Haku

FINE-033106

Tulosta

Asianumero: FINE-033106 (2021)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.05.2021

Miten vastuu asiakkaan kortilla verkossa tehdystä ja mobiilisovelluksella vahvistetusta ostotapahtumasta jakautuu asiakkaan ja pankin välillä? Verkkomaksu. Verkkourkinta. Kortin oikeudeton käyttö. Kortinhaltijan huolimattomuus.

Tapahtumatiedot

Asiakas on 8.6.2020 avannut pankin nimissä lähetetyn sähköpostin, jossa olleen linkin kautta avautuneilla ja asiakkaalle pankin verkkosivuilta näyttäneillä sivuilla asiakas käytti pankkitunnuksiaan kirjautuakseen pankin palveluun.

Asiakkaan pankkitunnuksilla ja pankin asiakkaan puhelinnumeroon 8.6.2020 kello 18:16 lähettämässä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle. Asiakkaan verkkopankin käyttäjätunnusta ja pankin mobiilisovellusta käyttäen pankin verkkopalvelussa on haettu 8.6.2020 klo 18.31 asiakkaan kortin luottorajaan korotus ja tehty klo 18.20-19.58 lukuisia tilisiirtoja tileillä, joihin asiakkaalla itsellään on ollut käyttöoikeus.

Tämän jälkeen on asiakkaan verkkopankin käyttäjätunnusta ja em. pankin mobiilisovellusta käyttäen aktivoitu käyttöön asiakkaan nimiin uusi X-sovellus. X hakee asiakkaan pankin maksukortit sovellukseen automaattisesti sen asentamisen jälkeen. X-sovelluksen vahvalla tunnistamisella on vahvistettu asiakkaan Visa-kortilta oikeudetta verkossa 8.6.2020 kello 20:06 tehty 13.990,00 euron ostotapahtuma.

Kortille on asetettu tilapäinen käyttöesto samana päivänä kello 21:16 ja kortti on suljettu lopullisesti 22.6.2020.

Asiakkaan valitus

Asiakas vaatii pankin päätöksen oikaisua ja menettämiensä varojen 13.990 euron palauttamista.

Asiakas toimii ammatinharjoittajana. Asiakas tiedusteli pankilta mahdollisuutta verkkolaskutukseen. Pankista kerrottiin, että ammatinharjoittajan tilin tulee muuttaa yritystunnuksen alla olevaksi tiliksi. Asiakas kertoi, että haluaa tulla paikan päälle allekirjoittamaan muutoksen ja samalla saamaan ohjeet ja neuvot verkkolaskutukseen. Tämä ei käynyt koronatilanteen vuoksi, vaan asia tuli hoitaa sähköisesti. Asiakkaalle ilmoitettiin, että hän saa pankilta omaan sähköpostiinsa viestejä liittyen allekirjoitukseen, laskutusohjeisiin ja mm. hinnastoon.

Pankilta tuli asiakkaan sähköpostiin viestejä 8.6.2020: Pyyntö sähköiseen allekirjoitukseen, laskutusohjeita ja hinnasto. Viestien kanssa on toimittu pankin ohjeiden mukaan. Tämän pankin viestiryppään sekaan oli ujutettu huijausviesti: Pyyntö tilin allekirjoitukseen ja vahvistukseen. Koska tämä viesti vaikutti pankin lähettämältä, asiakas avasi viestin. Siinä pyydettiin toimimaan samoin kuin aidossa sähköisessä allekirjoituksessa. Huijausviesti oli täysin aidon näköinen, mutta sen viimeinen auennut sivu ilmoitti tapahtuneesta virheestä. Asiakas sulki viestin ja meni verkkopankkiinsa. Siellä rahaa oli siirtynyt muilta tileiltä (puolison tili ja yhteinen säästötili) asiakkaan henkilökohtaiselle tilille ja kadonnut. Asiakas aloitti välittömästi verkkopankin ja korttien sulkemisen. Myöhemmin asiakas huomasi, että myös visan ja tilien sekä korttien turvarajat oli muutettu sekä myös visa tyhjennetty. Puoliso oli paikalla tapahtumien aikaan.

Asiakas ei toiminut huolimattomasti. Kortit ja tunnukset olivat asiakkaalla koko ajan tallessa eikä avainlukulistaa ei käytetty. Asiakas ei ole luovuttanut avainlukulistaa eikä pankkivarmennukseen liittyvää puhelinnumeroa kenenkään ulkopuolisen käyttöön. X-sovellusta asiakkaalla itsellään ei ole. Asiakkaan käytössä on vahvennettu tietoturva pankkiasioissa. Lisäksi on puhelinvahvistus, mutta mitään puhelinvahvistusta ei rahojen siirron yhteydessä tullut. Normaalisti, jos kysymyksessä on poikkeava maksu tai summa on suuri, pankilta tulee puhelinvahvistus. Asiakas ei ole myöskään saanut pankin mainitsemaa tekstiviestiä.

Koska tilinvaihto konttorilla ei ollut mahdollista, pankin olisi pitänyt hoitaa tilinvaihtoasia sähköisesti ja turvallisesti verkkopankissa pankin omassa viestiketjussa normaalin sähköpostin sijaan. Tällöin asiakkaan altistuminen huijaukselle olisi estetty. Erityisesti, koska pankki tiesi aidon oloisten huijausviestien olemassaolosta (pankin tiedote 8.6.2020). Pankki on itse todennut, että asiakas on voinut perustellusti olettaa viestin tulleen pankilta. Koska pankki asioi sähköpostin kautta, oli asiakkaan perusteltua olettaa myös tämän kyseisen viestin tulleen pankilta.

Huijausviesti asian hoidon yhteyteen liitettynä oli yksinkertaisesti niin aidon näköinen, että sen avaaminen ei johtunut huolimattomuudesta. Myös pankki on myöntänyt huijausviestin olleen hyvin aidon oloinen: "Viesti oli niin aidon näköinen, että asiakas voi perustellusti luulla sen tulleen [pankilta.]” ja "Saamanne huijausviesti on varsin ammattimaisesta toteutettu, mikä on saattanut hyvinkin johtaa asiakkaan uskomaan viestin tulleen [Pankki] Ryhmästä."

Tilien ja nostojen turvarajat ovat asiakkaan mielestä tarkoitettu turvaamaan asiakasta ulkopuolisten toimilta. Pankin on täytynyt tietää, että huijaustilanteessa huijarit voivat muuttaa turvarajoja asiakkaan tietämättä. Pankki on vasta myöhemmin syksyn aikana tehnyt muutoksia turvaan liittyen. Pankki on muuttanut käytänteitä mm. tilien turva- ja nostorajojen muutoksiin niin, että ne pitää nyt ilmoittaa pankille ennen kuin ne tulevat voimaan. Tällä olisi myös tässä huijauksessa estetty huijaus tässä mittaluokassa.

Pankin vastine

Pankki toteaa kantanaan, että asiakkaan vaatimukset väärinkäytöksien hyvityksestä ovat kokonaan perusteettomia.

Selvitys tapahtumista pääpiirteittäin

Pankin oman selvityksen mukaan asiakkaan omilla pankin verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle päivämäärällä 8.6.2020 kello 18:16 lähetettyyn aktivointikoodiin perustuen. Tämän jälkeen asiakkaan omilla verkkopalvelutunnuksilla (verkkopalvelun käyttäjätunnus sekä em. mobiilisovelluksen pin-koodi) on aktivoitu asiakkaan nimiin uusi X-sovellus, jonka vahvalla tunnistamisella reklamoitu maksu ja myös muutkin asiakkaan viittaamat tapahtumat ja siirrot ovat vahvistettu. X-sovellus voi hakea asiakkaan pankin maksukortit sovellukseen automaattisesti, kun pankin asiakas on asentanut X:n käyttäen vahvaa sähköistä tunnistautumista. Vahvasti sähköisesti tunnistautuneella käyttäjällä ei siis tarvitse olla tiedossaan korttinumeroita, jotta ne voitaisiin liittää sovellukseen.

Reklamoidun korttimaksun lisäksi huijari on asioinut 8.6.2020 asiakkaan verkkopalvelutunnuksilla (verkkopalvelun käyttäjätunnus sekä huijarin asentaman uuden mobiiliavaimen pin -koodi) vahvasti sähköisesti todentautuneena, asiakkaana esiintyen ja korottanut asiakkaan oman kortin luottorajaa verkkopalvelussa klo 18:31:44 ja tehnyt tilisiirtoja pankin tileillä, joihin asiakkaalla itsellään on ollut käyttöoikeus.

Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen väärinkäytöksen tapahtumista:

8.6.2020         Huijarit kalastelevat asiakkaiden tietoja [Pankin] nimissä (Liite: turvatiedote 8.6.2020)
28.5.2020        Huijaussähköposteja [Pankin] nimissä
23.4.2020        Huijaussähköposteja [Pankin] nimissä

Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.

Sääntely

Pankki viittaa tunnistuslain 27 §:än, maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.

Asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan

"Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.

Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."

Asian arviointi

Asiaan vaikuttavan lainsäädännön ja sopimusehtojen mukaisesti asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan tunnistusvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään on säilyttänyt.

Pankki on useaan otteeseen loppukevään 2020 aikana varoittanut asiakkaitaan tietojenkalastelusta (erityisesti turvatiedote 8.6.2020). Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Pankki haluaa erikseen lausua epäselvyyksien välttämiseksi sen, että verkkosivusto, jonne asiakas on huijaussähköpostin sisältämän linkin kautta on päätynyt ja jonne asiakas on itse verkkopalvelutunnuksensa kaikkine osineen (käyttäjätunnus, salasana sekä vaihtuva avainlukulistan numero) syöttänyt, ei ole ollut palveluntarjoajan oma verkkosivu, eikä tämän sivun verkko-osoite ole voinut olla "https://wwvv.[pankki].fi/ ja jolla olisi myös pankille annettu varmenne - osoiterivin sisällön ja varmenteen väärentäminen tällä tavoin ei ole mahdollista. Tähän huijauskampanjaan, jossa pankin asiakkaita on houkuteltu sähköpostiviestillä kirjautumaan huijaussivustolle, on käytetty palveluntarjoajan omia sivuja matkivia verkkosivuja, mutta osoiterivin tekstisisällön ja sivulle myönnetyn varmenteen osalta nämä kuitenkin ovat aina eronneet.

Asiakkaalle on lähetetty ilmoitus sähköisesti allekirjoitettavasta korttisopimuksesta tekstiviestitse ja sähköpostitse 8.6.2020. Näin toimitetut ilmoitukset eivät ole kuitenkaan pitäneet sisällään tietoa siitä, että mitä/minkälaista asiakirjaa allekirjoittaminen on koskenut, tai muutenkaan sellaisenaan toimivaa linkkiä palveluntarjoajan sähköiseen allekirjoituspalveluun. Viestin mukana tullut linkki on ollut ns. rikottu ja vaatinut asiakkaalta erikseen toimia toimiakseen (teksti allekirjoitus . [pankki] . fi tulee erikseen kopioida, liittää selaimen osoiteriville ja poistaa välilyönnit). Se että asiakas on saanut samana päivänä 8.6.2020 sekä aidon viestin että huijausviestin allekirjoittamiseen liittyen on ollut vain todella epäonninen sattuma.

Pankki on liittänyt vastaukseensa järjestelmiinsä sellaisenaan tallentuneet tiedot (kuvakaappaus) asiakkaan käyttämään puhelinnumeroon lähetetyistä, aktivointikoodin sisältäneistä tekstiviesteistä. Tiedoista käy ilmi viestin lähetysajankohta, asiakkaan puhelinnumero ja viestin sisältö. Mikäli enempää selvitystä asiakkaan liittymään lähetetyistä tekstiviesteistä vielä tarvittaneen, tulee sellaista pyytää asiakkaan omalta puhelinliittymäoperaattorilta.

Pankki on johdonmukaisesti todennut ja asiakkailleen antamissaan varoituksissa ilmoittanut, että pankin lähettämät sähköpostiviestit eivät sisällä aktiivista ja toimivaa linkkiä, joka veisi suoraan sisäänkirjautumissivulle tai kehottaisi asiakasta muuten luovuttamaan tunnuksiaan. Lisäksi on suoraan todettu, että sähköpostiviestissä olevan (aktiivisen) linkin kautta ei tule koskaan kirjautua verkkopankkiin (erityisesti turvatiedote 8.6.2020). Erityisesti todetaan, että pankin sähköisen allekirjoituspalveluun allekirjoittavaksi tulleesta asiakirjasta ilmoittava tekstiviesti tai sähköpostiviesti ei koskaan sisällä aktiivista linkkiä, tai muutenkaan mitään tietoa siitä, että mitä sähköisesti allekirjoitettavaa asiakirjaa ilmoitus koskee – näin myös nyt asiakkaalle lähetettyjen aitojen viestien osalta.

Pankki johdonmukaisesti varoittaa ja kieltää asiakkaita kirjautumasta pankin palveluihin minkään aktiivisen linkin kautta, tai ylipäätänsä sähköpostiviestin välityksellä. Tästä muistetaan asiakasta erikseen annetuin turvatiedottein ja myös verkkopalvelusopimuksen ensimmäisessä sivulla koosteessa ”Tärkeää tieto tunnuksistasi” ja vielä tarkemmin verkkopalvelusopimuksen ehdoissa, Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdassa:
”Tunnuksia tai osaa niistä ei koskaan saa:

-käyttää kirjautumiseen [Pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. ”

Pankin käytössään olevan tiedon perusteella väärinkäytökset ovat toteutettu hyödyntäen uuteen laitteeseen asennettua uutta pankin mobiilisovellusta, jolla on aktivoitu X-sovellus. Reklamoidut maksu ja muut toimet ovat vahvistettu tämän sovelluksen vahvalla tunnistamisella.

Tapauksessa on siten riidatonta, että maksut tehneellä ja uuden pankin mobiilisovelluksen luoneella taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnuksen kaikki osat eli käyttäjätunnus, salasana sekä avainlukulistan vaihtuva numero - nimenomaisesti huijaussivusto on edellyttänyt asiakkaalta kirjautumista käyttäen avainlukulistan vaihtuvaa numeroa.

Näiden lisäksi, jotta huijauksen toteuttamisen kannalta tarvittu pankin mobiilisovellus on ollut mahdollista aktivoida, on aktivoijalla ollut tiedossaan myös vain ja ainoastaan asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin (mobiilisovelluksen viisinumeroinen aktivointikoodi) tiedot. Asiassa on riidatonta, etteikö uuden mobiilisovelluksen liitoksesta lähetetty (englanninkielinen) viesti olisi lähetetty vain asiakkaan itsensä käyttämään puhelinnumeroon. Tunnuksiin liitettyä puhelinnumeroa ei ole mahdollista muuttaa verkossa, vaikka huijarilla olisikin jo tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat.

Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä maksut tehneelle taholle, eikä näin ole voinut tapahtua ilman asiakkaan omia toimia (ts. asiakas on itse luovuttanut myös uuden mobiilisovelluksen liittämiseen tarvittavan koodin), on toimintaa kokonaisuutena arvioituna pidettävä vähintäänkin tunnistuslain tarkoittamana huolimattomana niin, että huolimattomuus ei ole lievää. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, että pankki ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.

Mikäli katsottaisiin, että pankin verkkotunnuksia on käytetty tapauksessa maksuvälineenä, pankki katsoo asiakkaan laiminlyöneen maksupalvelulain ja verkkopalvelusopimuksen ehtoja törkeän huolimattomasti. Huolimattomuuden on katsottava olevan törkeää viimeistään silloin, kun asiakas on luovuttanut tekstiviestillä saamansa aktivointikoodin ulkopuoliselle. Tekstiviestissä on kerrottu, että asiakas on aktivoimassa mobiiliavainta: "You're about to enable the Mobile key in device kag. Confirm enabling in your mobile app with activation code 82021. [Pankki]." Tekstiviesti on lähetetty ainoastaan asiakkaan tunnuksiinsa liittämään ja henkilökohtaisessa käytössä olevaan puhelinnumeroon. Aktivointikoodi on voinut päätyä huijarin käyttöön vain asiakkaan itsensä luovuttamana. Asiakkaan huolellisuusvelvollisuutta on vain nostanut se tosiseikka, että toisin kuin asiakkaalle aikaisemmin lähetetyt asiakkaan omaan toimintaan perustuvat viestit, on huijaukseen liittyvä aktivointiviesti lähetetty englannin kielellä (johtuen huijarin käyttämistä kielivalinnoista).

Pankki ei turvallisuussyistä kommentoi tapoja tai menettelyitä, joilla se monitoroi asiakkaidensa tekemiä maksuja väärinkäytöksien estämiseksi. Asiakkaan käyttöoikeustileiltä suoritettujen maksujen ja tilisiirtojen sekä ns. maksun lisävahvistusominaisuuden osalta pankki kuitenkin toteaa, että pankki ei ole minkään palvelun sopimusehdoissa sitoutunut, tai muutenkaan antanut mitään asiakaslupausta sellaisesta, että vahvasti sähköisesti todentautuneen asiakkaan suoraan tililtä tai maksuvälineellä uudelle maksunsaajalle tehtyjä maksuja vielä erikseen aina varmistettaisiin.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin turvatiedote 8.6.2020
- Esimerkki huijaussivustosta
- Mobiilisovelluksen liitos -asiakirja, jossa kuvataan pankin mobiilisovelluksen käyttöönottoa
- Asiakkaan puhelinnumeroon pankin 8.6.2020 lähettämät  tekstiviestit
- Asiakkaan ja asiakkaan puolison yhteisen tilin tapahtumat 8.6.2020
- Asiakkaan tilien tapahtumat 8.6.2020

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.)1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan  

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan

Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen in-ternetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:

[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:

Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:

  • kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
  • luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
  • käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

 

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan

Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuo-lelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]

Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.

Asian arviointi

Tapahtumienkulku

Tapauksessa on riidatonta, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa olleen linkin kautta avautuneilla pankin verkkosivujen näköisillä sivuilla asiakas on käyttänyt verkkopankkitunnuksiaan (käyttäjätunnus, salasana, avainlukulista). Rikolliset ovat käyttäneet näin tietoonsa päätyneitä asiakkaan pankkitunnuksia oikeudettomasti ja aloittaneet niillä pankin mobiilisovelluksen asentamisen omalle laitteelleen. Pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin. Asiakas kiistää saaneensa ko. tekstiviestiä. Pankkilautakunta kuitenkin katsoo saadun selvityksen perusteella, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Pankin mobiilisovellusta ja asiakkaan verkkopankkitunnusten käyttäjätunnusta oikeudetta käyttäen rikolliset ovat aktivoineet omalle laitteelleen X-sovelluksen. X on sen asentamisen jälkeen hakenut asiakkaan ko. maksukortin tiedot sovellukseen automaattisesti eikä rikollisilla siten ole ollut tarpeen olla tiedossaan asiakkaan korttitietoja, jotta he ovat voineet tehdä X:lla vahvistetun ko. korttimaksun.

Sovellettava laki

Selvyyden vuoksi Pankkilautakunta toteaa tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta. Näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään tunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston SSL-suojauksen.

Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida saadun selvityksen perusteella edellyttää ymmärtäneen, ettei sähköpostiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Tässä arviossaan Pankkilautakunta huomioi erityisesti sen, että pankki on itsekin lähettänyt kyseisenä päivänä asiakkaalle sähköposteja, joita asiakas on pankin kanssa aiemmin käymänsä asioinnin perusteella osannut odottaa. Vaikka pankin lähettämissä viesteissä ei saadun selvityksen mukaan ole ollut linkkejä vaan pankin verkkosivuosoite rikottuna, on pankin toimintapa lähettää sähköpostiviestejä asiakkailleen ja pankin tässä tapauksessa juuri kyseisenä tapahtumapäivänä lähettämät viestit osaltaan voineet vaikuttaa siihen, että asiakas ei ole ymmärtänyt kyseenalaistaa pankin nimissä tullutta yhteydenottoa. Edelleen Pankkilautakunnan tietojen mukaan pankki on joissain tilanteissa voinut myös lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä esim. pankin omille verkkosivuille.

Ottaen lisäksi huomioon, että linkistä avautuneet verkkosivut - , joilla asiakas on käyttänyt pankkitunnuksiaan kirjautuakseen oman käsityksensä mukaan pankin palveluun - ovat saadun selvityksen perusteella näyttäneet aidoilta pankin verkkosivuilta, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja jättää saamansa avainkoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella, ottaen huomioon tapahtumien kulun kokonaisuutena ja erityisesti sen, että asiakas ei ole itse kyseessä oleviin tapahtumiin liittyen millään tavoin käsitellyt ko. korttiaan tai korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu kortin oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth,
Atrila,
Laine,
Pulkkinen

Tulosta