Tapahtumatiedot
Asiakkaiden pojan, jolla on laaja käyttöoikeus vanhempiensa tileihin, työpaikalle oli murtauduttu hänen viikon kestäneen lomansa aikana ja löydetty sieltä hänen omat verkkopankkitunnukset, joilla oli tehty vanhempien tileiltä pääosin tilisiirtoja sekä joitain ostoja yhteensä 123.417,40 euron arvosta.
Asiakkaan valitus
Pojan työhuone on kahdella eri avaimella toimivien lukkojen takana ja hän oli säilyttänyt avainlukulistaa työpöytänsä laatikostossa paperipinon välissä siten, että ne eivät olleet havaittavissa laatikkoa avattaessa. Käyttäjätunnukset puolestaan olivat tietokonerepussa, jota hän normaalisti pitää aina mukanaan töissä tai kotona, mutta jonka oli poikkeuksellisesti lomansa vuoksi jättänyt työpaikalleen.
Asiakkaat vaativat pankkia korvaamaan kateisiin jääneen määrän eli yhteensä 32.356,44 euroa. Asiakkaiden näkemyksen mukaan pankin olisi tullut kyetä estämään tilisiirrot ja he ovat myös tyytymättömiä pankin tapaan hoitaa ja selvittää asiaa, minkä epäilevät johtuvan siitä että pankki olisi laiminlyönyt omia velvollisuuksiaan asiassa.
Pankin vastine
Pankki katsoo, että tunnusten eri osia on säilytetty yhdessä ja että ne ovat olleet ulkopuolisen löydettävissä ja tunnistettavissa verkkopankkitunnuksiksi, mistä syystä oikeudettomat tilitapahtumat on onnistuttu tekemään. Pankin näkemyksen mukaan asiassa on siten laiminlyöty maksupalvelulain 53 §: 1 momentin mukaisia velvoitteita sekä sopimusehtoja tunnusten säilyttämisen suhteen tavalla, joka osoittaa törkeää huolimattomuutta ja mistä syystä asiakkaat vastaavat koko vahingosta. Pankki toteaa lisäksi, että osa siirroista saatiin estettyä sen omien toimien johdosta ja että murron jälkeen asiassa olisi tullut varmistaa tunnusten tallellaolo sekä sulkea ne.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- tutkintailmoitus 9.4.2019 (asianimike törkeä maksuväinpetos, rahanpesu ja varkaus)
- pankin tunnusten ja verkkopalveluiden yleiset ehdot
- tiliotteita
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja ehtojen mukaiset velvollisuutensa ja onko asiakkaan mahdollinen huolimattomuus törkeää.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n 1 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Pankin ehtojen kohta, joka koskee asiakkaan vastuuta oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Ehdoissa on lisäksi todettu, että käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Ehtojen mukaan myös tunnuksia on säilytettävä huolellisesti ja erillään toisistaan siten, ettei kenelläkään, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnusten osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa. Edelleen ehtojen mukaan asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että tunnukset ovat tallessa.
Asian arviointi
Tapahtumienkulun osalta Pankkilautakunta katsoo olevan riidatonta, että pojan työpaikalle ja tämän lukittuun toimistohuoneeseen on murtauduttu. Edelleen riidatonta on, että pojan ja hänen vanhempiensa verkkopankkitunnusten avainlukulistat ovat olleet toimistossa työpöytälaatikossa ja salasanat asiakkaan työrepussa.
Pankkilautakunta toteaa asiassa saadun selvityksen perusteella jäävän osittain epäselväksi, missä muodossa tunnistetietoja on säilytetty toimistotiloissa. Pankkilautakunta katsoo, ettei poika ole huolimattomuudestaan laiminlyönyt velvollisuuksiaan tunnusten turvallisen säilyttämisen suhteen säilytettyään niitä ja poikkeuksellisesti myös tunnuksiin liittyviä salasanoja yrityksen toimitiloissa kahdella eri lukolla lukitussa toimistotilassa, josta ne ovat yöllisen murron yhteydessä päätyneet sivullisen haltuun.
Ottaen huomioon, että tunnuksilla on onnistuttu tekemään tilisiirtoja ja ostoja pian yrityksen tiloihin tapahtuneen murron jälkeen, Pankkilautakunta katsoo joka tapauksessa olevan ilmeistä, että tunnistetiedot haltuunsa saanut on tunnistanut sen verkkopankkitunnuksiksi ja on kyennyt yhdistämään ne repusta löytämiinsä salasanoihin. Edelleen lautakunta katsoo todennäköiseksi, että asiassa on vastoin tunnuksia koskevia ehtoja joko kirjattu tunnistetiedot helposti tunnistettavaan muotoon tai niitä on säilytetty pankista saadussa alkuperäisessä muodossa. Mikäli tunnisteita olisi säilytetty muodossa, joka ei olisi ollut yrityksen tiloihin murtautuneen tai murtautuneiden tunnistettavissa pankkitunnuksisiksi, olisi oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä kokonaisuudessaan.
Edellä esitettyyn viitaten ja riippumatta siitä, miten tunnisteita on säilytetty, Pankkilautakunta katsoo tilanteessa huolimattomuudesta laiminlyödyn verkkopankkitunnuksia koskevien ehtojen mukaisia velvollisuuksia tunnisteiden säilyttämisen suhteen.
Edelleen Pankkilautakunta kuitenkin katsoo, että vaikka myös sulkuilmoitus on asiassa viivästynyt, ei sillä ole ollut syy-yhteyttä vahinkoon. Mainituista syistä pojan menettelyn ei voida katsoa osoittavan selvää piittaamattomuutta tunnisteiden hallintaan liittyviin turvallisuusriskeihin ja ettei menettely siten kokonaisuudessaan osoita törkeää huolimattomuutta. Näin ollen asiakkaiden vastuu tunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen tunnusten oikeudettomasta käytöstä kateisiin jääneiden varojen osalta aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Sainio
Jäsenet:
Ahlroth
Atrila
Laine
Pulkkinen