Haku

FINE-024376

Tulosta

Asianumero: FINE-024376 (2020)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 15.06.2020

Miten vastuu asiakkaiden verkkopankkitunnuksien oikeudettomasta käytöstä aiheutuneesta vahingosta jakautuu asiakkaiden ja pankin välillä? Verkkopankkitunnusten oikeudeton käyttö. Pankkitunnusten säilyttäminen. Tallellaolon seuraaminen. Katoamisilmoituksen tekeminen. Törkeä huolimattomuus.

Tapahtumatiedot

Asiakkaat A ja B olivat 13.7.2019 lähtien Lapissa lomamatkalla, kun heidän kotiinsa murtauduttiin. Asiakkaiden tytär C oli 17.7.2019 katsomassa vanhempiensa postia, kun hän huomasi kodin pääovessa murtojälkiä. C ei havainnut asunnon sisällä merkkejä ulkopuolisen käynnistä ja C:n ilmoitettua havainnoistaan hätäkeskukseen poliisipartio ilmoitti, ettei se tule paikalle. Asiakkaat kuitenkin keskeyttivät lomansa ja palasivat kotiinsa illalla 18.7.2019.

Asiakkaat huomasivat 25.7.2019 mappeja kadonneen toimistohuoneen hyllystä sekä pankkitunnusten tunnuslukutaulukon kirjoituspöydän lokerikosta, minkä johdosta he tekivät sulkuilmoituksen pankkitunnuksistaan. 17.7.-25.7.2019 välisenä aikana asiakkaiden verkkopankkitunnuksia oli käytetty oikeudettomasti tilisiirtoihin, yhteensä 35.000 euron lainojen hakemiseen pankista ja yhteensä 16.750 euron lainojen hakemiseen toisilta luotonantajilta. Asiakkaiden nimissä haetut luotot maksettiin heidän tileilleen, joilta varat siirrettiin pois verkkopankkitunnuksia oikeudetta käyttäen. 

Pankki on katsonut, että B on vastuussa hänen pankkitunnuksillaan hänen tililtään hyväksytyistä tilisiirroista ajalla 17.7.-25.7.2019 ja pankkitunnuksilla tehdyistä 30.000 euron pankin myöntämästä lainasta sekä kolmen eri luotonantajan myöntämistä yhteensä 16.750 euron suuruisista pikavipeistä, jotka on nostettu B:n tilille ja siirretty tililtä eteenpäin. Lisäksi pankki on katsonut, että A on vastuussa hänen pankkitunnuksillaan hänen tililtään 22.7.2019 hyväksytyistä tilisiirroista sekä pankkitunnuksilla tehdystä 5.000 euron pankin lainasta, joka on nostettu A:n tilille ja siirretty edellä mainitulle B:n tilille ja sieltä eteenpäin.

Asiakkaan valitus

Asiakkaat vaativat, ettei pankin lainoja määrältään 30.000 euroa (B) ja 5.000 euroa (A) eikä tilisiirtoja tai pikavippejä katsota heidän vastuulleen. Asiakkaat vaativat, että FINE suosittaa pankin ottavan vastatakseen aiheutuneista vahingoista ja luopuu luottojen ja kulujen perimisestä asiakkailta.

Tapahtumienkulku ja tunnistautumistietojen säilyttäminen

Asiakkaat olivat Lapissa lomamatkalla 13.7.2019 alkaen ja loman oli tarkoitus jatkua 23.7.2019 asti. Heidän tyttärensä C meni 17.7.2019 katsomaan vanhempiensa postia ja huomasi kodin pääovessa murtojälkiä. Murtautuminen katsottiin epäonnistuneeksi, koska asunnon sisällä ei tuolloin havaittu mitään merkkejä ulkopuolisten käynnistä. C ilmoitti havainnoistaan hätäkeskukseen, mutta poliisipartio ilmoitti, ettei se tule paikalle, kun sisällä ei ole merkkejä ulkopuolisten käymisestä.

C teki kuitenkin samana päivänä eli 17.7.2019 havainnoistaan sähköisen rikosilmoituksen murron yrityksestä. Tapahtuneen johdosta asiakkaat keskeyttivät lomansa ja palasivat kotiin illalla 18.7.2019. Asiakkaat kävivät kotinsa läpi 19.7.2019 ja varmistivat, ettei kodista ole kadonnut mitään eivätkä he havainneet sisätiloissa merkkejä kenenkään käynnistä asunnossa.

A:n järjestäessä 25.7.2019 asiakkaiden perheyrityksen kirjanpitoaineistoa, hän havaitsi, että kaksi kirjanpitomappia puuttui. Tässä yhteydessä asiakkaat havaitsivat ensimmäisen kerran, että asuntoon olikin päästy sisälle ja että pankin käyttäjätunnukset sisältävä mappi oli kateissa. Asiakkaat olivat välittömästi yhteydessä pankkiin ja pyysivät sulkemaan tilinsä. 29.7.2019 asiakkaat havaitsivat myös kolmannen mapin kadonneen, mutta tätä ennen pankin tilit ja tunnukset oli jo suljettu.

Asiakkaat ovat säilyttäneet pankin käyttäjätunnuksia, salasanoja ja avainlukulistaa siten, että käyttäjätunnukset ovat sijainneet asiakkaiden toimistohuoneen hyllyssä eri mapissa kuin salasanat. Salasanat oli kirjoitettu käsin mapissa sijainneiden asiakirjojen joukkoon yhden paperin kääntöpuolelle niin, ettei kirjausta ole voinut kirjauksen tai sen sijainnin perusteella yhdistää pankin salasanoiksi. Mapit ovat muutoinkin olleet täynnä yrityksen tavanomaisia asiakirjoja, jotka sisältävät lukuja, tekstiä sekä merkintöjä niin, ettei yksittäisiä kirjauksia ole voinut suoraan yhdistää verkkopankin salasanoiksi. Mapeista ei myöskään ole mapin nimen tai sisällysluettelon perusteella käynyt ilmi, että ne sisältävät pankin käyttäjätunnuksia, salasanoja tai avainlukulistaa. Pankin avainlu-kulistat oli piilotettu kirjoituspöydän lokerikkoon paperipinojen väliin.

Huolellisuuden arviointi

Asiakkaat kiistävät toimineensa asiassa törkeän huolimattomasti ja ylipäänsä toimineensa huolimattomasti tai laiminlyöneensä noudattaa pankin ehtoja.

Tunnistautumisvälineiden säilytystapaa on pidettävä huolellisena. Käyttäjätunnuksen, salasanan ja tunnuslukutaulukon säilytyspaikka ei ole ollut pankin katsomalla tavalla "aika ilmeinen" tai varkaiden helposti löydettävissä eikä asiakkailta voida kohtuudella edellyttää parempaa piilottamista. Ilmeisenä säilytyspaikkana voitaisiin pitää säilytystä näkyvällä paikalla esimerkiksi pöydällä tai hyllyllä. Tilanteessa, jossa käyttäjätunnusta, salasanaa ja tunnuslukutaulukkoa on säilytetty eri paikoissa niin, etteivät ne ole olleet näkyvillä, ei kysymys ole säilytyksestä ilmeisessä paikassa, josta tunnistautumisvälineet olisivat olleet helposti löydettävissä.

Pankki edellyttää tulkinnassaan lain esitöiden vastaisesti kohtuuttoman pitkälle meneviä turvajärjestelyjä. Tältä osin on myös otettava huomioon, että varkaat ovat murtautuneet lukittuun kaksikerroksiseen asuintaloon, joka käsittää viisi huonetta ja keittiön. Toimistohuone on täynnä mappeja, ja asiakirjoja ja mappeja on muissakin huoneissa kuin toimistohuoneessa. Asiakkaiden kotona toimistohuoneen mapit ja kirjoituspöydän lokerikko eivät ole olleet ilmeinen säilytyspaikka tunnistautumisvälineille.

Näkemys siitä, että salasana tulisi säilyttää ainoastaan muistissa on kohtuuton, varsinkin kun otetaan huomioon, että asiakkaat ovat yli 70-vuotiaita. Pankin ehdotkaan eivät yksinomaan edellytä sitä. Ulkopuolinen on oletettavasti käyttänyt huomattavan paljon aikaa siihen, että hän on saanut yhdistettyä oikean numerosarjan asiakkaiden kansioista kirjautumiseen tarvittavaksi salasanaksi. Salasana ei ole ollut selkeästi tulkittavissa salasanaksi.

Asiakkaat ovat ehtojen edellyttämällä tavalla säilyttäneet tunnistautumistietoja erillään toisistaan. Pankin esittämä tulkinta edellyttäisi, että ehdoissa yksilöitäisiin kuluttaja-asiakkaille ymmärrettävällä tavalla, että säilytys eri paikoissakaan piilotettuna ei riitä huolelliseksi ja ehtojen mukaiseksi toiminnaksi, vaan säilytyksessä on otettava huomioon mahdollisuus sille, että esimerkiksi murtovarkaat murtautuvat lukittuun taloon ja tutkivat koko talon. Tällainen ehto tai näin pitkälle viety tulkinta edellyttäisi kohtuuttomasti, ettei tunnistautumisvälineitä voisi säilyttää lukitussa kodissa. Pankin ehdot eivät myöskään aseta velvoitetta ottaa tunnistautumisvälineitä mukaan matkalle.

Asiakkaat ovat säännöllisesti varmistaneet, että tunnistautumistiedot ovat tallessa eikä katoamisilmoitus ole ehtojen vastaisesti viivästynyt. Ehtojen perusteella viivästys arvioidaan suhteessa tunnusten katoamisen havaitsemisajankohtaan eikä mihinkään muuhun ajankohtaan. Asiakkaat ovat välittömästi ilmoittaneet pankille pankkitunnusten katoamisesta, kun he ovat havainneet tunnusten katoamisen ja kun heillä on ollut syy epäillä sivullisten saaneen ne haltuunsa tai tietoonsa. Pankki tulkitsee ehtoja virheellisesti asiakkaiden haitaksi niin, että asiakkaiden olisi pitänyt havaita katoaminen aiemmin kuin he ovat havainneet. Ehtoja ei voi näin tulkita eikä asiakkailla muutoinkaan ollut mitään perustetta epäillä tunnusten katoamista.

Asiakkaiden ovessa havaittujen jälkien ja sisätiloihin tutustumisen perusteella murtautuminen oli epäonnistunut. Havaittaessa murtoyrityksen jäljet, oli ovi rakenteellisesti ehjä ja se oli lukossa. Sisätiloissa ei ollut mitään merkkejä murtautumisesta tai tavaroiden tutkimisesta. Tältä osin on keskeistä, että poliisikaan ei katsonut asiassa olevan syytä epäillä murron tapahtuneen, kun se ei käynnistänyt murtoon liittyen esitutkintaa niin, että se olisi tullut paikalle tutkimaan murtoa. Olisi epäjohdonmukaista katsoa, että asiakkailla olisi ollut syytä epäillä sivullisen saattaneen saada pankkitunnukset haltuunsa, kun poliisillakaan ei ylittynyt esitutkinnan aloittamisen kynnyksenä oleva "syytä epäillä" -kynnys.

Hallituksen esityksessä ei ole mainintaa suurien rahasummien säilyttämiseen liittyvästä huolellisuuden tasosta, mihin liittyvän esimerkin pankki vastauksessaan esittää. Ylipäänsä olettamana on, ettei hallituksen esityksessä ole kuvattu huolellisuuden tasoa tilanteessa, jossa säilytettävänä olisi suuri summa käteisvaroja. Yleisen elämänkokemuksen perusteella lienee selvää, että suurien käteissummien säilytys ei ole yleistä. Hallituksen esityksen esimerkki on siis vain rinnastus siihen, mitä voitaisiin pitää vähimmäistasona tunnistautumisvälineiden säilytyksessä. Asiakkaiden tapa säilyttää tunnistautumisvälineitä useassa eri paikassa on varmuudella huolellisempaa kuin yleinen tapa tavanomaisten käteisvarojen säilytykselle. Rinnastus ontuu senkin johdosta, ettei asiakkaiden tilillä ole juurikaan ollut varoja eikä asiassa siten ole kysymys asiakkaiden omien, pankkitilillä olevien varojen käyttämisestä.

Asiakkaat viittaavat ratkaisuun FINE-003752, jossa asiakas oli säilyttänyt tunnistautumisvälineitään kirjoituspöydän lukollisissa laatikoissa ja murtovarkaat olivat saaneet tunnistautumisvälineet haltuunsa asiakkaan loman aikana. Asiakkaan toiminta katsottiin huolimattomaksi, mutta ei törkeän huolimattomaksi. Asiakkaiden säilytystapa on ollut huolellisempaa kuin kyseisessä ratkaisussa. Tunnistautumisvälineiden säilytys kirjoituspöydän lukollisissa laatikoissa on ilmeisempää kuin piilotus eri paikkoihin ja muun muassa mappien sekaan asiakirjojen kääntöpuolelle.

Asiakkaiden toiminta ei ole poikennut vallinneissa olosuhteissa vaadittavasta huolellisuuden tasosta, koska heiltä ei voi edellyttää kohtuuttoman pitkälle meneviä turvajärjestelyjä. Lisäksi huolimattomuuden asteen harkinnassa on kiinnitettävä huomiota tapahtuman todennäköisyyteen, jota tässä tapauksessa voidaan pitää epätodennäköisenä. Toiminnan törkeyttä puoltaisi välinpitämätön suhtautuminen pankin ehtoihin, mistä tässä tapauksessa ei ole kysymys.

Pankin toiminta asiassa ja järjestelmävastuu aiheutuneista vahingoista

Pankin menettely ja linja on kohtuuton senkin johdosta, että A haki kesällä 2018 itselleen pankista luottokorttia, jota pankki ei kuitenkaan myöntänyt, koska pankin mukaan sille on tärkeää toimia vastuullisesti ja asiakkaidensa edun mukaisesti. Kyseistä luottopäätöstä tehdessään pankki oli tarkastellut A:n taloudellista kokonaistilannetta ja päätynyt siihen, ettei A:lle voida myöntää luottokorttia. Tältä osin on varsin kyseenalaista, miten pankki on voinut myöntää anastetuilla A:n tunnuksilla 5.000 euron luoton ilman tarkempaa selvitystä A:n taloudellisesta kokonaistilanteesta.

Asiakkaat kyseenalaistavat pankin toiminnan myös siltä osin, että se ei ole kiinnittänyt huomiota varsin vähäisessä käytössä olleen B:n tilin yhteystietojen muutokseen, minkä jälkeen tilille on välittömästi siirretty huomattavan suuria lainoja ja pikavippejä niin, että varat on välittömästi siirretty eteenpäin. Pankilta tulisi edellyttää vahvempaa asiakkaan tunnistamista tilanteessa, jossa pankkiin kirjautunut taho pyrkii vaihtamaan aiemmin ilmoitettuja yhteystietoja, kuten esimerkiksi puhelinnumeron. Vallinneessa tilanteessa järjestelmän pitäisi estää yhteystietojen vaihtaminen pelkillä pankkitunnuksilla. Mikäli asiakkaiden itse kirjaamiin yhteystietoihin eli puhelinnumeroon tai sähköpostiin olisi tullut pankilta ilmoitus siitä, että asiakas on vaihtamassa yhteystietojaan, olisivat rahasiirrot estyneet, koska asiakkaat olisivat tulleet näin väärinkäytöstä tietoisiksi ja puuttuneet tilanteeseen. Pankin järjestelmä on ilmeisesti mahdollistanut yhteystietojen vaihtamisen niin, että vaihtaminen on onnistunut ilman ilmoitusta entisiin yhteystietoihin.

Kun pankki on mahdollistanut yhteystietojen vaihtamisen pelkillä anastetuilla tunnistusvälineillä, ei pankki ole riittävän huolellisesti varmistunut yhteystietoja vaihtavan tahon oikeudesta käyttää tunnistusvälinettä. Pankki ei ole näin ollen huolehtinut riittävästä asiakkaan tunnistamisesta. Pankin laiminlyönnin voidaan katsoa aiheuttavan sille niin sanotun järjestelmävastuun asiakkaille aiheutuneista vahingoista.

Lopuksi

Edellä esitettyyn viitaten asiakkaat ovat toimineet tunnistautumistietojen säilyttämisessä huolellisesti eivätkä miltään osin maksupalvelulain tai pankin ehtojen vastaisesti. Tapahtumien kulun osalta asian arvioinnissa tulisi ottaa huomioon asiakkaiden ikä ja terveydentila sekä se, että pankki ei ole ollut asiakkailla aktiivisessa käytössä, vaan arkinen varojen käyttö on tapahtunut asiakkaiden toisessa pankissa olevien tilien kautta.

Pankin vastine

Pankki kiistää vaatimukset perusteettomina.

Pankki katsoo, että pankkitunnusten säilyttäminen on ollut ehtojen vastaista ja huolimatonta, sillä pankkitunnusten käyttäjätunnus ja salasana sekä tunnuslukutaulukko ovat olleet löydettävissä ilmeisistä säilytyspaikoista. Pankin näkemyksen mukaan tunnusten eri osat olisi tullut piilottaa huolellisemmin pitkän poissaolon ajaksi tai ottaa mukaan matkalle. Lisäksi salasana olisi tullut säilyttää ainoastaan muistissa tai vaihtoehtoisesti kirjoittaa ylös sellaisessa muodossa, jota ulkopuolinen ei ymmärrä salasanaksi. Tässä tapauksessa ulkopuolinen on löytänyt muistiin kirjoitetun salasanan ja ymmärtänyt sen salasanaksi.

Asiakas on velvollinen tarkistamaan säännöllisesti, että tunnukset, varsinkin avainlukulista, ovat tallessa. Pankki katsoo, että tunnusten tallella olo olisi tullut tarkistaa heti asiakkaiden palattua kotiin 18.7.2019 ja heidän havaittuaan murtojäljet ulko-ovessaan. Tässä tilanteessa asiakkaiden olisi tullut ymmärtää, että asunto on ollut tyhjänä 4-5 päivää ja mahdollisilla murtautujilla on ollut aikaa tutkia asuntoa tuntikausia tai jopa päiväkausia. Maksupalvelulain hallituksen esityksessä todetaan 59 §:n perusteluissa, että maksuvälineen haltijan voidaan edellyttää säilyttävän maksuvälinettä vähintään yhtä huolellisesti kuin käteistä rahaa. Pankki pitää todennäköisenä, että asiakkaat olisivat tarkistaneet heti kotiin palattuaan, että setelit ovat tallessa, jos toimistohuoneen mapeissa olisi ollut suuri määrä käteistä rahaa.

Mikäli tunnusten katoamisesta olisi ilmoitettu 18.7., olisi oikeudettomat tapahtumat voitu estää lukuun ottamatta 17.7.2019 tehtyä 28 euron suuruista tilisiirtoa.

Edellä esitetyin perustein pankki katsoo, että asiakkaiden toiminta on ollut törkeän huolimatonta eikä pankki ole ehtojensa tai maksupalvelulain mukaan korvausvastuussa pankkitunnuksilla oikeudettomasti tehdyistä tapahtumista.

B:n puhelinnumero on muutettu pankkitunnuksia käyttäen 24.7.2019 eli päivää ennen kuin tunnukset suljettiin. Väärää puhelinnumeroa ei ole hyödynnetty pankissa mihinkään, joten muutoksella ei ole tapauksessa merkitystä. A:n yhteystietoja ei ole muutettu. Heinäkuussa 2019 sääntely ei edellyttänyt tunnuslukutaulukon avulla tapahtuvassa vahvassa tunnistamisessa lisätoimia kuten tekstiviestivarmennusta eikä sellaista palvelua myöskään ollut pankilla käytössä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
-Tutkintailmoitus (Ilmoitusaika 17.7.2019)
-Digitaalisia palveluja koskevat yleiset ehdot
-Tiliotteita
-Pankin A:lle 27.6.2018 lähettämä ilmoitus, jonka mukaan pankki ei ole voinut myöntää A:n hakemaa luottoa.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaiden ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko verkkopankkitunnusten joutumisen oikeudettomasti niitä oikeudetta käyttäneen haltuun/tietoon tai niiden oikeudettoman käytön katsoa johtuneen siitä, että asiakkaat ovat huolimattomuudestaan laiminlyöneet maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n 1 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
 1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
 2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
 3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
 1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
 2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
 3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
 4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin Digitaalisia palveluja koskevien yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta kun tunnistusvälineitä käytetään maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnistautumistietojen säilyttäminen ja asiakkaan vastuu -kohdan mukaan
Asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen. Asiakas sitoutuu säilyttämään Pankin myöntämät tunnistautumistiedot huolellisesti ja varmistaa säännöllisesti, että ne ovat tallessa. Asiakas sitoutuu säilyttämään henkilökohtaiset tunnistautumistiedot erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Asiakas on velvollinen välittömästi ilmoittamaan Pankille palveluiden asiattoman käytön estämiseksi, jos pankkitunnukset tai niiden osa, mobiilisovellus tai muu Pankin myöntämä tunnistetieto tai sen osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa. […]

Asian arviointi

Pankkitunnusten säilyttäminen

Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan maksuvälineen haltijalta edellytettäviin kohtuullisiin varotoimiin voidaan katsoa kuuluvan esimerkiksi sen, että hän säilyttää maksukorttia ja siihen liittyvää tunnuslukua erillään niin, ettei sivullinen voi yhdistää niitä toisiinsa. Maksuvälineen haltijalta ei voida kuitenkaan vaatia kohtuuttoman pitkälle meneviä turvajärjestelyjä. Esimerkiksi se, että maksuvälineen haltija säilyttää sekä maksukorttia että tunnuslukua kotonaan, ei vielä merkitse sitä, että hän olisi laiminlyönyt huolellisuusvelvoitteensa. Huolellisena menettelynä voidaan hallituksen esityksen mukaan yleensä pitää esimerkiksi sitä, että maksuvälinettä säilytetään lompakossa tai käsilaukussa ja tunnuslukua kotona lipaston laatikossa. Pankkilautakunta toteaa hallituksen esityksessä kortin osalta mainitun koskevan soveltuvin osin myös pankkitunnuksia.

Pankkilautakunta toteaa pankkitunnusten tässä tapauksessa koostuvan kolmesta osasta - käyttäjätunnuksesta, salasanasta sekä avainlukulistasta. Pankkitunnusehdoissa asiakkaat ovat sitoutuneet säilyttämään tunnuksiaan huolellisesti ja erillään toisistaan siten, etteivät ne tule kenenkään ulkopuolisen tietoon. Ehtojen mukaan tunnuksia ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.

Asiakkaat ovat kertomansa mukaan säilyttäneet käyttäjätunnuksiaan kotinsa toimistohuoneen hyllyssä eri mapissa kuin salasanoja. Salasanat oli kirjoitettu käsin mapissa sijainneiden asiakirjojen joukkoon niin, ettei kirjausta ole voinut kirjauksen tai sen sijainnin perusteella yhdistää pankin salasanoiksi. Avainlukulistat oli piilotettu kirjoituspöydän lokerikkoon paperipinojen väliin.

Pankkilautakunta katsoo, että asiakkaat ovat asiassa saadun selvityksen perusteella pyrkineet noudattamaan heiltä pankkitunnusehdoissa edellytettyjä tunnusten turvallista säilyttämistä koskevia velvollisuuksiaan. Edelleen lautakunta toteaa, ettei pankkitunnusten säilyttäminen lukitussa kodissa pankkitunnusehtojen mukaisesti erillään toisistaan ja käyttäjätunnus sekä salasana tunnistamattomaan muotoon kirjattuna osoita tunnustenhaltijan huolimattomuutta.

Pankkilautakunta kiinnittää kuitenkin huomiota siihen, että asiakkaat eivät ole esittäneet kirjanneensa käyttäjätunnuksiaan muotoon, josta ne eivät olisi sivullisen tunnistettavissa pankkitunnusten osiksi. Ottaen lisäksi huomioon sen, että tapauksessa asiakkaiden kotiin luvatta tunkeutuneet ja heidän pankkitunnuksiaan oikeudetta käyttäneet henkilö tai henkilöt ovat löytäneet sekä A:n että B:n pankkitunnusten kaikki osat, pystyneet tunnistamaan ne pankkitunnusten osiksi ja yhdistämään toisiinsa sekä onnistuneet käyttämään niitä nyt riidanalaisiin tapahtumiin, lautakunta katsoo, että asiakkaat ovat huolimattomuudestaan laiminlyöneet maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan pankkitunnusten säilyttämisen suhteen. Asiassa saadun kokonaisselvityksen perusteella lautakunta kuitenkin katsoo, ettei asiakkaiden huolimattomuus tunnusten säilyttämisen suhteen ole lievää suurempaa.

Pankkitunnusten tallellaolon seuraaminen ja sulkuilmoituksen tekeminen

Maksupalvelulain säätämiseen johtaneessa hallituksen esityksessä on lain 53 §:n perusteluissa todettu, että maksuvälineen haltijalta vaadittaviin kohtuullisiin varotoimiin kuuluu muun muassa se, että hän seuraa maksuvälineen tallellaoloa olosuhteiden edellyttämällä tavalla. Sen, kuinka usein tapahtuvaa tarkistamista maksuvälineen haltijalta voidaan kohtuudella edellyttää, on todettu riippuvan olennaisesti olosuhteista, erityisesti niihin liittyvistä katoamis- ja anastusriskeistä.

Pankkitunnusehdoissa asiakkaat ovat sitoutuneet säilyttämään pankin myöntämät tunnukset huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Ehtojen mukaan asiakas on velvollinen välittömästi ilmoittamaan pankille palveluiden asiattoman käytön estämiseksi, jos pankkitunnukset tai niiden osa on kadonnut, taikka on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.

Pankkilautakunta toteaa pankkitunnusten tallella olon seuraamisen kuuluvan tunnusten turvallisen säilyttämisen tavoin olennaisesti huolellisen tunnustenhaltijan velvollisuuksiin ja sillä olevan keskeinen merkitys tunnusten oikeudettoman käytön ja niistä aiheutuvien vahinkojen ehkäisyssä. Ainoastaan tunnusten katoamisen tai oikeudettoman käytön havaittuaan asiakas voi katoamisilmoituksen tekemällä varmistua siitä, ettei kadonneita tunnuksia voida enää käyttää oikeudetta hänen vahingokseen. Myös pankille asiakkaan tekemä katoamisilmoitus on ensisijainen tapa saada tieto siitä, etteivät tunnukset ole enää asiakkaan hallussa, ja tämän tiedon pohjalta pankki voi ryhtyä toimiin estääkseen tunnusten oikeudettoman käytön.

Arvioitaessa, kuinka usein tapahtuvaa pankkitunnusten tallella olon tarkistamista voidaan kohtuudella edellyttää, huomioon otettavaksi tulevat samat olosuhteita koskevat seikat, jotka huomioidaan arvioitaessa huolellisuutta tunnusten säilyttämisessä. Pankkilautakunnan näkemyksen mukaan näiden olosuhteiden ohella huomioon on otettava tapa, jolla tunnustenhaltija on kyseisissä olosuhteissa tunnuksia säilyttänyt. Lisäksi on otettava huomioon tapahtumienkulku ja se, onko niissä mahdollisesti ilmennyt jotain tavallisesta poikkeavaa, jonka johdosta huolellisen tunnustenhaltijan tulisi nimenomaisesti tarkistaa tunnusten tallella olo.

Tässä tapauksessa asiakkaat ovat olleet lomamatkalla, kun heidän tyttärensä C on 17.7.2019 huomannut kodin pääovessa murtojälkiä. Koska asunnon sisällä ei havaittu merkkejä ulkopuolisen käynnistä, ei poliisi tullut paikalle. Asiakkaat kuitenkin keskeyttivät lomansa ja palasivat kotiinsa illalla 18.7.2019 ja kertomansa mukaan he kävivät kotinsa läpi 19.7.2019 ja varmistivat, ettei kodista ollut kadonnut mitään. 25.7.2019 asiakkaat huomasivat mappeja kadonneen toimistohuoneen hyllystä ja pankkitunnusten tunnuslukutaulukon kirjoituspöydän lokerikosta.

Pankkilautakunta katsoo, että kotonaan pankkitunnusten käyttäjätunnusta, salasanaa ja avainlukulistaa säilyttävän asiakkaan voidaan edellyttää asuntomurrosta tai mahdollisesta asuntomurrosta tiedon saatuaan ymmärtävän riskin siitä, että tunnukset ovat voineet päätyä ulkopuolisen haltuun ja niitä voidaan käyttää oikeudetta. Edelleen Pankkilautakunta katsoo, että huolellisesti toimivan asiakkaan tulisi tällaisessa tilanteessa joko varmuuden vuoksi ilman aiheetonta viivästystä ilmoittaa pankille tunnusten mahdollisesta joutumisesta niiden käyttöön oikeudettoman haltuun tai ainakin pyrkiä viipymättä selvittämään tunnusten tallellaolo ja tunnusten katoamisesta tiedon saatuaan ilmoittaa asiasta välittömästi pankille. Tässä tapauksessa sovellettavien pankkitunnusehtojen mukaan ilmoitus pankille tulisi tehdä jo sen perusteella, että on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.

Asiakkaat ovat vedonneet siihen, ettei asunnon sisällä ole ollut merkkejä ulkopuolisen käynnistä, mutta toisaalta he ovat kertoneet käyneensä kotinsa 19.7.2019 läpi varmistaakseen, ettei kodista ollut kadonnut mitään. Tunnusten katoamisen asiakkaat ovat huomanneet vasta 25.7.2019.

Pankkilautakunta katsoo, että asiakkaiden olisi huolellisesti toimiessaan tullut heti kotiin saavuttuaan tarkistaa nimenomaisesti myös pankkitunnustensa tallellaolo. Tältä osin lautakunta kiinnittää huomiota siihen, että tapauksessa asiakkaiden kotoa ei ole viety pelkästään tunnuksia tai niitä ei ole esimerkiksi kopioitu, vaan asiakkaiden toimistohuoneen hyllystä on kadonnut kokonaisia mappeja, joiden sisällä käyttäjätunnukset ja salasanat ovat olleet, ja lisäksi kirjoituspöydän lokerikosta ovat kadonneet avainlukulistat. Lautakunta katsoo, että tarkistamalla pankkitunnustensa tallellaolon heti kotiin saavuttuaan asiakkaat olisivat hyvin kohtuullisiksi katsottavin toimin voineet estää pankkitunnustensa oikeudettomasta käytöstä aiheutuneen vahingon lukuun ottamatta 17.7.2019 tehtyä 28 euron suuruista tilisiirtoa.

Pankkilautakunta katsoo asiakkaiden huolimattomuudesta johtuneiden pankkitunnusten tallellaolon seuraamista ja katoamisilmoituksen tekemistä koskevien laiminlyöntien johdosta asiakkaiden menettelyn kokonaisuutena poikkeavan selvästi siitä, mitä huolelliselta verkkopankkitunnusten haltijalta vaaditaan, ja osoittavan siten heidän vakavaa varomattomuuttaan. Ottaen kuitenkin huomioon, että asiakkaat ovat olleet siinä käsityksessä, että heidän kotiinsa murtautuminen on jäänyt yritykseksi eikä kukaan ulkopuolinen ole päässyt sisään heidän kotiinsa, Pankkilautakunta katsoo, ettei asiakkaiden menettely kokonaisuutena kuitenkaan osoita heidän suhtautuvan selvästi piittaamattomasti verkkopankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen Pankkilautakunta katsoo, ettei asiakkaiden menettely kokonaisuutena myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella asiakkaiden pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakkaat ovat huolimattomuudestaan laiminlyöneet maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan tunnusten säilyttämisen ja erityisesti tunnusten tallella olon seuraamisen ja sulkuilmoituksen tekemisen suhteen vakavaa varomattomuutta osoittavalla tavalla. Pankkilautakunta kuitenkin katsoo, ettei asiakkaiden menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaiden vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen kummankin heistä osalta 50 euroon.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen molempien asiakkaiden pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Ratkaisusuositus syntyi äänin 4-1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Ahlroth, Atrila ja Pulkkinen. Jäsen Piilon eriävä mielipide on liitteenä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsen Piilon eriävä mielipide:

Koska en ole voinut yhtyä Pankkilautakunnan tekemään päätökseen asiassa FINE-024376 esitän eriävänä mielipiteenäni kunnioittavasti seuraavaa:

Katson asiassa saadun selvityksen perusteella asiakkaiden pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakkaat ovat huolimattomuudestaan laiminlyöneet maksupalvelulain 53 §:n ja pankkitunnusehtojen mukaisia velvollisuutensa tunnusten säilyttämisen ja erityisesti tunnusten tallella olon seuraamisen suhteen. Katson, ettei pelkästään asiakkaiden menettely tunnusten säilyttämisen osalta osoita asiakkaiden törkeää huolimattomuutta, mutta katson menettelyn muuttuneen kokonaisuutena arvioiden maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomaksi 18.7.2019, kun asiakkaat kotiin palattuaan eivät ole tarkistaneet pankkitunnustensa tallella oloa. Asiakkaat ovat epäilleet ulkopuolisen käyneen kotonaan ja ovat oman kertomansa mukaan tämän vuoksi tarkastaneet kotinsa, ettei mitään ole kadonnut. Tilanteessa, jossa epäillään mahdollista varkautta ja sitä, että ulkopuolinen on käynyt asiakkaiden kotona, ovat olosuhteet kokonaisuutena arvioiden sellaiset, että tunnusten tallella olo olisi tullut tarkistaa. Mainitusta ajankohdasta lähtien asiakkaat vastaavat pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaiden ja pankin välisessä suhteessa täysimääräisesti.

Edellä esitetyn perusteella katson Pankkilautakunnan jäsenten enemmistön mielipiteestä poiketen, että pankki ottaa vastatakseen pankkitunnuksilla 17.7.2019 oikeudetta tehdyn 28 euron suuruisen tilisiirron ja muilta osin en hyvitystä suosita.

Tulosta