Haku

FINE-019537

Tulosta

Asianumero: FINE-019537 (2019)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 18.12.2019

Miten vastuu asiakkaan kortilla verkossa tehdystä ja verkkopankkitunnuksilla vahvistetusta ostotapahtumasta jakautuu asiakkaan ja pankin välillä? Verkkomaksu. Verkkourkinta. Kortin oikeudeton käyttö. Kortinhaltijan huolimattomuus.

Tapahtumatiedot

Asiakkaan tililtä on tehty 18.11.2018 klo 21.54 hänen Visa-korttinsa korttitietoja käyttäen ja verkkopankkitunnuksilla vahvistaen 1.306,99 euron maksu verkkokaupassa, jossa asiakas kiistää itse asioineensa. Asiakkaan kortti on suljettu 19.11.2018 klo 11.44.

Asiakkaan valitus

Asiakas ei ole itse tehnyt verkkokaupassa 18.11.2018 tehtyä 1.306,99 euron ostosta ja hän vaatii pankkia korvaamaan ko. ostoksen. 

On täysin mahdotonta, että osto olisi hyväksytty asiakkaan verkkopankkitunnuksilla. Asiakas säilyttää tunnuksiaan lukitussa laatikossa kotonaan ja itse muistaa ne ulkoa. Avainlukulista on aina asiakkaan mukana laukussa piilotettuna ja siihen ei pääse tai ole päässyt kukaan käsiksi. Asiakas asuu henkilön kanssa, jolla ei itsellä ole verkkopankkia ja joka ei osaisi sitä käyttää. Heidän luonaan ei ole vieraillut henkilöitä, jotka olisivat päässeet tutkimaan asiakkaan lukittuja laatikoita tai käsiksi avainlukulistaan. Kukaan ulkopuolinen - ei edes puoliso - tiedä, missä avainlukulista on. Väite, että ulkopuolinen olisi saanut tunnuksia käsiinsä, on mahdoton. 

Sekä heinäkuussa että marraskuussa asiakkaan sähköpostiin tuli Apple ID:ltä pyyntö päivittää luottokorttitiedot. Heinäkuun kyselystä ei seurannut mitään väärinkäyttöä, mutta jälkimmäinen ilmeisesti oli huijaus. Asiakas on ilmeisesti vahingossa antanut Apple ID:n nimissä tulleelle tiedustelijalle luottokorttitietonsa. Verkkotunnuksia asiakas ei ole koskaan luovuttanut kenellekään, ainoastaan kortin tiedot, koska asiakkaalla on Applella tili käytössä ja he pyytävät vain luottokortin tiedot. Verkkopankkiostoja asiakas ei tee koskaan luottokortilla, joten hän olisi kyllä huomannut ja herännyt asiaan, jos näin olisi tapahtunut ja vahvistusta olisi pyydetty verkkopankkitunnuksilla.

Asiakas ei ole toimittanut huijausviestin kopiota, koska hän poisti sen tuolloin hädissään ja sähköpostipalveluntarjoajan mukaan ei ole mahdollista löytää poistettua viestiä marraskuulta 2018. Asiakas itse kyllä muistaa vastanneensa Apple ID:n nimissä tulleeseen kyselyyn luottokorttitietojen päivittämiseksi. Asiakkaan epäilykset heräsivät jostain syystä ja hän soitti luottokuntaan. 

Pankista kerrottiin maaliskuussa puhelimitse, että he ovat olleet yhteydessä ko. verkkokauppaan ja todentanut sellaisen olemassaolon, mutta kun asiakas kysyi, ottivatko he selvää minne tilaus on toimitettu, hän sai vastauksen, että asia ei pankille kuulu eivätkä he ole selvittäneet. Nyt pankki kiistää olleensa yhteydessä myyjään eikä asiakas ymmärrä, miksi pankki ei voi tarkistaa kenelle kyseinen osto on toimitettu koska silloin myös tilaaja selviäisi.

Kyseiseen verkkokauppaan ei löydy englanninkielisiä verkkosivuja eikä mitään sähköpostiosoitetta, johon asiakas olisi itse voinut olla yhteydessä. Asiakas ei ole koskaan asioinut kyseisen verkkokaupan kanssa millään tavalla eikä ole tilannut mitään.

Euroopan kuluttajakeskus ECC on selvitellyt asiaa Suomessa ja Italiassa. Italian toimipiste on yrittänyt lukuisia kertoja saada yhteyttä kyseiseen verkkokauppaan, mutta myyjä ei vastaa yhteydenottoihin eikä selvityspyyntöihin. Tämä on jatkunut kuukausia. Nyt Italian toimipiste ehdottaa, että luottokorttiyhtiö ottaisi rahojen palauttamisen uudelleen käsittelyyn koska toiminta myyjän taholta ei ole asianmukaista.

Asiakkaan mukaan hän on kertonut myös avoinna olleen tietokoneensa oudosta varoituksesta ja eräänlaisesta "räjähdyksestä" noihin aikoihin, mutta kukaan ei ole reagoinut siihen. 

Pankin vastine

Reklamoitu tapahtuma on Verified by Visa -varmennettu verkko-osto, toisin sanoen ostotapahtuma on hyväksytty kortinhaltijan verkkopankkitunnuksilla. Tapahtuma on siis tehty kortin tiedoilla ja kauppias on tunnistanut kortinhaltijan pankin myöntämillä vahvoilla sähköisillä tunnistusvälineillä verkko-oston yhteydessä. 

Oston tekijällä on täytynyt olla tiedossaan kaikki verkkopalvelutunnukset (käyttäjätunnus, salasana ja avainlukulistan numerosarja). Mikäli tunnuksia ei ole annettu ulkopuoliselle tietojenkalasteluviestin tai muun vastaavan perusteella, on tunnuksia säilytetty niin, että ulkopuolinen henkilö on voinut saada ne käyttöönsä. Jos asiakas ei ole antanut tunnuksiaan ulkopuoliselle, eikä ulkopuolisen on ollut mahdollista saada niitä käyttöönsä, on kortinhaltijan täytynyt itse antaa tunnukset oston yhteydessä. 

Kortinmyöntäjällä ei ikävä kyllä ole mahdollisuutta selvittää mihin reklamoituun veloitukseen liittyvä osto on toimitettu. Kortinmyöntäjä ei koskaan ole yhteydessä suoraan kauppiaisiin tai muihin kortilta veloituksen tekeviin tahoihin, vaan aina Visan kanavien kautta veloittajien pankkeihin. Pankki ei siten ole ollut yhteydessä liikkeeseen, joka veloituksen on tehnyt, vaan veloittajan pankkiin. Koska osto on verkkopankkitunnuksilla hyväksytty, eli kauppias on edellyttänyt kortinhaltijan vahvaa tunnistamista oston yhteydessä, ei kauppiaalla VISAn sääntöjen mukaan ole velvollisuutta toimittaa pyydettyä tositetta eikä sitä ole pankille toimitettu.

Asiakkaan kertomassa puhelussa on täytynyt tulla jonkinlainen tulkintavirhe. Kun pankki ei ole saanut kauppiaan pankilta tilaamaansa tositetta ostosta, ei pankilla ole ollut mitään muita keinoja selvittää sitä, mihin kortilla maksettu tuote tai muu on toimitettu. Koska osto on hyväksytty verkkopankkitunnuksilla, ei kortinmyöntäjällä ole myöskään mahdollisuutta periä ostosta rahaa takaisin veloittajalta. 

Asiakas on kysynyt, miksei pankki ole päätöksessään huomioinut hänelle Apple ID:n nimissä tullutta kalasteluviestiä, mutta asiakas ei ole missään vaiheessa toimittanut kortinmyöntäjälle kyseistä viestiä tai kopiota viestistä. 

Korttiehtojen mukaan: ”asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen verkkokauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä verkkokaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville.”

Pankki katsoo, että tunnukset on korttiehtojen ja verkkopalveluehtojen vastaisesti luovutettu niiden käyttöön oikeudettomalle, tai verkkopalvelutunnuksia on säilytetty siten, että ulkopuolinen on voinut saada ne haltuunsa. Asiakkaan huolimattomuutta ei tässä tapauksessa voi pitää lievänä. Pankki katsoo, että verkkopankkitunnusten haltijana asiakas vastaa tunnuksillaan tehdystä tapahtumasta.

Asiakas on reklamoinut tapahtuman oikeudettomana. Näin ollen kuluttajansuojalain 7. luvun 39 §:n mukainen luotonantajan ja myyjän yhteisvastuu ei päde sovellettavaksi.         

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 20.1.2019)
- Ote riidanalaisen korttitapahtuman varmennustiedosta
- Euroopan Kuluttajakeskuksen sähköpostivastaus asiakkaalle 12.8.2019
- Yleiset korttiehdot
- Tunnusten ja verkkopalveluiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Pankkilautakunnan on asian ratkaisemiseksi arvioitava, voidaanko asiakkaan katsoa antaneen suostumuksensa riidanalaisen maksutapahtuman toteuttamiselle. Mikäli asiakkaan ei katsota antaneen suostumustaan veloitukselle, on tapauksessa kyse maksuvälineen oikeudettomasta käytöstä ja Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineen sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko kortin oikeudettoman käytön katsoa johtuvan siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan 
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan 
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan 
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen verkkokauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä verkkokaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville, näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Verkkokaupan luotettavuuden ja etämaksutapahtuman suojaamisen voi varmistaa tarkistamalla, että sivusto on suojattu verkkokauppayritykseen viittaavalla SSL-suojauksella. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston suojaava SSL-varmenne kuuluu verkkokauppayritykselle ja että yhteys salataan. […]

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. […] Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa hänen nimissään tekemistä toimista. […]

  • Tunnuksia tai osaa niistä ei saa kertoa puhelimessa suullisesti niitä kysyvälle ([Pankin] puhelinpalvelussa asiakas näppäilee verkkopalvelutunnukset puhelimeen)
  • näppäillä matkapuhelimeen tekstiviestillä tulleen pyynnön perusteella puhelin laitteeseen ellei kyse ole [Pankki]-verkkopalvelusta tai muusta [Pankin] hyväksymästä palvelusta tai sovelluksesta
  • antaa sähköpostiviestillä tulleen pyynnön perusteella eikä kirjautua [Pankki]-verkkopalveluun sähköpostilla lähetetyn linkin kautta.


Asian arviointi

Pankkilautakunta katsoo tapauksessa selvitetyksi, että kyseinen asiakkaan kortin tiedoilla tehty maksutapahtuma on hyväksytty käyttäen asiakkaan verkkopankkitunnuksia, jotka koostuvat kolmesta osasta - käyttäjätunnuksesta, salasanasta ja avainlukulistasta.

Edelleen Pankkilautakunta katsoo asiassa esitetyn kokonaisselvityksen perusteella ja sen puutteista huolimatta todennäköiseksi, että asiakas joutunut ns. phishingin/tietojenkalastelun uhriksi ja että kyseessä oleva 2.000,00 euron maksu verkkokaupassa on tehty käyttäen asiakkaan Visa-kortin korttitietoja sekä hänen verkkopankkitunnuksiaan maksun hyväksymiseen oikeudetta.

Pankkilautakunta katsoo asiassa kuitenkin jääneen olennaisilta osin epäselväksi, millä tavoin asiakkaan korttitiedot ja erityisesti hänen verkkopankkitunnuksensa eri osat ovat päätyneen niitä oikeudetta käyttäneen tietoon. 

Asiakas ei ole Pankkilautakunnalle tekemässään alkuperäisessä valituksessaan eikä sitä ennen suoraan pankille lähettämissään selvityksissä vielä maininnut mitään tapahtuma-aikaan saamastaan sähköpostiyhteydenotosta. Asian kirjelmöintivaiheessa asiakas on kertonut saaneensa tapahtuma-aikaan marraskuussa 2018 Applen nimissä lähetetyn viestin ja antaneensa viestiin liittyen korttitietonsa, mutta asiakkaalla ei ole ollut toimittaa lautakunnalle kyseistä sähköpostiviestiä. Asiakas ei ole myöskään selvittänyt, millä tavoin ja mihin - esimerkiksi viestissä mahdollisesti olleen linkin kautta avautuneilla sivuilla - hän on korttitietonsa antanut. Erityistä huomiota lautakunta kiinnittää siihen, että asiakas on kiistänyt antaneensa pankkitunnuksiaan missään yhteydessä kenellekään ja siihen, ettei asiakas ole myöskään esittänyt näkemystään siitä, miten ko. riidanalaisen maksutapahtuman tehnyt taho olisi voinut saada hänen pankkitunnuksiaan tietoonsa.

Edellä todettuun viitaten Pankkilautakunta katsoo, ettei sen ole asiassa saadun selvityksen perusteella mahdollista luotettavasti arvioida, miten asiakkaan kortin tiedot ja erityisesti pankkitunnusten eri osat ovat päätyneet niitä oikeudetta käyttäneen tietoon ja mikä on ollut asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun ja asiakkaan kortin ja pankkitunnusten oikeudettomaan käyttöön.

Lopputulos

Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Lautakunta katsoo, että tässä tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja Pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan kortin ja pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus ollut törkeää. Keskeisen tapahtumainkulun jäädessä tällä tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén 

Jäsenet:
Ahlroth
Atrila
Laine
Pulkkinen

Tulosta