Haku

FINE-018044

Tulosta

Asianumero: FINE-018044 (2019)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 15.05.2019

Miten vastuu asiakkaan verkkopankkitunnuksien oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten haltijan törkeä huolimattomuus. Vahva tunnistaminen.

Tapahtumatiedot

Asiakas on saanut Pankin nimissä lähetetyn sähköpostiviestin, jossa olevan linkin kautta avautuneilla, asiakkaan Pankin verkkosivuiksi olettamilla sivuilla asiakas antoi verkkopankkitunnuksiensa osia. 26.7.2018 asiakas vastaanotti puhelun, jonka soittaja esittäytyi Pankin työntekijäksi ja pyysi asiakkaalta hänen verkkopankkitunnustensa avainlukuja kertomansa mukaan tietoturvapäivityksen loppuun saattamiseksi. Asiakas antoi pyydetyt tiedot. Seuraavana päivänä 27.7.2018 asiakas sai puhelun, jonka soittaja totesi, ettei päivitys onnistunutkaan, ja pyysi jälleen verkkopankkitunnusten avainlukuja. Asiakas ei suostunut enää tunnuksiaan antamaan ja asiakkaan oltua yhteydessä Pankkiinsa kävi ilmi, että hänen tililtään oli 26.7.2018 klo 16.00 siirretty oikeudetta 5.000,00 euroa espanjalaiseen pankkiin.

Asiakkaan valitus

Asiakas ei ole tilin tyhjentänyttä siirtoa tehnyt eikä tiennyt asiasta mitään ennen kuin asia paljastui Pankin konttorissa 27.7.2018. Asiakas vaatii Pankkia palauttamaan ko. 5.000,00 euroa tililleen.

Viestissä 19.7.2019 pyydettiin: "Päivitä tietosi ja tee tietoturvapäivitys tästä". Todennäköisesti asiakas vastasi tähän sähköpostiin tarkastamalla ja päivittämällä esitetyt tiedot. Tiedot olivat ajan tasalla ja oikein ennakkoon kirjattuna kaavakkeella.

Tuona aikana tilin aukaisemisessa oli päivittäin ongelmia. Kirjautuessa tilille tunnusluvuilla selain ilmoitti: Verkkopankki yhteys on suljettu. Myöhemmin asiakas sai tiliin kuitenkin yhteyden, ei aina kuitenkaan.

Asiakkaan tietokoneella ollut Pankin sivu oli suljettu, kun soitto 26.7.2018 tuli. Soittaja sanoi, ettei asiakas ole hyväksynyt päivitystä. He korjaisivat päivityksen ja tarkistaisivat, onko asiakkaan tilinumero heillä tietoturvapäivityksessä oikein. Asiakkaalta pyydettiin tunnuskortilta avainluvut. Asiakas kysyi soittajalta useaan kertaan, mihin he tarvitsevat tunnuskortin lukuja. Vastauksena oli, että he eivät muutoin pysty tietoja hyväksymään ja päivittämään. He neuvoivat tarkkaan, mitä lukuja kortista tulee antaa, ja asiakas antoi pyydetyt numerot. Tämän jälkeen he ilmoittivat puhelun aikana, että nyt ovat päivitykset kunnossa ja tilin saa auki kahden tunnin kuluttua. Tili ei kuitenkaan kahden tunnin jälkeen avautunut.

Asiakas sai 27.7.2018 klo 14.02 puhelinsoiton. Soittaja pyysi uudestaan pankkitunnuksia ja kertoi, ettei 26.7.2018 tehty päivityksen hyväksyminen vielä onnistunut. Tällöin asiakas alkoi epäillä, ettei soittaja ollut rehellisellä asialla, vaan yrittää huijata pankkitunnukset. Asiakas ei suostunut antamaan tunnuksia ja otti välittömästi yhteyden poliisiin ilmoittaakseen kohdallaan todennäköisesti tapahtumassa olevasta huijauksesta.

Puhelimella tekemänsä rikosilmoituksen jälkeen asiakas meni välittömästi Pankin konttoriin ja ilmoitti, että tiliä on käytetty asiattomasti. Asiakas ei ollut päässyt tuolloin 27.7.2018 omalta koneeltaan tililleen. Konttorissa kävi ilmi, että 26.7.2018 tilitä oli siirretty 5.000,00 euroa. Tili suljettiin ja tehtiin uusi pankkitunnussopimus. Asiakas vaati Pankkia ryhtymään välittömästi sellaisiin toimiin, että tilisiirto saadaan peruttua ja varat palautettua asiakkaan tilille. Virkailija kertoi, ettei Pankki voi periä varoja eikä keskeyttää tilisiirtoa ja että Pankin valtuudet riittävät tilin sulkemiseen. 

Asiakas on kyllä siirtänyt tuottotililtään varoja sisäisenä siirtona käyttötililleen, mutta Pankin olisi pitänyt tiedostaa, ettei kyseinen säästötili ole maksutili eikä se ole ollut asiakkaalla koskaan maksutilikäytössä. Pankin olisi tullut varmistaa, onko asiakas tyhjentämässä oikeasti koko tiliään, ja kutsua asiakas konttoriin vahvistamaan kyseinen tapahtunut tilisiirto ennen kuin siirtoa ryhdyttiin toteuttamaan. 

Asiakas viittaa myös maksupalvelulain mukaiseen vahvaan tunnistamiseen. Asiakas katsoo, ettei Pankki ole tilisiirtoon ryhdyttäessä noudattanut vahvan tunnistamisen sopimusta eikä näin ollen ole pyrkinyt varmistamaan tunnusluvuilla tilisiirtoa tekevän henkilön oikeutta tehdä kyseistä tilisiirtoa talletustililtä Espanjalaiselle tuntemattomalle tilille. Ottaen huomioon, että kyseessä oli euroalueen sisällä tehtävä rahansiirto, Pankin on täytynyt olla myös tietoinen Suomessa liikkeellä olevista verkkosivuhuijauksista(phishing). Vahvalla tunnistautumisella Pankki olisi voinut ja pitänyt estää talletusvarojen oikeudeton siirto Espanjaan.

Asiakas on luottanut siihen, että Pankin valvonta on moitteettomassa kunnossa ja hänen talletustensa säilymiseen. Asiakas vetoaa myös siihen, että Pankin tiedottaminen hänen suuntaansa ei ole ollut riittävää, jotta hän olisi ollut vielä varovaisempi näihin jatkuvasti eri suunnista tuleviin päivitysvaatimuksiin.

Pankin vastine

Pankki viittaa Pankin Digitaalisia palveluja koskevien yleisten ehtoihin ja Pankkitunnuksiin liittyviin turvallisuusvaatimuksiin ja -ohjeisiin.

Pankin ja asiakkaan välisissä digitaalisia palveluita koskevissa yleisissä ehdoissa asiakas velvoitetaan täyttämään kulloinkin Pankin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudattamaan niitä. Asiakkaalle on asetettu myös velvollisuus tutustua sopimusta solmittaessa Pankin antamiin ohjeisiin pankkitunnusten käytöstä.

Asiakkaan verkkopankkiin toimitetuissa Pankin verkkopankin turvallisuusohjeissa todetaan tietojenkalastelusta mm., että "Varo huijareita, jotka yrittävät saada pankkitunnuksiasi tai luottokorttitietojasi hyödyntämällä sähköpostiviestejä ja väärennettyjä verkkosivuja. Tällaiset huijaukset (phishing) ovat yleistyneet. Kyseistä huijausta yritetään tehdä myös puhelimitse soittamalla asiakkaalle ja pyytämällä häntä kertomaan verkkopankin asiointitunnuksensa tai luottokorttitietonsa. Yleensä näissä huijausyrityksissä huijari yrittää vedota asiakkaan luottamukseen esiintymällä pankin tai luottokorttiyhtiön edustajana." Lisäksi Pankin ja asiakkaan välisessä pankkitunnussopimuksessa todetaan "[Pankki] ei koskaan ota yhteyttä sähköpostilla tai puhelimella kysyäkseen pankkitunnuksia. "

Pankki on tiedottanut ja varoittanut lisäksi laajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa. Pankin verkkosivuilla lukee asiakkaan verkkopankissa olevien ohjeiden lisäksi muun muassa, että "Verkkopankkitunnukset ovat henkilökohtaiset. Niitä ei tule antaa kenenkään muun, edes puolison tai perheenjäsenen käyttöön. Turvallisuussyistä tunnuksia tulee säilyttää huolellisesti ja aina erillään toisistaan. Älä tallenna tunnuksia käyttämällesi laitteelle vaan opettele ne ulkoa. Näin ehkäiset tunnusten joutumisen väärin käsiin. [Pankki] ei milloinkaan kysy pankkitunnuksiasi, luottokorttitietojasi tai muita arkaluonteisia tietoja sähköpostiviestillä tai soittamalla sinulle. Jos sinulta kysytään pankkitunnuksiasi esimerkiksi sähköpostissa, kyseessä on huijausviesti, johon ei pidä missään nimessä vastata. Mikäli saat tällaisen viestin, ilmoita siitä asiakaspalveluumme 010 xxxxxxx ma—pe klo 9-20 […]."

Tilisiirron estäminen

Ko. maksu on ollut SEPA-tilisiirto espanjalaiseen pankkiin. Maksu on välitetty Pankista eteenpäin klo 17:00 muodostuneessa SEPA-maksuaineistossa ja maksu on ollut saajan pankissa seuraavana aamuna 27.7.2018.

Asiakas on ollut yhteydessä Pankkiin iltapäivällä 27.7.2018, jolloin maksu oli jo välitetty. Näin ollen maksun pysäyttäminen ei ollut enää kyseisenä ajankohtana teknisesti mahdollista. Maksu oli siten jo välitetty saajalle siinä vaiheessa, kun asiakas oli Pankkiin yhteydessä, eikä sen välittymisen estämiseksi ole ollut enää mitään tehtävissä Pankin toimesta.

Maksun palautuspyynnön menestyminen tämänkaltaisissa huijaustilanteissa on joka tapauksessa epätodennäköistä. Toteutetun ja saajalle välitetyn maksun palautus edellyttää saajan antamaa lupaa palautukseen tai vaihtoehtoisesti tuomioistuimen päätöstä.

SEPA-maksut siirtyvät saajan tilille lainsäädännön edellyttämässä yhden päivän kuluessa, ja Pankin kokemuksen mukaan tämän tyyppisissä huijaustilanteissa varat nostetaan tililtä välittömästi.
 
Ulkomaisilla pankeilla on eri käytäntöjä sen suhteen, mitä selvityksiä ne vaativat ennen kuin suostuvat sulkemaan saajan tilin — siinä tilanteessa, että varat olisivat yhä saajan tilillä. Usein pankit vaativat tiedon rikosilmoituksesta.

Asiakkaalla on Pankissa kaksi tiliä. Molemmat tilit ovat liitetty asiakkaan verkkopankkitunnuksiin ja asiakas on myös itse käyttänyt molempia tilejä verkkopankkitunnuksillaan. Asiakas viittaa lisäselvityksessään säästötiliin ja siihen, että Pankin olisi tullut ymmärtää, ettei kyseistä tiliä ole ollut tarkoitus käyttää maksujen tekemiseen. Kyseinen tili on Tuottotili. Tuottotiliin ei ole liitetty maksukorttia, mutta siltä on mahdollista tehdä tilisiirtoja sen ollessa liitettynä verkkopankkitunnuksiin ja kyseinen tili on ollut myös asiakkaan itsensä aktiivisessa käytössä.

Lopuksi

Asiakas on luovuttanut soittajalle ehtojen vastaisesti pankkitunnuksiensa osat ja mahdollistanut siten tapahtuneen väärinkäytön.

Arvioitaessa asiakkaan huolellisuutta pankkitunnusten käsittelemisessä tulee Pankin näkemyksen mukaan ottaa huomioon pankkitunnussopimuksen ehtojen sekä turvallisuusohjeiden noudattamisen lisäksi pankkitunnuksien turvallisuusriskeihin liittyvä yleinen kuluttajilta edellytettävä tietämys. Pankki katsoo, että yleiseen tietämykseen kuuluu edellä esitetyn kaltaisen tiedottamisen ja huolelliselta asiakkaalta edellytettävien vaatimusten perusteella ymmärrys siitä, ettei pankki ota asiakkaaseen missään olosuhteissa yhteyttä kysyäkseen pankkitunnuksia ja varsinkaan pankkitunnuksien kaikkia osia useita tunnuslukuja mukaan lukien. Pankkitunnuksien tai niiden osien luovuttaminen toiselle suullisesti tai kirjallisesti kielletään Pankin digitaalisia palveluita koskevissa ehdoissa sekä Pankin käyttämissä ja asiakkaalle toimittamissa turvallisuusvaatimuksissa ja -ohjeissa.

Pankki katsoo, että asiakkaan olisi tullut ymmärtää, ettei hänelle tullut puhelu tosiasiassa tullut pankista, ja asiakkaan olisi huolellisesti toimiessaan tullut jättää soittajan pyytämät tunnuslukutaulukon numerot ja muut pankkitunnusten osat antamatta. Mikäli asiakas olisi perehtynyt Pankin asiakkaalle toimittamiin turvallisuusvaatimuksiin ja -ohjeisiin sekä pankkitunnussopimukseen liittyviin ehtoihin ja ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden, asiassa olisi vältytty oikeudettomasti toteutetuilta maksutapahtumilta.

Pankki katsoo, että pankkilautakunnan vakiintuneen ratkaisukäytännön perusteella asiakas on toiminut Pankin digitaalisia palveluita koskevissa ehdoissa tarkoitetulla tavalla törkeän huolimattomasti luovuttaessaan pankkitunnukset puhelimitse niitä kysyneelle. Näin ollen Pankki ei ole korvausvastuussa asiakkaalle pankkitunnuksilla oikeudettomasti tehdyistä maksuista.

Pankin mahdollisuudet estää tai perua maksua olivat hyvin vähäiset. Maksun pysäyttäminen ei ollut enää teknisesti mahdollista siinä vaiheessa, kun asiakas toi oikeudettoman maksun Pankin tietoon. Maksun palautuspyyntö olisi ollut Pankin kokemuksen mukaan turha, koska verkkokalastelua harjoittavat rikolliset nostavat varat pois tileiltä heti huijauksen onnistuttua.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
 - Sähköinen rikosilmoitus 
 - Asiakkaalle 19.7.2018 tullut sähköposti aiheella ”Päivittää”
 - Asiakkaalle 19.7.2018 tullut sähköposti aiheella ”kiireellinen päivitys”
 - Asiakkaalle 26.7.2018 tullut sähköposti aiheella ”Verkkopankki Päivitys”
 - Digitaalisia palveluita koskevat yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja Pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen verkkopankkitunnuksensa niiden käyttöön oikeudettomalle taikka voidaanko verkkopankkitunnusten joutumisen oikeudettomasti toisen haltuun tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja Pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan, ja minkä asteista jälkimmäisessä tapauksessa asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, onko asiakkaan vastuuta rajoitettava sillä perusteella, että Pankki ei olisi edellyttänyt maksajan vahvaa tunnistamista.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät) mukaan 
Tässä laissa tarkoitetaan: […]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta: 
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan; 
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;

Maksupalvelulain muuttamiseen johtaneen hallituksen esityksen (HE 132/2017) yksityiskohtaisissa perusteluissa todetaan määritelmiä koskevan lain 8 §:n 24 kohdan kohdalla seuraavaa
Kohdan a alakohdassa tarkoitetaan esimerkiksi salasanaa, jonka käyttäjä joutuu antamaan käyttäjätunnuksensa yhteydessä. Kohdan b alakohdassa puolestaan tarkoitetaan tunnistusvälinettä, jonka sisältämän tiedon perusteella käyttäjäidentiteetti pystytään määrittämään. Esimerkkejä tällaisesta ovat sirukortti, tietyllä SIM-kortilla varustettu matkapuhelin tai käyttäjän mobiililait-teelle asennettu tunnistussovellus. Kohdan c alakohdassa tarkoitetaan käytännössä jotain käyttäjän biometristä ominaisuutta, kuten sormenjälkeä, kas-vojen muotoa tai silmän iiristä.  

Lain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n 1 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
 1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
 2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
 3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
 1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
 2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
 3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
 4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin Digitaalisia palveluja koskevien yleisten ehtojen (Pankkitunnusehdot)  kohta, joka koskee asiakkaan vastuuta kun tunnistusvälineitä käytetään maksuvälineenä, vastaa  maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Turvallisuus-kohdan mukaan
Asiakkaan on täytettävä Pankin kulloinkin ilmoittamat, digitaalisten palvelujen tarjoamista ja käyttämistä koskevat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. 
Pankki toimittaa asiakkaalle tarkemmat ohjeet tunnistusvälineiden käytöstä digitaalisia palveluja koskevan sopimuksen solmimisen yhteydessä. Pankki ilmoittaa Asiakkaalle petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista Pankin verkkosivuilla tai sähköisiä palvelukanavia hyödyntäen. Pankki ja Asiakas vastaavat kumpikin omien tieto- ja teleliikennejärjestelmiensä tietoturvan riittävyydestä ja tarkoituksen mukaisuudesta. […]

Pankkitunnusehtojen Tunnistautumistietojen säilyttäminen ja asiakkaan vastuu -kohdan mukaan
Asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen. Asiakas sitoutuu säilyttämään Pankin myöntämät tunnistautumistiedot huolellisesti ja varmistaa säännöllisesti, että ne ovat tallessa. Asiakas sitoutuu säilyttämään henkilökohtaiset tunnistautumistiedot erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Asiakas on velvollinen välittömästi ilmoittamaan Pankille palvelujen asiattoman käytön estämiseksi, jos pankkitunnukset tai niiden osa, mobiilisovellus tai muu Pankin myöntämä tunnistetieto tai sen osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa. […] Asiakas vastaa kaikesta siitä vahingosta, jonka tunnistusvälineiden joutuminen ulkopuolisen tietoon on aiheuttanut Pankille, asiakkaalle tai sivulliselle siihen asti, kunnes Pankki on vastaanottanut edellä mainitun ilmoituksen ja estänyt digitaalisten palvelujen käytön jatkamisen niin nopeasti kuin mahdollista. […]

Asian arviointi

Selvyyden vuoksi Pankkilautakunta toteaa, että ko. maksu on pankkitunnuksin 26.7.2018 annetun maksutoimeksiannon perusteella välitetty Pankista eteenpäin 26.7.2018 eikä Pankin ole ollut mahdollista estää maksun välittymistä maksunsaajalle siinä vaiheessa, kun asiakas on vaatinut Pankilta toimenpiteitä seuraavana päivänä 27.7.2018. Näin ollen asiakkaan ja Pankin välinen vastuunjako tapauksessa aiheutuneesta vahingosta on ratkaistava soveltamalla maksupalvelulain säännöksiä ja Pankin digitaalisia palveluja koskevia yleisiä ehtoja.

Pankkilautakunta toteaa Pankin verkkopankkitunnusten koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä tunnuslukutaulukosta. Lautakunta katsoo tässä tapauksessa olevan riidatonta, että asiakas on antanut sähköpostiinsa tulleessa viestissä olleesta linkistä avautuneilla sivuilla ainakin käyttäjätunnuksensa ja salasanansa, ja tämän jälkeen saamassaan puhelussa asiakas on soittajan pyynnöstä antanut vähintään kaksi tunnuslukua tunnuslukutaulukostaan. 

Lautakunnalle on toimitettu asiakkaan aiheilla ”kiireellinen päivitys”, ”Päivittää” ja ”Verkkopankki Päivitys” saamat ja Pankin nimissä lähetetyt sähköpostit, mutta asiassa ei ole saatu varmuutta siitä, missä em. sähköpostissa ollutta linkkiä asiakas on klikannut. Osittain epäselväksi asiassa on jäänyt myös se, minkälaiset internet-sivut linkistä ovat avautuneet, minkälaisia ohjeita ne ovat sisältäneet ja millä tavoin sivuilla on pyydetty asiakkaan verkkopankkitunnuksia. Asiassa saadun selvityksen puutteellisuudesta huolimatta Pankkilautakunta katsoo, että asia voidaan ratkaista asiassa esitetyn selvityksen perusteella eikä lautakunta ole tämän vuoksi katsonut tarpeelliseksi pyytää osapuolilta asiaan lisäselvitystä.

Tunnusten luovuttaminen

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella luovutuksella tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo, että asiakas on ollut verkkopankkitunnuksia käyttäessään ja niitä antaessaan siinä käsityksessä, että hän on asioinut Pankin kanssa. Näin ollen Pankkilautakunta katsoo, ettei asiakas ole tietoisesti luovuttanut verkkopankkitunnuksiaan niitä koskevan sopimuksen suhteen ulkopuoliselle ja niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai Pankin digitaalisia palveluja koskevissa yleisissä ehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan on seuraavaksi arvioitava, vastaako asiakas verkkopankkitunnusten oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko verkkopankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan huolimattomuus

Asiakkaan hyväksymien pankkitunnusehtojen mukaan asiakas on sitoutunut säilyttämään Pankin myöntämät henkilökohtaiset tunnistautumistiedot huolellisesti ja säilyttämään tunnistautumistietonsa erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Edelleen ehtojen mukaan asiakkaan on noudatettava Pankin kulloinkin ilmoittamia kohtuullisia turvallisuusvaatimuksia. Pankin verkkopankin turvallisuusohjeissa varoitetaan huijareista, jotka hyödyntävät sähköpostiviestejä ja väärennettyjä verkkosivuja, ja huijausyrityksistä, joissa yleensä yritetään vedota asiakkaan luottamukseen esiintymällä pankin edustajana. Lisäksi Pankin mukaan pankkitunnussopimuksessa todetaan, että Pankki ei koskaan ota yhteyttä sähköpostilla tai puhelimella kysyäkseen pankkitunnuksia. Pankin mukaan se on lisäksi tiedottanut ja varoittanut laajasti tietojenkalastelusta verkkosivuillaan ja sosiaalisessa mediassa.

Pankkilautakunta katsoo, että asiakkaan olisi yleisen tietämyksen ja hänelle lähetetyn sähköpostin otsikoinnin, muotoilun ja sisällön perusteella tullut ymmärtää, ettei sähköpostiviesti ollut Pankin lähettämä, ja huolellisesti toimiessaan asiakkaan olisi tullut jättää sähköpostiviestissä ollut linkki avaamatta ja erityisesti jättää verkkopalvelutunnusten osia antamatta kun niitä ko. sivuilla pyydettiin.

Edelleen ja erityisesti lautakunta katsoo, että asiakkaan olisi tullut ymmärtää, ettei myöskään hänelle linkin avaamisen ja avautuneilla sivuilla asioinnin jälkeen tullut puhelu tosiasiassa tullut Pankista, ja asiakkaan olisi huolellisesti toimiessaan tullut jättää soittajan pyytämät tunnuslukutaulukon tunnusluvut antamatta.

Mikäli asiakas olisi sähköpostin saatuaan, siinä olleen linkin avattuaan tai viimeistään puhelun saatuaan ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuuden ja olisi ennen tunnuslukujensa antamista ottanut itse yhteyttä Pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Edellä esitettyyn viitaten Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja Pankin digitaalisia palveluja koskevien yleisten ehtojen mukaisia velvollisuuksiaan. Ottaen huomioon, miten Pankki on turvallisuusohjeissaan ja aktiivisella tiedottamisellaan pyrkinyt varoittamaan tietojenkalastelusta ja kiinnittämään asiakkaidensa huomiota verkkopankkitunnusten turvalliseen käyttämiseen sekä miten tietojenkalastelu on muutoinkin ollut tapahtuma-aikaan ja sitä ennen esillä julkisuudessa, Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena poikkeavan selvästi ja olennaisesti siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja osoittavan sellaista erittäin vakavaa varomattomuutta, jota maksupalvelulain mukaisella törkeällä huolimattomuudella tarkoitetaan.

Vahva tunnistaminen

Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Maksupalvelulaissa vahvalla tunnistamisella tarkoitetaan lain 8 §:n (Määritelmät) mukaisesti maksupalvelun käyttäjän sähköistä tunnistamista, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta: a) johonkin, mitä vain maksupalvelun käyttäjä tietää; b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan; c) maksupalvelun käyttäjän yksilöivään ominaisuuteen.

Syyskuussa 2019 astuvat voimaan uuden maksupalveludirektiivin (98 art) nojalla annettavat komission tekniset sääntelystandardit, joissa määritellään vahvan tunnistamisen - maksupalvelulain 8 §:n yleisluontoista määritelmää - tarkempi sisältö ja vaatimukset. Näin ollen maksupalvelulaissa tarkoitetun vahvan tunnistamisen tarkempi sisältö määräytyy mainittujen vasta tulevaisuudessa annettavien teknisten sääntelystandardien perusteella. 

Pankkilautakunta katsoo, että tässä tapauksessa tehtäessä ko. tilisiirtoa Pankin verkkopankkitunnuksilla on maksupalvelun käyttäjän sähköinen tunnistaminen perustunut vähintään kahteen tapahtuma-aikaan voimassaolleen maksupalvelulain määritelmän mukaiseen vahvan tunnistamisen edellytykseen ja siten Pankin voidaan katsoa edellyttäneen maksajan vahvaa tunnistamista ko. riidanalaista tilisiirtoa tehtäessä. Syyskuussa 2019 voimaan tulevissa komission teknisissä sääntelystandardeissa vahvan tunnistamisen sisältö ja vaatimukset tulevat tarkentumaan.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, ettei asiakas ole luovuttanut pankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla. Pankkilautakunta katsoo kuitenkin pankkitunnusten joutumisen sivullisen tietoon ja niiden oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan kokonaisuutena arvioiden laissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla.

Edelleen Pankkilautakunta katsoo, että ko. riidanalaista tilisiirtoa tehtäessä Pankki on edellyttänyt maksajan vahvaa tunnistamista tapahtuma-aikaan voimassa olleissa säännöksissä tarkoitetulla tavalla.
 
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää 
Sihteeri Hidén

Jäsenet:
Ahlroth
Aspelund
Atrila
Piilo

Tulosta