Tapahtumatiedot
Asiakas on 15.6.2020 avannut pankin nimissä lähetetyn sähköpostin, jossa todetun mukaan pankin asiakkaalle lähettämä luottamuksellinen sähköpostiviesti avautuu viestissä olevan suojatun linkin kautta. Linkin kautta avautuneilla ja asiakkaalle pankin verkkosivuilta näyttäneillä sivuilla asiakas käytti pankkitunnuksiaan kirjautuakseen pankin palveluun. Asiakas sai pankin lähettämän tekstiviestin, jossa olleen koodin asiakas laittoi verkkosivuilla sille varattuun sarakkeeseen.
Asiakkaan em. verkkosivuilla antamilla tiedoilla rikolliset aktivoivat käyttöönsä uuden pankin mobiilisovelluksen uudelle laitteelle. Tämän jälkeen on asiakkaan verkkopankin käyttäjätunnusta ja em. pankin mobiilisovellusta käyttäen aktivoitu käyttöön asiakkaan nimiin uusi X-sovellus.
X-sovellus hakee asiakkaan pankin maksukortit sovellukseen automaattisesti sen asentamisen jälkeen. X-sovelluksen vahvalla tunnistamisella on vahvistettu asiakkaan Visa Yhdistelmä -kortilta oikeudetta verkossa tehty 7.239,21 euron ostotapahtuma. Tätä ennen oli asiakkaan äidin tililtä, jonka käyttöoikeus asiakkaalla on, siirretty oikeudettomasti asiakkaan tilille 10.000 ja 7.500 euroa.
Asiakkaan valitus
Asiakas haluaa Pankkilautakunnan lausunnon siitä, onko pankki vastuussa aiheutuneesta vahingosta.
15.6.2020 asiakas avasi epähuomiossa sähköpostiviestin luullen sen olevan lähetetty pankista. Viesti meni pankin aloitussivulle tunnuspaikkoineen, tai niin asiakas ainakin luuli, jatkoi toimintaa ja sai tekstiviestillä avausnumeron, joka avasi eteenpäin sivua. Pankin lähettämät sähköpostiviestit toimivat samalla tavalla, joten asiakas ei ymmärtänyt epäillä huijausta. Asiakas tulkitsi myös kyseisen viestin pankin lähettämäksi, koska aiemmin oli saanut pankilta viestejä koskien kiireisiä allekirjoitusasioita.
Hetken kuluttua asiakas sai tekstiviestin omaan puhelimeensa, jossa oli avauskoodi ja jonka asiakas laittoi sille varattuun sarakkeeseen. Asiakas ei tullut siinä hämmennyksessä laittaneeksi puhelinviestejä talteen. Asiakas oletti kuitenkin avausnumeron olevan pankin lähettämä. Tästä avautui sivu eikä asiakas kiireissään ja tehdessään muita kirjoitustöitä jäänyt sivua sen pidemmälle jatkamaan ja sammutti sivut, koska katsoi joutuvansa käyttämään siihen aikaa enemmän ja oletti sen olevan pankilta tai vakuutusyhtiöltä tullut allekirjoitusviesti.
Iltapäivällä noin klo 13 pankista soitettiin ja ilmoitettiin tapahtuneesta, jossa asiakkaan äidin, jonka edunvalvojana asiakas toimii, tileiltä oli siirretty 10.000 ja 7.500 euroa asiakkaan tilille, jolle oli ilmestynyt 7.246,78 euron katevaraus. Tili suljettiin. Katevaraus muuttui pankkikorttimaksuksi 17.6. Saudi Arabian Rialeina Vaatealan liikkeelle.
Asiakas hämmästyttää se, että kaikista varotoimista huolimatta pankki lähestyy asiakasta ”klikkauksella” avautuvista sähköpostiviesteistä, jotka voivat sekoittua ei pankin lähettämiin viesteihin.
Pankin vastine
Pankin tietojen mukaan asiakkaan pankin verkkopalvelutunnuksilla on aktivoitu käyttöön uusi mobiiliavain uudelle laitteelle 15.6.2020. Tämän jälkeen asiakkaan kortilta on tehty alla mainittu veloitus ennen kuin pankki on ollut yhteydessä asiakkaaseen puhelimitse. Tili on suljettu heti saman puhelun yhteydessä. Korttiveloitus on vahvistettu käyttäen vahvaa sähköistä tunnistamista, jolla asiakkaan henkilöllisyys on varmennettu. Verkkopalvelutunnuksella (käyttäjätunnus sekä edellä mainitun mobiiliavaimen pin-koodi) on asiakkaan nimiin aktivoitu uusi X-sovellus, jonka vahvalla tunnistamisella maksu on vahvistettu.
Aika Summa Saajan nimi
15.6.2020 7.239,21 Fendi Centria Riyadhi
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen väärinkäytöksen tapahtumista:
8.6.2020 Huijarit kalastelevat asiakkaiden tietoja [pankin] nimissä
28.5.2020 Huijaussähköposteja [pankin] nimissä
23.4.2020 Huijaussähköposteja [pankin] nimissä
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.
Sääntely
Pankki viittaa tunnistuslain 27 §:än, maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.
Asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan "Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen. Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Asian arviointi
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan, joka ei ole lievää laiminlyönyt tunnistuslain 27 §:n 1 momentin ja verkkopalvelutunnusten mukaisia velvollisuuksiaan. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan tunnistusvälineen haltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään on säilyttänyt.
Pankki on useaan otteeseen loppukevään 2020 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Pankin käytössä olevan tiedon perusteella tapauksessa väärinkäytökset on toteutettu hyödyntäen uuteen laitteeseen asennettua uutta mobiiliavainta, jolla on aktivoitu X-sovellus. X hakee asiakkaan pankin maksukortit sovellukseen automaattisesti, kun pankin asiakas on asentanut X:n käyttäen vahvaa tunnistautumista. Käyttäjällä ei siis tarvitse olla tiedossa korttinumeroita, jotta ne voitaisiin liittää sovellukseen.
Tapauksessa on riidatonta, että maksut tehneellä ja uuden mobiiliavaimen luoneella taholla on ollut käytössään asiakkaan verkkopalvelutunnuksen kaikki osat. Jotta mobiiliavain on ollut mahdollista aktivoida, on aktivoijalla ollut tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat mukaan lukien vaihtuva avainlukulistan numero ja lisäksi aktivoija on saanut tietoonsa asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin tiedot. Tunnuksiin liitettyä puhelinnumeroa ei ole mahdollista muuttaa verkossa. Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä maksut tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä vähintäänkin tunnistuslain tarkoittamana huolimattomana niin, että huolimattomuus ei ole lievää. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, että ei se ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.
Mikäli katsottaisiin, että pankin verkkotunnuksia on käytetty tapauksessa maksuvälineenä, pankki katsoo asiakkaan laiminlyöneen maksupalvelulain ja verkkopalvelusopimuksen ehtoja törkeän huolimattomasti. Huolimattomuuden on katsottava olevan törkeää viimeistään silloin, kun asiakas on luovuttanut tekstiviestillä saamansa aktivointikoodin ulkopuoliselle. Tekstiviestissä on kerrottu, että asiakas on aktivoimassa mobiiliavainta. Tekstiviestin sisältö on ollut seuraava: You're about to enable the Mobile key in device hgt. Confirm enabling in your mobile app with activation code 30770. [Pankki]. Tekstiviesti on lähetetty numeroon, joka on asiakkaan tunnuksiin liittämä henkilökohtaisessa käytössä oleva puhelinnumero.
Asiakkaalle tiedoksi, että pankki voi tietyissä tilanteissa lähestyä asiakkaita käyttäen sähköpostin suojausjärjestelmää. Tällainen viesti ei kuitenkaan johda siihen, että asiakkaalta pyydettäisiin verkkopankkitunnuksia.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 22.6.2020)
- Asiakkaan 9.6.2020 vastaanottama sähköpostiviesti
- Linkki pankin mobiilisovelluksen käyttöönottoon liittyvään videoon
- Tiliote ja kuitti ko. korttimaksusta
- Yleiset korttiehdot
- Pankin tunnusten ja verkkopalveluiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuvan siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä. Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.)1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.)1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen in-ternetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:
[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan
Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella. SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuo-lelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]
Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapahtumienkulun selvitetyksi ja riidattomaksi seuraavilta osin:
Asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olevan linkin kautta on avautunut pankin verkkosivujen näköiset sivut. Asiakas on sivuilla asioidakseen käyttänyt verkkopankkitunnuksiaan (käyttäjätunnus, salasana, avainlukulista), joita oikeudetta käyttäen rikolliset ovat aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen. Pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin, jonka asiakas on laittanut em. linkistä avautuneilla sivuilla koodia varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Pankin mobiilisovellusta ja asiakkaan verkkopankkitunnusten käyttäjätunnusta oikeudetta käyttäen rikolliset ovat aktivoineet omalle laitteelleen X-sovelluksen. X on sen asentamisen jälkeen hakenut asiakkaan ko. maksukortin tiedot sovellukseen automaattisesti eikä rikollisilla siten ole ollut tarpeen olla tiedossaan asiakkaan korttitietoja, jotta he ovat voineet tehdä X:lla ko. vahvistetun korttimaksun.
Sovellettava laki
Selvyyden vuoksi Pankkilautakunta toteaa tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta. Näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään tunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston SSL-suojauksen.
Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn sähköpostin muotoilun ja sisällön taikka lähettäjän domainin perusteella, ettei sähköpostiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Tässä arviossaan Pankkilautakunta huomioi erityisesti sen, että pankki itse lähettää asiakkailleen lähes täysin samannäköisiä ja -sisältöisiä sähköposteja, joissa ei tosin ole linkkiä vaan pankin verkkosivuosoite rikottuna, mutta jotka voivat osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Pankkilautakunnan tietojen mukaan pankki on joissain tilanteissa voinut myös lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä esim. pankin omille verkkosivuille.
Ottaen lisäksi huomioon, että linkistä avautuneet verkkosivut - , joilla asiakas on käyttänyt pankkitunnuksiaan kirjautuakseen oman käsityksensä mukaan verkkopankkiin - ovat saadun selvityksen perusteella näyttäneet aidoilta pankin verkkosivuilta, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja jättää saamansa avainkoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella, ottaen huomioon tapahtumien kulun kokonaisuutena ja erityisesti sen, että asiakas ei ole itse kyseessä oleviin tapahtumiin liittyen millään tavoin käsitellyt ko. korttiaan tai korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu kortin oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Laine
Pulkkinen