Haku

FINE-033198

Tulosta

Asianumero: FINE-033198 (2021)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.02.2021

Miten vastuu asiakkaan korteilla verkossa tehdyistä ja asiakkaan tunnuslukusovelluksella vahvistetuista ostotapahtumista jakautuu asiakkaan ja pankin välillä? Verkkomaksu. Verkkourkinta. Kortin oikeudeton käyttö. Kortinhaltijan huolimattomuus.

Tapahtumatiedot

Asiakas on joutunut Microsoftin nimissä tehdyn huijauksen uhriksi. Asiakkaan Electron-kortilla ja Gold-yhdistelmäkortilla on tehty 17.8.2020 klo 16:51-18:31 yhteensä viisi onnistunutta ja asiakkaan puhelimeen rekisteröidyllä tunnuslukusovelluksella vahvistettua korttitapahtumaa yhteisarvoltaan  3.297,29  euroa. Asiakkaan kortit on suljettu asiakkaan sulkuilmoituksen johdosta 17.8.2020 klo 19:45 ja 19:46.

Asiakkaan valitus

Asiakas vaatii, että pankki korvaa aiheutuneen 3.315,42 euron vahingon täysimääräisesti tai vähennettynä 50 euron omavastuulla sekä luottokorttilaskun korot täysimääräisesti.

Asiakas on joutunut Microsoft tekninen tuki -huijauksen uhriksi. Asiakkaan tietokoneessa oli ongelmia nopeuden suhteen ja asiakas oli ollut myös siinä uskossa, että viruksentorjuntaohjelmien päivitys ei ollut ajan tasalla koneessa ja Microsoft-huijarit soittivat juuri silloin, kun asiakas oli koneella. Asiakas ei ole tietoturvan asiantuntija, joten hän ei tiennyt, että Microsoft ei yleensä ota yhteyttä soittamalla.

Asiakkaalle sanottiin, että hänen koneellaan on hakkereita ja tekninen tuki tarvitsee etäyhteyden asiakkaan tietokoneeseen ja kännykkään hakkereiden poistamiseksi ja viruksentorjuntaohjelmien asentamiseksi. Soittajat olivat todella taitavia ja vakuuttavia, heillä oli vastaukset asiakkaan kysymyksiin, ja asiakas uskoi, että he ovat Microsoftilta.

Asiakkaalle sanottiin, että maksaisi 5 euroa työ poistaa hakkerit ja asentaa virusohjelmat. Kortin tiedot huijarit luultavasti saivat, kun asiakas täytti Microsoftin virallisen näköisen maksulomakkeen/maksusivun. Kortin tiedothan joudutaan kirjoittamaan aina maksettaessa kortilla internetissä. Myös kaikki asiakkaan näkemät sivut tai lomakkeet näyttivät Microsoftin virallisen näköisiltä ja aidoilta. Asiakkaan Electron-kortti ei muka toiminut, joten hänen pitäisi maksaa Mastercard-kortilla.

Asiakasta pyydettiin hyväksymään verkkopankkitunnuksilla virusohjelmien ja lisenssiohjelmien asennuksia. Viitteessä luki Microsoft Corporation ja kuvauksessa luki kyseisen viruksentorjuntaohjelman tai lisenssiohjelman nimi ja summassa luki 0 euroa. Välillä ruutu oli pimeä ja asiakas oletti tämän johtuvan siitä, että he tekevät korjaustyötä koneella hakkereiden poistamiseksi. Huijarit ovat jotenkin manipuloineet maksua tai sen näkymistä tietokoneella etäyhteyden avulla. Asiakas ei ole itse kirjautunut verkkopankkiin kyseisenä aikana, joten huijarit ovat varmaan naamioineet verkkopankkiin kirjautumiset Microsoftin lisenssi- ja viruksentorjuntaohjelmien asennuksiksi. Asiakas on toimittanut lautakunnalle tietokoneensa näytöstä ottamiaan kuvia.

Kun asiakas on hyväksynyt 0 euron viruksentorjuntaohjelmien ja lisenssiohjelmien maksuja/asennuksia puhelimen tunnuslukusovelluksessa, hänellä ei ole näkynyt mitään maksujen määrää puhelimen näytöllä. Asiakas luuli myös, että he käyttävät tätä siihen, että asiakas hyväksyisi sen, että he saavat asentaa uusia ohjelmia asiakkaan koneelle eli sitä käytettäisiin asiakkaan hyväksyntään.

Jos summat olisivat näkyneet tietokoneella tai tunnuslukusovelluksessa, ei asiakas tietenkään olisi niitä hyväksynyt. Kun asiakas on mobiilipankissa tai verkkopankissa maksanut maksuja, on tunnuslukusovellukseen tullut maksettavan summan vahvistua, mutta korttitapahtuman suhteen summaa ei siis näytetä tunnuslukusovelluksessa.

Käyttäjätunnuksen asiakas on opetellut ulkoa ja tunnuslukusovellus on kännykässä. Asiakas ei ole luovuttanut tunnistautumistietoja, vaan on itse hyväksynyt 0 euron viruksentorjunta- ja lisenssiohjelmien asennuksia siinä uskossa, että hän on asioinut Windowsin kanssa. Kyse on ollut järjestäytyneistä ammattirikollisista jotka osasivat manipuloida maksuja ja sivuja sen mukaan, että ne ovat näyttäneet vakuuttavilta. Asiakas ei ole asiantuntija tietotekniikka-asioissa eikä hän tiennyt, että huijarit käyttävät etäyhteyttä maksujen manipulointiin tietokoneella ja mahdollisesti myös kännykässä, vaan hän luuli, että he poistaisivat etäyhteydellä hakkerit koneelta.

Huomattuaan että rahat ovat kadonneet tileiltä, asiakas on ilmoittanut asiasta pankille heti 17.8.2020, ja kaikki tilit, kortit ja tunnusluvut suljettiin. Rikosilmoitus on tehty heti seuraavana aamuna 18.8.2020.

Asiakas viittaa kahteen hieman samantyylisiin huijaukseen (FINE-002358 ja FINE-003050), jossa asiakas on ollut uskossa, että on asioinut Applen kanssa. Näihin suosituksiin viitaten asiakas vetoaa siihen, että hän ei ole antanut suostumustaan ko. maksuihin eikä ole luovuttanut korttitietojaan tai verkkopankkitunnuksiaan ulkopuoliselle maksupalvelulain 62 §:n 1 momentissa tarkoitetulla tavalla, ja ettei kortin oikeudeton käyttö ole johtunut siitä, että asiakas olisi huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan.

Pankin vastine

Pankki kiistää vaatimukset, ja katsoo, että vastuu asiakkaan henkilökohtaisilla pankkitunnuksilla vahvistetuista korttimaksuista muodostuneesta vahingosta ei kuulu maksupalvelulain ja pankin sopimusehtojen mukaan pankin vastattavaksi.

  1. Tapausta koskevat tosiseikat

Pankki on toimittanut listauksen korttitapahtumista, jotka on tehty tai yritetty tehdä 17.8.2020. Kaikki reklamoidut yhteensä 3.297,29 euron korttitapahtumat ovat internetmaksuja ja ne on vahvistettu asiakkaan puhelimeen rekisteröidyllä tunnuslukusovelluksella. Tunnuslukusovelluksessa ei vahvistuksen yhteydessä näytetä yksittäisen korttitapahtuman tietoja, vaan maksun tiedot näytetään 3DS-palvelussa selaimessa, jossa korttimaksua tehdään. Kaikissa veloituksissa tai veloitusyrityksissä tunnuslukusovelluksessa on lukenut: "Olet kirjautumassa Netsin palveluun".

Koska korttitapahtumat on tehty asiakkaan omalla tietokoneella, kaikki maksunvahvistukseen liittyvät tiedot ovat näkyneet asiakkaan koneella. Etäyhteyden haltijalla on ollut täysi kontrolli siihen, mitä asiakas näkee, joten hän on oletettavasti näyttänyt asiakkaalle jotakin valesivustoa sillä aikaa, kun oikeat maksut on tehty taustalla. Microsoft-huijauksissa osalle asiakkaista on näytetty vain mustaa kuvaruutua, kun taas joillekin valheellista pientä summaa, jota he ovat ”maksamassa”.

Asiakkaan verkkopankkitunnuksilla on 17.8.2020 kirjauduttu yhteensä kuuteen mobiili/verkkopankki-istuntoon aikavälillä 15:53-18:34. Osa korttitapahtumista on tehty mobiili/verkkopankki-istunnon ollessa auki. Sisäänkirjautumisia on tehty sekä biometrisellä tunnisteella että tunnuslukusovelluksella. Pankki on toimittanut listauksen, josta ilmenee tiedot asiakkaan verkkopankki-istunnoista ajalta 14.7.-17.8.2020. Listauksesta ilmenee, että riidanalaisiin tapahtumiin liittyvät kirjautumiset on tehty samasta IP-osoitteesta, jota asiakas on aikaisemmin itse käyttänyt. Istuntojen aikana on katsottu mm. tilitietoja ja korttitietoja ja aloitettu ulkomaanmaksuja, joita ei kuitenkaan ole viety hyväksymiseen asti. Tässä tapauksessa tietokoneella tehdyt kirjautumiset ovat todennäköisesti ne, jolloin rikolliset ovat olleet asiakkaan verkkopankissa. Täyttä varmuutta tästä ei kuitenkaan ole. Jos asiakas ei näissä istunnoissa (tai osassa niitä) ole itse käyttänyt mobiili/verkkopankkia, on hän joka tapauksessa hyväksynyt kirjautumiset mobiili/verkkopankkiin monta kertaa tunnuslukusovelluksella tai biometrisellä tunnisteella. Tunnuslukulaitteessa lukee verkkopankkikirjautumisen yhteydessä "Haluatko kirjautua henkilöasiakkaiden verkkopankkiin?".

Pankki on toimittanut listauksen, josta ilmenee kellonaikoineen kaikki asiakkaan puhelimeen rekisteröidyllä tunnuslukusovelluksella 17.8.2020 tehdyt vahvistukset sekä se, mitä tunnuslukusovelluksessa on ennen vahvistuksen tekemistä lukenut, kuten "Olet kirjautumassa Netsin palveluun” tai "Haluatko kirjautua henkilöasiakkaiden verkkopankkiin?".

On huomattava, että Microsoft-huijauksista on kerrottu eri medioissa pitkin kuluvaa vuotta. Ei ole realistinen ajatus, että henkilölle Suomessa soitettaisiin henkilökohtaisesti ulkomailta hakkereiden metsästyksen tai koneen päivitysten vuoksi. Antaessaan etäyhteyden asiakas antaa yhteyttä pyytäneelle taholle vapaan käyttöoikeuden koneeseensa. Tämä tarkoittaa, että etäyhteydessä oleva henkilö on mukana koneella esim. verkkopankki-istunnossa ja lisäksi tämä voi näyttää kuvaruudulla juuri sellaisen näyttökuvan kuin haluaa koneen haltijan näkevän. Kuten pankit yleisesti viestivät, kortin- ja verkkopankkitunnusten haltijan ei tule koskaan antaa tunnuksiaan silloin, kun hän on saanut pyytämättään yhteydenoton, jossa pyydetään korttitietoja tai tietoja verkkopankkitunnuksista.

  1. Sovellettava laki ja sopimusehdot

Pankki viittaa maksupalvelulain 38, 40, 53, 54 ja 62 pykäliin. Maksupalvelulain esitöissä (HE 169/2009 vp) todetaan 38 §:n osalta, että oikeudeton maksutapahtuma on esimerkiksi maksajan maksutilin veloitus ilman maksajan hyväksyntää. Esitöissä on todettu 40 §:n osalta, ettei maksupalvelun käyttäjä voi peruuttaa maksutoimeksiantoa sen jälkeen, kun maksajan palveluntarjoaja on vastaanottanut sen. Momentti on yleinen ja koskee kaikkia maksutoimeksiantoja. Niin ikään se koskee sekä maksajaa että maksunsaajaa maksupalvelun käyttäjänä. Esitöissä on todettu 62 §:n törkeästä huolimattomuudesta, että sillä tarkoitetaan sellaista erittäin vakavaa varomattomuutta, joka osoittaa selvästi piittaamatonta suhtautumista maksuvälineen hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Jotta huolimattomuutta voitaisiin pitää törkeänä, maksuvälineen haltijan toiminnan on selvästi ja olennaisesti poikettava siitä, mitä huolelliselta menettelyltä vaaditaan. Arviointi on kokonaisharkintaa, jossa voidaan kiinnittää huomiota erityisesti vahinkoriskin suuruuteen ja varotoimenpiteiden toteuttamismahdollisuuteen.

Pankin korttiehtojen mukaan kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan pankille tai muun korttiominaisuuden myöntäneelle yritykselle hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla pankin hyväksymällä tunnisteella.

Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Edelleen pankki viittaa pankkitunnusehtojen tunnistautumistietojen säilyttämistä ja asiakkaan vastuuta koskevaan kohtaan.

  1. Vastuu maksuvälineiden oikeudettomasta käytöstä

Kaikki riidanalaiset korttimaksut asiakas on vahvistanut käyttäen hänen puhelimeensa rekisteröityä tunnuslukusovellusta eli maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Kaikki riidanalaiset maksut on tehty ennen kortin sulkemista. Korttimaksut ovat mahdollistuneet, koska asiakas on antanut korttitietonsa sivullisen johdattelemana tekaistulle sivustolle ja toisaalta vahvistanut korttimaksut tunnuslukusovelluksellaan.

Maksupalvelulain 38 §:n mukaan korttimaksuja, joihin asiakas on antanut edellä kuvatulla tavalla suostumuksensa, ei lähtökohtaisesti pidetä oikeudettomina. Asiakas on itse luovuttanut maksujen toteuttamiseen tarvittavat tiedot, eli kortin numeron, voimassaolotiedot sekä CVC-koodin tekaistulle sivustolle. Hyväksymällä korttitapahtuman pankin hyväksymällä tunnisteella, kuten tunnuslukusovelluksella, kortinhaltija on korttiehdoissa todetulla tavalla sitoutunut maksamaan korttitapahtumasta syntyneen velan pankille.

Jos arvioitaisiin, että tapauksen faktoja on mahdollista tulkita siten, että riidanalaiset maksut katsotaan maksupalvelulain 38 §:n tarkoittamassa mielessä oikeudettomiksi, asiakas on tässäkin tapauksessa muodostunut täysi vastuu aiheutuneesta taloudellisesta vahingosta. Tapausta koskevan fakta-aineiston valossa maksuvälineen oikeudeton käyttö on johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankin ehtojen mukaiset velvollisuutensa huolehtia maksuvälineistä ja niihin liittyvistä henkilökohtaisista turvatunnuksista.

Asiakkaan menettelyä koskevan kokonaisarvion perusteella huolimattomuus on katsottava maksupalvelulain 62 §:ssä säädetyin tavoin törkeäksi. Siltä osin kuin asiakas on tietoisesti vahvistanut riidanalaiset maksut omassa tunnuslukusovelluksessaan, menettely osoittaa tältä osin enemmänkin tahallisuutta kuin törkeää huolimattomuutta.

Se seikka, että asiakas on vahvistanut riidanalaiset korttimaksut ulkopuolisen johdattelemana, osoittaa osaltaan törkeää huolimattomuutta. Asiakkaan piittaamattomuutta maksuvälineen käyttöön liittyvään turvallisuuteen osoittaa sekin, että hän on vahvistanut myös kirjautumiset mobiili-/verkkopankkiin kyseenalaistamatta asiaa sen enempää. Koska maksuja on tehty suhteellisen pitkän ajan kuluessa, olisi asiakkaan tullut pankin näkemyksen mukaan jossakin vaiheessa tarkistaa, onko 0 euron maksuiksi väitetyistä korttimaksuista tullut katevarauksia hänen tililleen tai luottotililleen. Tämä asiakkaan olisi ollut mahdollista helposti tehdä ja vahinkoa olisi siten saatu rajoitettua ehkä merkittävästikin.

Ensisijaisesti pankki katsoo asiakkaan antaneen suostumuksensa riidanalaisille maksuille antamalla korttitiedot sivullisille ja hyväksyessään maksut tunnuslukusovelluksessa, jolloin kyse ei ole maksuvälineen oikeudettomasta käytöstä. Jos tapahtumat katsotaan oikeudettomiksi, toissijaisesti pankin kokonaisarviona asiassa on, että aiheutunut vahinko on johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin pankin ehtojen mukaiset velvollisuutensa huolehtia korttitiedoistaan. Käyttämällä henkilökohtaisina turvatunnuksina toimivia verkkopankkitunnuksiaan maksujen vahvistamiseen, asiakas on mahdollistanut vahingon syntymisen. Asiakkaan huolellisuusvelvoitteen laiminlyönti on vahinkoriskin suuruus huomioiden sekä tapauksen faktoja koskevan kokonaisarvioinnin perusteella katsottava törkeäksi.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Korttiehdot
- Asiakkaan ottamia kuvia tietokoneensa näytöstä
- Lista asiakkaan verkkopankki/mobiilipankki-istunnoista 14.7.-17.8.2020
- Lista asiakkaan tunnuslukusovelluksella 17.8.2020 tehdyistä vahvistuksista

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen suostumuksensa ko. korttitapahtumille vai onko korttitapahtumia pidettävä oikeudettomina. Mikäli asiassa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä niiden käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Lain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n 1 momentin mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin säilyttäminen -kohdan mukaan
Kortinhaltija sitoutuu säilyttämään korttiaan ja tunnuslukuaan huolellisesti. […] Kortinhaltija on velvollinen toteuttamaan kaikki kohtuullisiksi katsottavat toimet säilyttääkseen kortin turvallisesti, jotta kortti ei joutuisi sivullisen haltuun. […]             

Korttiehtojen Kortinhaltijan vastuu -kohdan mukaan
Kortinhaltija sitoutuu maksamaan ostoista […] tai muusta korttitapahtumasta syntyneen velan pankille tai muun korttiominaisuuden myöntäneelle yritykselle:

  • käyttämällä korttia internetissä.
  • hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla [pankin] hyväksymällä tunnisteella.

[…]                     

Korttiehtojen Kortin käyttö internetissä -kohdan mukaan
Kortinhaltija voi kortin numeron, kortin voimassaoloaikatiedon, kortin kääntöpuolella olevan kolminumeroisen turvaluvun ja tarvittavien tunnusten, esimerkiksi pankkitunnusten, avulla maksaa ostamiaan tuotteita tai palveluita internetissä.

Pankin Pankkitunnuksilla käytettävien palvelujen yleisten ehtojen (Pankkitunnusehdot) Palvelun sisältö -kohdan mukaan

Asiakas voi käyttää Verkkopankkipalvelua etäviestintävälineellä. Verkkopankkipalvelun käyttämistä varten pankki voi lisäksi tarjota etäviestintävälineelle tarkoitetun sovelluksen. Etäviestintävälineellä tarkoitetaan tässä tietokonetta, puhelinta tai muuta päätelaitetta, joka soveltuu Verkkopankkipalvelun käyttöön. Etäviestintävälinettä voidaan käyttää sopimusten tekemiseen ja palveluiden käyttämiseen ilman, että sopimusosapuolet ovat yhtä aikaa läsnä. Pankin verkkosivuilla […] on määritelty ne etäviestintävälineen teknisten ominaisuuksien vähimmäisvaatimukset, joita Verkkopankkipalvelun käyttö edellyttää.
Eri etäviestintävälineillä käytettäväksi tarjottavat palvelut voivat poiketa sisällöltään ja toiminnoiltaan sekä toisistaan että muulla tavoin tarjottavista palveluista.

Pankkitunnusehtojen Tunnistautumistietojen käyttäminen -kohdan mukaan
Tunnistautumistietoja saa käyttää vain se pankkitunnuksilla käytettäviä palveluja koskevan sopimuksen tehnyt asiakas, jolle pankki on antanut tunnistautumistiedot.

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan

Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Pankkitunnusehtojen Tunnistautumistietojen käyttö vahvaan sähköiseen tunnistautumiseen -kohdan mukaan Tunnistautumistiedoilla kuluttaja-asiakas voi tunnistautua myös muussa-vahvaa sähköistä tunnistamista käyttävässä palvelussa siten kuin laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) säädetään (jäljempänä "vahva sähköinen tunniste").
Salasanaan perustuvaa tunnistautumista ei voi käyttää tunnistautumiseen muun palveluntarjoajan palvelussa eikä se ole laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) tarkoitettu vahva sähköinen tunnistaminen.
Jos kuluttaja-asiakas käyttää tunnistautumistietoja vahvana sähköisenä tunnisteena muun palveluntarjoajan palvelussa, tunnistautumistietojen käytön oikeusvaikutuksiin ja kuluttaja-asiakkaan sekä pankin tarjoamaa erillistä tunnistuspalvelua käyttävän muun palveluntarjoajan välisiin vastuisiin sovelletaan kuluttaja-asiakkaan ja kyseisen palveluntarjoajan välistä sopimusta, jonka osapuoli pankki ei ole.

Pankkitunnusehtojen Tunnistautumistietojen säilyttäminen ja vastuu niiden käyttämisestä -kohdan mukaan

Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen. Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnusluvuista, tunnuslukulaitteesta, tunnuslukusovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumisvälineistä koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla. Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi.

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapahtumienkulun olevan tapauksessa pääpiirteissään selvitetty ja riidaton.

Riidatonta on, että asiakasta on johdettu harhaan, hän on luullut asioivansa Microsoftin kanssa ja on antanut rikollisille etäyhteyden tietokoneelleen. Rikolliset ovat saaneet asiakkaan korttien tiedot, kun asiakas on täyttänyt nämä tiedot tietokoneellaan maksulomakkeelle tarkoituksenaan maksaa Microsoftille hänelle suullisesti ilmoitettu hinta 5 euroa / työ hakkereiden ja viruksentorjuntaohjelmien asentamisesta. Asiakas on itse vahvistanut ko. riidanalaiset maksutapahtumat tunnuslukusovelluksellaan luultuaan antavansa suostumuksensa ainoastaan tietokoneohjelmien asennuksiin ja ohjelmiin/lisensseihin liittyviin 0 euron maksuihin.

Riidatonta on, että asiakas ei ole korttimaksuja vahvistaessaan tai sitä ennen nähnyt missään – ei tietokoneensa näytöllä eikä tunnuslukusovelluksessaan – riidanalaisten korttimaksujen tietoja tai ollut niistä muutoinkaan tietoinen. Edelleen lautakunta katsoo selvitetyksi, että asiakkaan tietokoneella on kunkin korttitapahtuman yhteydessä näkynyt mm. seuraavat tiedot:

Order summary:

Reference:                         Microsoft Corporation
Description:                       [Virus-/lisenssiohjelman nimi]
Amount (EUR):                   € 00,00.

Tämän lisäksi asiakkaan on tietokoneensa näytöllä - yllä olevien tietojen alapuolella - tullut tehdä valintansa Turvallisen verkkomaksun Tunnistautumisvaihtoehdoista (Tunnuslukusovellus, Tunnuslukulaite tai Tunnuslukusovellus offline-tilassa). Tunnuslukusovelluksen valitsemisen jälkeen asiakkaan on tullut kirjoittaa koneellaan verkkopankkinsa käyttäjätunnus sille kuuluvaan sarakkeeseen. Tämän jälkeen riidanalaisia korttitapahtumia vahvistettaessa asiakkaan tunnuslukusovelluksessa on lukenut "Olet kirjautumassa Netsin palveluun”, minkä asiakas on kunkin riidanalaisen maksun kohdalla vahvistanut.

Neljän ensimmäisen riidanalaisen korttitapahtuman (klo 16.51-15.58) jälkeen klo 17.59-18.10 ja 18.12-18.32 on asiakkaan verkkopankissa oltu kirjauduttuna samasta IP-osoitteesta, jota asiakas on aikaisemmin itse käyttänyt. Pankin selvityksen mukaan ko. istuntojen aikana on katsottu mm. tilitietoja ja korttitietoja sekä aloitettu ulkomaanmaksuja, joita ei kuitenkaan ole viety hyväksymiseen asti. Selvityksen mukaan kyseisten istuntojen aikana ja välissä on myös yritetty tehdä korttimaksuja, mutta nämä yritykset - klo 18.31 hyväksyttyä maksua lukuun ottamatta - eivät ole onnistuneet vuorokausi-turvarajan ylittymisen vuoksi tai sen vuoksi, ettei maksuja ole vahvistettu. Lisäksi asiakkaan mobiilipankissa on oltu kirjauduttuna klo 18.13-18.31 ja 18.34-18.37.

Asiakas on kiistänyt itse kirjautuneensa verkkopankkiin. Ottaen lisäksi huomioon mitä verkkopankissa on em. asiointien yhteydessä tehty, Pankkilautakunta katsoo, että asiakas ei ole itse näissä istunnoissa asioinut verkkopankissaan. Verkkopankkiin kirjautumiset ovat kuitenkin edellyttäneet asiakkaan verkkopankin käyttäjätunnusta, jonka lautakunta katsoo päätyneen rikollisten tietoon siinä yhteydessä, kun asiakas on edellä todetusti antanut sen tietokoneellaan korttimaksujen vahvistamista varten. Tämän lisäksi Pankkilautakunta katsoo selvitetyksi, että asiakas on harhautettuna vahvistanut tunnuslukusovelluksella nämä verkkopankkiin kirjautumiset ja tässä yhteydessä sovelluksessa on lukenut "Haluatko kirjautua henkilöasiakkaiden verkkopankkiin?".

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella jääneen epäselväksi, mistä asiakkaan mobiilipankissa asioinneissa on ollut kyse ja mitä mobiilipankissa on em. istuntojen tehty tai mahdollisesti vain katsottu.

Maksajan suostumus maksutapahtuman toteuttamiseen

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa korttimaksuja, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla asiakkaan puhelimessa olevalla tunnuslukusovelluksella tehtyä vahvistusta. Vaikka asiakas on itse tehnyt maksujen toteuttamisen edellyttämät em. vahvistukset, on tapauksessa edelleen riidatonta, ettei asiakas ole ennen vahvistusten antamista nähnyt missään – ei tietokoneensa näytöllä eikä tunnuslukusovelluksessaan – kyseisten korttimaksujen tietoja tai ollut niistä muutoinkaan tietoinen.

Pankkilautakunta katsookin - ottaen huomioon, että itse korttimaksut on tehnyt korttitiedot asiakkaalta tätä harhaan johtamalla saanut rikollinen ja asiakas on antanut em. vahvistukset tietämättä mitään ko. maksujen tiedoista ja harhautettuna luullen ainoastaan antavansa Microsoftille suostumuksensa virusohjelmien asentamiselle - , että asiakas ei ole antanut kyseisille korttimaksuille maksupalvelulain 38 §:ssä tarkoitettua suostumustaan. Pankkilautakunta katsoo, että ko. korttimaksuja on näin ollen pidettävä oikeudettomina.

Maksuvälineen luovuttaminen

Pankkilautakunta toteaa, että oikeudettomat korttimaksut tehneellä on täytynyt olla tiedossaan asiakkaan korttien tiedot. Riidatonta tapauksessa on, että rikolliset ovat saaneet asiakkaan korttien tiedot, kun asiakas on harhaan johdettuna täyttänyt korttitietonsa tietokoneellaan maksulomakkeelle tarkoituksenaan maksaa Microsoftille hakkereiden ja virusohjelmien asentamisesta viiden euron hinta per työ.

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Pankkilautakunta katsoo, että asiakas on tässä tapauksessa luullut itse käyttävänsä korttitietojaan em. maksujen tekemiseksi Microsoftille. Edelleen lautakunta katsoo, ettei asiakas näin ollen ole tietoisesti luovuttanut korttitietojaan niiden käyttöön oikeudettomalle ja ettei tapauksessa siten ole kyse maksupalvelulaissa tarkoitetusta maksuvälineen luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas korttiensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko korttien oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Huolimattomuuden arviointi

Pankkilautakunta katsoo asiakkaan joutuneen taidokkaan ja ammattimaisen huijauksen uhriksi niin sen kokonaistoteutuksen kuin siihen liittyvän teknisen osaamisen suhteen. Saadun kokonaisselvityksen perusteella - ottaen huomioon, ettei asiakas ole tietoturvan asiantuntija ja että saadessaan puhelun Microsoftin nimissä asiakas on juuri asioinut tietokoneelleen, jonka viruksentorjuntaohjelmien päivitys ei ollut ajan tasalla ja jossa oli ollut nopeuden suhteen ongelmia - Pankkilautakunta katsoo ymmärrettäväksi, että asiakas ei ole ymmärtänyt kyseenalaistaa yhteydenoton asianmukaisuutta ja on antanut etäyhteyden hänelle kerrottujen toimenpiteiden tekemiseksi. Näistä lähtökohdista ja ottaen huomioon mitä asiakas on saadun selvityksen mukaan itse tietokoneensa näytöllä nähnyt, lautakunta katsoo asiakkaan olleen myös korttitietojaan tietokoneellaan käyttäessään perustellusti siinä käsityksessä, että hän käyttää korttiaan sitä koskevan sopimuksen mukaisessa tarkoituksessa maksaakseen tietokoneensa tietoturvan päivittämisestä.

Riidanalaisten korttimaksujen vahvistamisen suhteen Pankkilautakunta kiinnittää erityistä huomiota siihen, että asiakas ei ole nähnyt ennen maksujen vahvistamista mitään ko. maksutapahtumia koskevia tietoja missään ja hänen tunnuslukusovelluksessaan on lukenut "Olet kirjautumassa Netsin palveluun”, jota keskiverto kortinhaltija ei Pankkilautakunnan näkemyksen mukaan välttämättä tiedä yhdistää korttimaksujen vahvistamiseen. Pankkilautakunta katsookin tässä tapauksessa lähtökohtaisesti ymmärrettäväksi, että asiakas on vahvistuksia ("Olet kirjautumassa Netsin palveluun” tai "Haluatko kirjautua henkilöasiakkaiden verkkopankkiin?") antaessaan luullut joko hyväksyvänsä tietokoneensa näytöllä näkyneitä 0,00 euron maksuja virus- ja lisenssiohjelmien asennuksista tai vain hyväksyvänsä ko. toimia tietokoneelleen. Koska ohjelmapäivitysten tekeminen tai uusien ohjelmien asentaminen voi yleisen tietämyksen mukaan olla aikaa vievää, ei lautakunta tältä osin näe asiakkaan menettelyn arvioinnin suhteen olevan olennaista merkitystä sillä, että riidanalaiset maksutapahtumat jakautuvat runsaan puolentoista tunnin ajalle ja asiakkaan asiointi huijareiden kanssa on kestänyt vähintään tämän ajan. Tässä näkemyksessään lautakunta huomioi uskottavana pitämäänsä asiakkaan kertomaa siitä, että soittajat olivat todella taitavia ja vakuuttavia, ja heillä oli vastaukset asiakkaan kysymyksiin.

Edelleen Pankkilautakunta katsoo, ettei asiakkaalla ole asiassa saadun selvityksen perusteella ollut mitään yksittäistä erityistä syytä kesken ko. asioinnin epäillä toimien asianmukaisuutta ja siten pankin näkemyksen mukaista syytä jossakin vaiheessa tarkistaa, onko 0 euron korttimaksuista tullut katevarauksia hänen tililleen tai luottotililleen, mikä sekin olisi ollut tavanomaista hankalampaa asiakkaan tietokoneen ollessa asiakkaan käsityksen mukaan varattuna väitettyjen toimenpiteiden vuoksi ja asiakkaan ollessa puhelimessa.

Edellä todetusta huolimatta, tapahtumat - erityisesti pyytämättä tullut puhelinyhteydenotto, etäyhteyden antaminen ja kahteen erilaiseen pyyntöön tunnuslukusovelluksella annetut useat vahvistukset - kokonaisuutena huomioiden, Pankkilautakunta katsoo, että asiakkaan olisi jo kesken tapahtuneen asioinnin tullut ymmärtää kyseenalaistaa toimien todellinen tarkoitus ja keskeyttää asiointi. Mikäli asiakas olisi näin toiminut, olisi osasta nyt aiheutuneesta vahingosta voitu mahdollisesti välttyä. Lautakunta katsookin ainakin jälkimmäisten oikeudettomien korttimaksujen johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Edelleen Pankkilautakunta katsoo kuitenkin selväksi, ettei asiakkaan voida hänen menettelynsä perusteella katsoa suhtautuvan selvästi piittaamattomasti maksuvälineidensä hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakas näin ollen ole menetellyt maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittaen.

Lopputulos

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella asiakkaan korttien oikeudettoman käytön johtuneen siitä, että asiakas huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää 
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen

Tulosta

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia