttämättä tunnuslukua samassa paikassa kuin korttia,[…]
Korttiehtojen Ilmoitus kadonneesta kortista ja kortin väärinkäyttöä koskevat ilmoitukset -kohdan mukaan
Kortinhaltijan on ilmoitettava kortinmyöntäjälle ilman aiheetonta viivytystä kortin, tunnusluvun tai muiden korttitietojen katoamisesta, päätymisestä kolmannen osapuolen haltuun tai luvattomasta käytöstä. […]
Asian arviointi
Asiassa saadun kokonaisselvityksen perusteella Pankkilautakunta katsoo uskottavaksi, ettei asiakas ole itse tehnyt kyseessä olevia automaattinostoja vaan asiakkaan lompakko on anastettu ja asiakkaan korttia on käytetty oikeudettomasti ko. automaattinostoihin.
Pankin korttijärjestelmästä ilmenevän tiedon mukaan kaikki reklamoidut automaattinostot on hyväksytty asiakkaan kortin tunnusluvulla, jonka pankki kortinmyöntäjänä on varmentanut oikeaksi.
Asiakkaan mukaan hän muistaa korttiensa tunnusluvut ulkoa eikä tunnuslukuja ole ollut missään muodossa ylhäällä lompakossa tai korttien yhteydessä. Asiakas epäilee, että ko. automaattinostot olisi voitu tehdä hakkeroimalla kortin tunnusluku tai muutoin manipuloimalla sirukorttiprosessia.
Pankkilautakunnan tietojen mukaan missään päin maailmaa ei ole todettu kortin väärinkäyttötapausta, jossa rikolliset olisivat onnistuneet saamaan kortin tunnusluvun tietoonsa kortin sirusta tai magneettinauhasta, onnistuneet vaihtamaan kortin tunnuslukua taikka onnistuneet ohittamaan maksupäätteen tai nostoautomaatin edellyttämän oikean tunnusluvun näppäilyn. Lautakunnan käsityksen mukaan asiakkaan viittaaman tutkimuksen mukainen kortin ja maksupäätteen välisen viestiliikenteen manipuloiminen ei myöskään mahdollista tämän tapauksen mukaisten automaattinostojen - joiden yhteydessä kortinmyöntäjä varmentaa tunnusluun - tekemistä. Edelleen Pankkilautakunta katsoo tässä tapauksessa saadun selvityksen viittaavan tavanomaiseen taskuvarkauteen ja kortin oikeudettomaan käyttöön.
Koska tapauksessa asiakkaan anastetulla kortilla on onnistuttu tekemään oikeudettomia automaattinostoja, Pankkilautakunta katsoo, että korttia oikeudetta käyttäneellä on täytynyt olla tiedossaan asiakkaalta jollain tavalla saatu kortin salainen tunnusluku. Koska asiakas ei itse ole käyttänyt korttiaan ja sen tunnuslukua matkallaan Japanissa, katsoo lautakunta tunnusluvun urkintamahdollisuuden poissuljetuksi. Koska Pankkilautakunta ei pidä uskottava, että asiakas olisi kertonut tai luovuttanut tunnuslukunsa sivulliselle, katsoo lautakunta edelleen, että kortin tunnusluvun on täytynyt päätyä korttia oikeudetta käyttäneen haltuun lompakon anastuksen yhteydessä. Ottaen huomioon, että tunnusluku on näppäilty oikein heti ensimmäisen oikeudettoman nostotapahtuman yhteydessä, katsoo lautakunta lisäksi todennäköiseksi, että tunnusluku on ollut tunnistettavassa muodossa ja kortin anastaneen henkilön yhdistettävissä korttiin. Lautakunta katsoo, että tunnusluvun säilyttäminen lompakossa kortin yhteydessä on tässä tapauksessa mahdollistanut kortin käytön nyt kyseessä oleviin oikeudettomiin automaattinostoihin.
Korttiehdoissa asiakas on kortinhaltijana sitoutunut säilyttämään ja käsittelemään korttiaan ja sen tunnuslukua turvallisesti siten, ettei kukaan muu voi käyttää niitä. Ehtojen mukaan kortinhaltijan velvollisuutena on tuhota tunnusluvun sisältävä kirje tai sähköinen viesti ja merkitä tunnusluku muistiin vain siten, ettei kukaan muu saa selville, että kyseessä on tunnusluku tai muu korttitieto. Edelleen kortinhaltija on ehtojen mukaan velvollinen olemaan merkitsemättä tunnuslukua korttiin ja säilyttämättä tunnuslukua samassa paikassa kuin korttia. Maksupalvelulain säätämiseen johtaneessa hallituksen esityksessä (HE 169/2009 vp.) kortin ja tunnusluvun säilyttäminen samassa lompakossa on mainittu nimenomaisesti esimerkkinä menettelystä, joka voi olla törkeän huolimatonta.
Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan kortin tunnusluvun joutumisen ulkopuolisen tietoon johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja korttiehtojen mukaisia nimenomaisia velvollisuuksiaan kortin tunnusluvun säilyttämisen suhteen. Ottaen huomioon olosuhteet ulkomailla ja mm. ruuhkaisella kävelykadulla, joilla yleisen elämänkokemuksen perusteella voidaan katsoa olevan kohonnut riski taskuvarkauksille, Pankkilautakunta katsoo asiakkaan menettelyn tunnusluvun säilyttämisen suhteen osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Koska viimeksi todettu johtaa maksupalvelulain 62 §:n mukaan asiakkaan täysi-määräiseen vastuuseen korttien oikeudettomasta käytöstä aiheutuneesta vahingosta, ei Pankkilautakunta ole katsonut tarpeelliseksi arvioida asiakkaan menettelyä korttiehdoissa kortinhaltijalle asetettujen muiden huolellisuusvelvollisuuksien suhteen.
Lopputulos
Pankkilautakunta katsoo asiassa saadun selvityksen perusteella kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan kortin tunnusluvun säilyttämisen suhteen. Olosuhteet huomioon ottaen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan törkeää huolimattomuutta.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri
Jäsenet
Atrila
Ahlroth
Piilo
Pulkkinen