Tapahtumatiedot
Asiakkaan kortilla tehtiin verkossa 15.6.2020 lukuisia mobiilisovelluksella vahvistettua maksuja. Asiakas on sulkenut korttinsa 16.6.2020 klo 12.10.
Asiakas reklamoi oikeudettomista korttitapahtumista 16.6.2020 pankilleen, joka antoi 17.6.2020 asiakkaalle päätöksen, jonka mukaisesti pankki hyvitti asiakkaalle asiakkaan reklamoiman summan 6.582,43 euroa. Asian käsittely kuitenkin jatkui pankissa ja 27.7.2020 pankki antoi asiakkaalle uuden päätöksen, jonka mukaan pankki katsoi reklamoidun summan jäävän asiakkaan vastuulle ja jossa pankki ilmoitti veloittavansa hyvitetyn summan takaisin.
Asiakkaan valitus
Asiakas vaati pankkia korvaamaan 6.582,43 euroa.
16.6.2020 aamulla asiakas huomasi tilillään tuntemattomia tapahtumia. 15.6.2020 asiakkaan tilille oli siirretty 900 euroa asiakkaan MasterCard-luottokortilta ja 5.000 euroa asiakkaan Visa-luottokortilta, joka oli tilattu toukokuussa ja joka ei koskaan saapunut asiakkaalle. 3.600 euroa oli siirretty asiakkaan vaimon tililtä asiakkaan tilille. Yhteensä asiakkaan tililtä on varastettu noin 8.150,97 euroa. Asiakas meni heti pankin konttoriin ja reklamoi tilitapahtumista. Samana aamuna asiakas teki myös rikosilmoituksen.
17.6.2020 pankki palautti/hyvitti maksuja ja pankin korttireklamaation päätös oli: ”6.582,43 € hyvitetty tilille”. 27.7.2020 asiakas sai viestin pankista ”Veloitetaan tekemämme hyvityksen takaisin 3.8.2020.” ja 8.9.2020 pankki veloitti asiakkaan tiliä uudestaan.
Asiakas ei ole luovuttanut tietojaan tai tunnuksiaan kenellekään. Toista korttia asiakas ei ole saanut ollenkaan ja siltä on varastettu 5.000 euroa. Asiakas ilmoitti tapahtuneesta heti kun oli sen huomannut. 16.6.2020 asiakas on saanut tekstiviestillä pyynnön hyväksymään lisämaksuja asiakkaan tililtä. Asiakas ei ole tietenkään vahvistanut mitään.
Pankin vastine
Pankin tietojen mukaan asiakkaan pankin verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle 15.6.2020. Tämän jälkeen asiakkaan kortilta on tehty alla mainitut veloitukset. Asiakas on sulkenut korttinsa 16.6.2020 klo 12.10. Korttiveloitukset on vahvistettu käyttäen vahvaa sähköistä tunnistamista, jolla asiakkaan henkilöllisyys on varmennettu. Verkkopalvelutunnuksella (käyttäjätunnus sekä edellä mainitun pankin mobiilisovelluksen pin-koodi) on asiakkaan nimiin aktivoitu uusi X-sovellus, jonka vahvalla tunnistamisella maksut on vahvistettu.
Aika Summa Saajan nimi
15.6.2020 262,54 AZ SPA — PV 1300
15.6.2020 195,00 The touch vodafone
15.6.2020 20,00 The touch vodafone
15.6.2020 1 700,00 II gioiello di chinni
15.6.2020 2 000,00 Due route
15.6.2020 2 000,00 Due route
15.6.2020 399,90 Az Spa
15.6.2020 4,99 Az Spa
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen väärinkäytöksen tapahtumista:
8.6.2020 Huijarit kalastelevat asiakkaiden tietoja [Pankki] Ryhmän nimissä
28.5.2020 Huijaussähköposteja [Pankki] Ryhmän nimissä
23.4.2020 Huijaussähköposteja [Pankki] Ryhmän nimissä
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.
Sääntely
Pankki viittaa tunnistuslain 27 §:än, maksupalvelulain 62 §:n sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin ja asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettuun Tärkeää tietoa tunnuksista -nimiseen asiakirjaan.
Asian arviointi
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan, joka ei ole lievää laiminlyönyt tunnistuslain 27 §:n 1 momentin ja verkkopalvelutunnusten mukaisia velvollisuuksiaan. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan tunnistusvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään on säilyttänyt.
Pankki on useaan otteeseen loppukevään 2020 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Pankin käytössään olevan tiedon perusteella tapauksessa väärinkäytökset on toteutettu hyödyntäen uuteen laitteeseen asennettua uutta pankin mobiilisovellusta, jolla on aktivoitu X-sovellus, jonka vahvalla tunnistamisella maksut on vahvistettu. Maksuja hyväksyttäessä asiakas on toisin sanoen tunnistettu maksupalvelulain tarkoittamalla vahvalla tunnistamisella.
Tapauksessa on riidatonta, että maksut tehneellä ja uuden pankin mobiilisovelluksen luoneella taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnuksen kaikki osat. Jotta mobiilisovellus on ollut mahdollista aktivoida, on aktivoijalla ollut tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat mukaan lukien vaihtuva avainlukulistan numero ja lisäksi aktivoija on saanut tietoonsa asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin tiedot. Tunnuksiin liitettyä puhelinnumeroa ei ole mahdollista muuttaa verkossa. Näiden tietojen päätyminen ulkopuolisen haltuun ei ole ollut mahdollista ilman asiakkaan omaa aktiivisuutta. Kun mobiilisovellus on luotu, niin ulkopuolisella on ollut asiakkaan verkkopalvelun käyttäjätunnusta ja mobiiliavainta hyödyntäen vastaavanlaiset mahdollisuudet käyttää mm. asiakkaan verkkopalvelua luoton nostojen ja tilisiirtojen tekemiseen kuin asiakkaalla itsellään. Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä maksut tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä vähintäänkin tunnistuslain tarkoittamana huolimattomana niin, että huolimattomuus ei ole lievää.
Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, että pankki ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.
Mikäli katsottaisiin, että pankin verkkotunnuksia on käytetty tapauksessa maksuvälineenä, pankki katsoo asiakkaan laiminlyöneen maksupalvelulain ja verkkopalvelusopimuksen ehtoja törkeän huolimattomasti. Huolimattomuuden on katsottava olevan törkeää viimeistään silloin, kun asiakas on luovuttanut tekstiviestillä saamansa aktivointikoodin ulkopuoliselle. Tekstiviestissä on kerrottu, että asiakas on aktivoimassa mobiiliavainta. Tekstiviestin sisältö on ollut seuraava: "You're about to enable the Mobile key in device op. Confirm enabling in your mobile app with activation code 71991. [Pankki]." Tekstiviesti on lähetetty asiakkaan tunnuksiin liittämään hänen henkilökohtaisessa käytössä oleva puhelinnumeroon.
Asiakkaalle korttireklamaation perusteella maksetun hyvityksen ja sen myöhemmän takaisinperinnän osalta pankki toteaa, että maksupalvelulain 63 § mukaan pankki on ollut velvollinen suorittamaan hyvityksen jo ennen kuin vastuunjako asiakkaan ja pankin välillä on lopullisesti määritetty. Pelkästään hyvityksen maksaminen ei kuitenkaan tarkoita sitä, että hyvitystä ei perittäisi takaisin, mikäli myöhemmin tuleekin ilmi, että väärinkäytöksestä aiheutunut vahinko on johtunut asiakkaan vastuulle luettavasta seikasta. Valitettavasti asiakas on tässä tapauksessa saanut virheellisen kirjeen väliaikaisesta hyvityksestä ja voinut jäädä 17.6.2020 saamansa kirjeen perusteella siihen käsitykseen, että asia olisi hänen osaltaan ratkaistu lopullisesti. Asiakkaan reklamaation tutkinta on kuitenkin ollut kesken ja pankki on tehnyt asiassa perustellun ratkaisun 27.7.2020 ja todennut veloitusten jäävän asiakkaan vastuulle hänen luovutettuaan verkkopankkitunnuksensa ulkopuoliselle. Maksupalvelulaki ei ota kantaa siihen, milloin hyvitys on oikeus veloittaa asiakkaalta takaisin ja tämän vuoksi asiakkaalle on esitetty palautuspyyntö asian tultua käsitellyksi ensimmäisen kerran. Asiakkaan toiseen reklamaatioon pankki on antanut vastauksen 3.9.2020 ja todennut edelleen veloitusten jäävän asiakkaan vastuulle. Pankki toteaa tekemiensä ratkaisujen perusteella, että väärinkäytöksestä maksettu hyvitys on perusteeton ja edellyttää asiakkaan palauttavan hyvityksen kokonaisuudessaan.
Asiakas on tuonut esille, että on tilannut uuden Visa-kortin toukokuussa 2020 eikä koskaan ole saanut sitä. Uusi kortti on ollut asiakkaan käytettävissä verkkopalvelussa heti kortin myöntämisen jälkeen ja tämä on mahdollistanut väärinkäytökset, vaikka fyysinen kortti ei olekaan ehtinyt saapua asiakkaalle. Kortti on ehditty sulkemaan väärinkäytöksen vuoksi ennen kuin fyysistä korttia on ehditty toimittamaan asiakkaalle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin tunnusten ja verkkopalveluiden yleiset ehdot
- Yleiset korttiehdot
- Linkki pankin mobiilisovelluksen käyttöönottoa koskevaan videoon
- Pankin mobiilisovelluksen käyttöönottoon liittyviä kuvia
- Kuvia tiliotteista
- Kuvakaappauksia tekstiviesteistä
- Kuvakaappauksia pankin mobiilisovelluksesta mm. tilitapahtumista.
Ratkaisusuositus
Kysymyksenasettelu
Asian ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankin katsoa antaneen 17.6.2020 asiakkaalle itseään sitovalla tavalla lopullisen päätöksen asiakkaan korttinsa oikeudettoman käytön johdosta tekemään reklamaatioon. Mikäli päätöksen ei katsota vielä olleen sitova, on lautakunnan arvioitava voidaanko oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n mukaisia velvollisuuksiaan, ja onko asiakkaan mahdollinen huolimattomuus törkeää.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 7 §:n (Pakottavuus.) 1 momentin mukaan
Sopimusehto, jolla poiketaan tämän lain säännöksistä maksupalvelun käyttäjän vahingoksi, on mitätön, jollei jäljempänä toisin säädetä.
Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain muuttamisesta annetun lain säätämiseen johtaneessa hallituksen esityksessä HE 132/2017 vp on lain 63 §:n 1 momentin yksityiskohtaisissa perusteluissa todettu seuraavaa:
Palveluntarjoajalla olisi, kuten voimassa olevan lainkin mukaan, palautusvelvollisuus vain, jos maksutapahtuma on oikeudeton ja maksupalvelun käyttäjän vastuuta koskevasta 62 §:stä ei muuta johdu. Palveluntarjoaja voi luonnollisesti ennen palautuksen tekemistä pyrkiä selvittämään, onko maksupalvelun käyttäjä vastuussa oikeudettomasta maksutapahtumasta, mutta tällöin palveluntarjoaja kantaa yleensä — 2 momenttiin ehdotettavaa poikkeusta lukuun ottamatta — riskin siitä, että palautuksen tekemisen katsotaan viivästyneen selvittelytyöhön käytettynä aikana, jos palveluntarjoaja ei loppujen lopuksi kykene osoittamaan, että sillä ei ole palautusvelvollisuutta. Viivästymisestä voi seurata muun muassa velvollisuus maksaa palautettavalle määrälle viivästyskorkoa korkolain (633/1982) mukaisesti.
Toisaalta palauttaminen ei automaattisesti tarkoita, että vastuun jakautuminen palveluntarjoajan ja maksupalvelun käyttäjän välillä olisi ratkaistu maksupalvelun käyttäjän hyväksi palveluntarjoajaa sitovasti. Tältä osin palveluntarjoajan menettelyn sitovuutta on arvioitava yleisten sääntöjen mukaisesti. Epäselvyyksien välttämiseksi palveluntarjoaja voi esimerkiksi välittömän palautuksen tehdessään ilmaista selkeän varauman, jolla osoitetaan, että selvitystyötä jatketaan ja että palauttaminen ei vielä sisällä palveluntarjoajan sitovaa lopullista kannanottoa osapuolten vastuunjakoon.
Asian arviointi
Pankkilautakunta toteaa asiassa olevan riidatonta, että pankki on lähettänyt asiakkaalleen 17.6.2020 päivätyn päätökseksi nimetyn asiakirjan, jossa se on ilmoittanut käsitelleensä asiakkaan tekemän asiakkaan kortilla tehtyjä ostoja koskevan reklamaation sekä hyvittäneensä reklamoidun määrän 6.582,43 euroa asiakkaan tilille. Päätöksessään pankki ei ole millään tavalla ilmoittanut päätöksen olevan väliaikainen tai tehnyt muuta varaumaa asian suhteen.
Pankkilautakunta toteaa, että asiakkaan on voitava luottaa pankista kirjallisesti päätöksen muodossa saatuihin tietoihin erityisesti tämän kaltaisessa tärkeässä, asiakkaan varallisuusasemaan olennaisesti liittyvässä kysymyksessä, johon lopullista vastausta ei lähtökohtaisesti ole muualta kuin pankista saatavissa.
Pankkilautakunta katsoo, että pankki on yleisten velvoiteoikeudellisten sääntöjen mukaisesti itseään sitovasti ja asiakkaan eduksi ilmoittanut hyvittävänsä tälle koko reklamoidun määrän ja ettei asiakkaalla ole tapauksessa saadun selvityksen perusteella ollut syytä epäillä pankin päätöksen lopullisuutta.
Tapauksen ratkettua edellä todetun perusteella ei Pankkilautakunnan ole asiassa tarpeen arvioida asiakkaan menettelyä maksupalvelulain 53 §:n 1 momentissa maksuvälineen haltijalle asetettujen huolellisuusvelvollisuuksien suhteen.
Lopputulos
Pankkilautakunta suosittaa, että pankki hyvittää asiakkaalle tämän reklamoiman summan alkuperäisen päätöksensä mukaisesti.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Laine
Pulkkinen