Tapahtumatiedot
Asiakas on saanut 13.6.2020 pankin nimissä lähetetyn sähköpostin, jossa todetun mukaan pankin asiakkaalle lähettämä luottamuksellinen sähköpostiviesti avautuu viestissä olevan suojatun linkin kautta. Asiakkaan pankkitunnuksilla ja pankin ilmoituksen mukaan asiakkaan puhelinnumeroon 13.6.2020 klo 14:12 lähetetyssä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle.
Asiakkaan yrityksen tililtä on tehty em. pankin mobiilisovelluksella vahvistaen 13.6.2020 klo 19.59 18.000 euron siirto asiakkaan henkilökohtaiselle tilille. Asiakkaan verkkopankin käyttäjätunnuksella ja em. pankin mobiilisovellusta käyttäen on asiakkaan nimiin aktivoitu X-sovellus, joka hakee asiakkaan pankin maksukortit sovellukseen automaattisesti sen asentamisen jälkeen. Asiakkaan tililtä on tämän jälkeen tehty klo 20.13-22.41 yhteensä viisi X-sovelluksella vahvistettua Visa Electron -korttitapahtumaa yhteisarvoltaan 12.932,00 euroa.
Asiakkaan kortti on suljettu 14.6.2020 klo 13.03.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan menetetyt 12.932,00 euroa.
Asiakkaan yhtiön tililtä vietiin pankin viestiin muotoilulla viestillä 18.000 euroa ja siirrettiin asiakkaan omalle tilille ja sieltä sitten maksettiin erilaisia ostoja noin 13.000 euron edestä.
Asiakkaalle oli pankin alkuperäisen selvityksen mukaan lähetetty vahvistusviesti numeroon, joka olisi ollut liitettynä asiakkaan verkkopalvelusopimukseen. Ko. liittymä on pankin omissa nimissä, ei asiakkaan. Kun asiakas valitti asiasta, niin väitettiinkin, että viesti on lähetetty asiakkaan käytössä olevaan numeroon. Siihen puhelimeen ei kuitenkaan ole tullut 13.6.2020 yhtään viestiä. Seuraava viesti pankilta on tullut 15.6. ja siinä lukee seuraavaa: Your device (jff) was used log in to [pankki]-mobile using another user´credentials. We deleted your Mobile key from the device for security reasons." Asiakas on liittänyt mukaan ko. numeroonsa saamat viestit ajalta 26.5.-15.6. sekä kopion myös pankin viestistä 15.6.2020.
Pankin vastine
Pankki toteaa kantanaan, että asiakkaan vaatimukset väärinkäytöksien hyvityksestä ovat kokonaan perusteettomia.
Selvitys tapahtumista pääpiirteittäin
Päivämäärällä 13.6.2020 on tehty asiakkaan Visa Electron -kortilla viisi korttimaksutapahtumaa yhteisarvoltaan 12.932,00 euroa. Asiakas on reklamoinut seuraavat korttitapahtumat:
13.6.2020 20:13:23 LOCUTORIO EL CID 2.300,00 €
13.6.2020 21:12:25 MEDIA MARK LOS BARRIOS 7.204,00 €
13.6.2020 21:30:15 MEDIA MARK LOS BARRIOS 778,00 €
13.6.2020 21:52:31 AC 2.550,00 €
13.6.2020 22:41:00 CAFETERIA 100,00 €
Asiakkaan kortti on suljettu 14.6.2020. Asiakas itse on havainnut oikeudettomat maksut ilmoittamansa mukaan 15.6.2020.
Pankin oman selvityksen mukaan asiakkaan omilla pankin verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle päivämäärällä 13.6.2020 kello 14:12 lähetettyyn aktivointikoodiin perustuen. Tämän jälkeen asiakkaan omilla verkkopalvelutunnuksilla (verkkopalvelun käyttäjätunnus sekä edellä mainitun sovelluksen pin-koodi) on aktivoitu asiakkaan nimiin uusi X-sovellus, jonka vahvalla tunnistamisella reklamoidut maksut ovat vahvistettu. X -sovellus hakee asiakkaan pankin maksukortit sovellukseen automaattisesti, kun pankin asiakas on asentanut X:n käyttäen vahvaa sähköistä tunnistautumista. Vahvasti sähköisesti tunnistautuneella käyttäjällä ei siis tarvitse olla tiedossaan korttinumeroita, jotta ne voitaisiin liittää sovellukseen ja käyttää niitä maksamiseen. Asiakkaan kortti on suljettu 14.6.2020 kello 13:03.
Asiakasta ei ole hyvitetty asiakkaan reklamoinnin perusteella. Kaikki asiakkaalle aiheutunut vahinko on todettu jäävän asiakkaan itsensä vastuulle.
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla ennen väärinkäytöksen tapahtumista:
8.6.2020 Huijarit kalastelevat asiakkaiden tietoja [Pankki] Ryhmän nimissä
28.05.2020 Huijaussähköposteja [Pankki] Ryhmän nimissä
23.04.2020 Huijaussähköposteja [Pankki] Ryhmän nimissä
18.02.2020 [Pankin] asiakkaiden verkkopankkitunnuksia kalastellaan
23.12.2019 Huijarit ovat ”töissä” joulunakin, varo verkkopalvelutunnusten kalastelijoita!
25.04.2019 [Pankin] tunnuksia kalastellaan nyt myös tekstiviesteillä!
19.03.2019 Asiakkaiden tietoja kalastellaan [Pankin] nimissä!
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.
Sääntely ja sopimusehdot
Pankki viittaa tunnistuslain 27 §:än, maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.
Asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan
"Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan, joka ei ole lievää, laiminlyönyt tunnistuslain 27 §:n 1 momentin ja verkkopalvelutunnusten mukaisia velvollisuuksiaan.
Asian arviointi
Asiaan vaikuttavan lainsäädännön ja sopimusehtojen mukaisesti asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan tunnistusvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään on säilyttänyt.
Pankki on useaan otteeseen vuoden 2019 ja loppukevään 2020 aikana varoittanut asiakkaitaan tietojenkalastelusta (erityisesti turvatiedote 8.6.2020). Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Asiassa on asiakkaan oman selvityksen perusteella riidatonta, että asiakas on saanut valituksensa liitteeksi laittamansa huijaussähköpostiviestin, asiakas on avannut tämän viestin ja että asiakas on joko käyttänyt tämän viestin mukana tullutta linkkiä tai muuten vastannut tähän huijaussähköpostiviestiin. Pankki on johdonmukaisesti todennut ja asiakkailleen antamissaan varoituksissa ilmoittanut, että pankin lähettämät sähköpostiviestit eivät sisällä aktiivista ja toimivaa linkkiä, joka veisi suoraan sisäänkirjautumissivulle tai kehottaisi asiakasta muuten luovuttamaan tunnuksiaan. Lisäksi on suoraan todettu, että sähköpostiviestissä olevan (aktiivisen) linkin kautta ei tule koskaan kirjautua verkkopankkiin.
Pankin käytössään olevan tiedon perusteella väärinkäytökset ovat toteutettu hyödyntäen uuteen laitteeseen asennettua uutta pankin mobiilisovellusta, jolla on aktivoitu X-sovellus. Reklamoidut maksut ovat vahvistettu tämän sovelluksen vahvalla tunnistamisella.
Tapauksessa on siten riidatonta, että reklamoidut maksut tehneellä ja uuden pankin mobiilisovelluksen luoneella taholla on ollut käytössään asiakkaan verkkopalvelutunnuksen kaikki osat eli käyttäjätunnus, salasana sekä avainlukulistan vaihtuva numero. Pankin käsityksen mukaan, ja ottaen huomioon ne tiedot mitä asiakaskin on kertonut menettelystään huijaussähköpostin saamisen jälkeen, ovat asiakkaan verkkopalvelutunnukset kaikkine osineen tulleet todennäköisesti luovutetuiksi siinä yhteydessä, kun asiakas on käyttänyt saamansa huijaussähköpostinviestin sisältämää linkkiä ja syöttänyt näin avautuneelle huijaussivustolle verkkopalvelutunnuksensa, tai muuten vastannut tähän huijausviestiin verkkopalvelutunnuksensa luovuttaen.
Verkkopalvelutunnusten kaikkien osien lisäksi on pankin mobiilisovelluksen aktivoijalla ollut tiedossaan myös vain ja ainoastaan asiakkaan verkkopalvelutunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin (mobiilisovelluksen viisinumeroinen aktivointikoodi) tiedot. Mobiilisovellusta ei saa otettua käyttöön ilman tätä asiakkaalle itselleen lähetettyä viisinumeroista aktivointikoodia.
Pankin järjestelmiin tallentuneiden tietojen perusteella on riidatonta, etteikö uuden mobiilisovelluksen liitoksesta lähetetty (englanninkielinen) viesti olisi lähetetty vain asiakkaan itsensä tuolloin käyttämän puhelinnumeroliittymään. Asiakas on toki aivan oikeassa siinä, että pankin aikaisemmin 3.8.2020 antamassa vastauksessa on ollut kirjoitusvirhe ja asiakkaan lisävahvistuksessa käytetty puhelinliittymänumero on kirjoitettu väärin. Ilmoitettu puhelinliittymänumero kuuluu lisävahvistusviestin lähettäjänä olevalle pankille ja tästä numerosta lähetetään kaikki pankin palveluiden lisävahvistusviestit – on siis virheellisesti ilmoitettu viestin lähettäjän puhelinnumero viestin vastaanottajan, asiakkaan, puhelinnumerona. Tämä kirjoitusvirhe on asiakkaalle oikaistu. Puheena oleva uuden mobiilisovelluksen aktivointikoodi on lähetetty 13.6.2020 klo 14:12 ainoastaan asiakkaan lisävahvistusnumeroon. Uuden pankin mobiilisovelluksen aktivointi ei ole mahdollista ilman tätä koodia.
Selvennökseksi pankki toteaa, että asiakkaan verkkopalvelutunnuksiin liitettyä lisävahvistuspuhelinnumeroa ei ole mahdollista muuttaa verkossa, vaikka huijarilla olisikin jo tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat. Lisäksi todetaan, että asiakas on tämän reklamoidun tapauksen jälkeen päivämäärällä 24.6.2020 uusinut verkkopalvelusopimuksensa ja siihen liitetyn, vahvistuksessa käytetyn puhelinliittymänumeron. Edellä mainittu puhelinliittymänumero on ollut käytössä lisävahvistuksessa reklamoitujen väärinkäytöksien tapahtuma-ajankohtana 13.6.2020.
Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä maksut tehneelle taholle, eikä näin ole voinut tapahtua ilman asiakkaan omia toimia (ts. asiakas on itse luovuttanut myös aktivointikoodin), on toimintaa kokonaisuutena arvioituna pidettävä vähintäänkin tunnistuslain tarkoittamana huolimattomana niin, että huolimattomuus ei ole lievää. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, että se ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö ja siitä aiheutunut 12.932,00 euron vahinko jäävät kokonaisuudessaan asiakkaan omalle vastuulle.
Mikäli katsottaisiin, että pankin verkkotunnuksia on käytetty tapauksessa maksuvälineenä, pankki katsoo asiakkaan laiminlyöneen maksupalvelulain ja verkkopalvelusopimuksen ehtoja törkeän huolimattomasti. Huolimattomuuden on katsottava olevan törkeää viimeistään silloin, kun asiakas on luovuttanut tekstiviestillä saamansa aktivointikoodin ulkopuoliselle. Tekstiviestissä on kerrottu, että asiakas on aktivoimassa mobiiliavainta. Tekstiviestin sisältö on ollut seuraava: “You're about to enable the Mobile key in device jff. Confirm enabling in your mobile app with activation code 35222. [pankki].” Tekstiviesti on lähetetty ainoastaan asiakkaan lisävahvistuksessa käyttämään puhelinliittymänumeroon. Asiakkaan huolellisuusvelvollisuutta on vain nostanut se tosiseikka, että toisin kuin asiakkaalle aikaisemmin lähetetyt asiakkaan omaan toimintaan perustuvat viestit, on huijaukseen liittyvä aktivointiviesti lähetetty englannin kielellä (johtuen huijarin käyttämistä kielivalinnoista).
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakopio asiakkaan 13.6.2020 klo 12.04 saamasta Tilin todentaminen -sähköpostista
- Kuvakaappaus asiakkaan 15.6.2020 pankilta saamasta tekstiviestistä
- Kuvakaappaus asiakkaan saamista tekstiviesteistä 31.5.-15.6.2020
- [pankki].fi turvatiedote 8.6.2020
- Pankin mobiilisovelluksen käyttöönotto -asiakirja, jossa kuvataan sovelluksen käyttöönoton vaiheita
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.)1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen in-ternetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:
[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan
Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuo-lelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]
Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.
Asian arviointi
Tapahtumienkulku
Tapauksessa on riidatonta, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa ilmoitetun mukaan luottamuksellisen sähköpostiviestin avaaminen ja lukeminen tapahtuu viestissä olleen suojatun linkin kautta. Asiakkaan kertoman mukaan hän on ”vastannut” viestiin, mutta muutoin asiakkaan kertoman perusteella on jäänyt epäselväksi, miten tapahtumat ovat hänen näkemyksensä mukaan edenneet.
Asiassa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiakkaan verkkopankkitunnusten on täytynyt päätynyt rikollisten tietoon siten, että asiakas on käyttänyt verkkopankkitunnuksiaan (käyttäjätunnus, salasana, avainluku) linkin kautta avautuneilla sivuilla asioidakseen pankin kanssa. Näitä tunnuksia oikeudetta käyttäen rikolliset ovat aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen. Pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin. Vaikka asiakas kiistää saaneensa em. tekstiviestiä, katsoo Pankkilautakunta saadun selvityksen perusteella, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on vastaanottanut ko. viestin ja laittanut siinä olleen koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Pankin mobiilisovellusta ja asiakkaan verkkopankkitunnusten käyttäjätunnusta oikeudetta käyttäen rikolliset ovat aktivoineet omalle laitteelleen X-sovelluksen. X on sen asentamisen jälkeen hakenut asiakkaan ko. maksukortin tiedot sovellukseen automaattisesti eikä rikollisilla siten ole ollut tarpeen olla tiedossaan asiakkaan korttitietoja, jotta he ovat voineet tehdä X:lla vahvistetut riidanalaiset korttimaksut.
Sovellettava laki
Selvyyden vuoksi Pankkilautakunta toteaa tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta. Näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään tunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston SSL-suojauksen.
Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn sähköpostin muotoilun ja sisällön taikka lähettäjän domainin perusteella, ettei sähköpostiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Tässä arviossaan Pankkilautakunta huomioi erityisesti sen, että pankki itse lähettää asiakkailleen lähes täysin samannäköisiä ja -sisältöisiä sähköposteja, joissa ei tosin ole linkkiä vaan pankin verkkosivuosoite rikottuna, mutta jotka voivat osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Pankkilautakunnan tietojen mukaan pankki on joissain tilanteissa voinut lähettää asiakkailleen myös tekstiviestejä, jotka ovat sisältäneet linkkejä esim. pankin omille verkkosivuille. Myös asiakkaan tässä tapauksessa toimittamista tekstiviesteistä käy ilmi, että pankki on toisessa yhteydessä lähettänyt asiakkaalle aktiivisen linkin sisältäneen tekstiviestin.
Ottaen edellä todetun lisäksi huomioon, että linkistä avautuneet verkkosivut - , joilla asiakas on käyttänyt pankkitunnuksiaan asioidakseen pankin kanssa – ovat lautakunnan vastaavanlaisista ja teknisiltä tapahtumatiedoiltaan täysin samanlaisissa tapauksissa saadun selvityksen perusteella näyttäneet todennäköisesti aidoilta pankin verkkosivuilta, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja jättää saamansa avainkoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella, ottaen huomioon tapahtumien kulun kokonaisuutena ja erityisesti sen, että asiakas ei ole itse kyseessä oleviin tapahtumiin liittyen millään tavoin käsitellyt ko. korttiaan tai korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu kortin oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Laine
Pulkkinen