Tapahtumatiedot
Asiakas on saanut 15.6.2020 pankin nimissä lähetetyn sähköpostin, jossa ollut linkki ei asiakkaan mukaan toiminut. Asiakkaan pankkitunnuksilla ja pankin ilmoituksen mukaan asiakkaan puhelinnumeroon 15.6.2020 klo 10.29 lähetetyssä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle klo 10.31.
Em. mobiilisovellusta hyväksi käyttäen asiakkaan kortin verkko-ostojen turvarajaa on nostettu 15.6.2020 klo 12.03 1.000 eurosta 60.000 euroon ja kortin käyttörajaa 2.500 eurosta 60.000 euroon. Asiakkaan käyttötilille on tehty asiakkaan puolison tililtä 7.100 euron tilisiirto klo 12.16 ja heidän yhteiseltä tililtään 4.900 euron tilisiirto klo 12.17.
Asiakkaan verkkopankin käyttäjätunnuksella ja em. uutta pankin mobiilisovellusta käyttäen on asiakkaan nimiin aktivoitu X-sovellus klo 12.18. Tämän jälkeen asiakkaan tililtä on tehty 15.6.2020 klo 12.30-23.14 yhteensä 22 X-sovelluksella vahvistettua Visa Debit -korttitapahtumaa yhteisarvoltaan 14.596,64 euroa.
Asiakkaan puoliso on ollut pankkiin yhteydessä 15.6.2020 klo 23.36 ja tämän puhelun perusteella on suljettu asiakkaan ja hänen puolisonsa verkkopalvelutunnukset. Asiakkaan kortti on suljettu 16.6.2020 klo 8.58.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan rikoksella menetetyt varat 14.596 euroa tai toissijaisesti 13.596 euroa eli summasta vähennettynä alkuperäisen käyttörajan suuruinen summa 'omavastuuna'.
Asiakas sai 15.6.2020 sähköpostiinsa viestin, jossa pyydettiin kirjautumaan pankin verkkopankkiin. Linkki ei toiminut, mutta myöhään samana iltana asiakas huomasi paitsi omansa, myös vaimonsa ja heidän yhteisen tilinsä tyhjennetyiksi. Asiakas pyysi pankkia heti sulkemaan kortin ja teki rikosilmoituksen. Tilillä näkyi yhteensä 14.596 euron arvosta katevarauksia eli ostoja, jotka oli kaikki tehty Saudi-Arabian Riyadhissa yhtenä päivänä. Pankki ei pysäyttänyt veloituksia. Huijari oli paitsi kirjautunut tilille ja tehnyt ostoja, myös siirtänyt eri tileiltä rahaa, poistanut käyttörajoituksen ja lisännyt uuden (suomalaisen) puhelinnumeron vahvistuksia varten. Nämä kaikki olivat onnistuneet koska pankki ei asiakkaan käsityksen mukaan vaadi kaksivaiheista kirjautumista em. operaatioita varten. Pankin korttipalveluista kerrottiin asiakkaalle puhelimitse, että tiliin oli liitetty uusi puhelinnumero ostoja varten. Tähänkään ei siis oltu vaadittu kaksivaiheista tunnistautumista, mikä asiakkaan mielestä heikentää selvästi asiakkaan suojaa ja oleellisesti suurensi huijauksesta aiheutunutta menetystä. Asiakkaasta tämä on hyväksyttävää korkeintaan yhden tilin ostorajaan (1.000 euroon) saakka, mutta kaikki sen yli menevä perustui riittämättömään suojaukseen ja oli yksinomaan pankin vastuulla.
Pankin vastineessa mainitaan, että käyttöoikeus on anastettu hyödyntämällä myös tekstiviestiä johon asiakas on vastannut. Tästä asiakas ei ole ollut tietoinen eikä pankki ole aiemmin maininnut tästä missään yhteydessä. Tuo viesti ei millään tavalla informoi siitä, että siinä pyydetään luovuttamaan tilin käyttöoikeus uudelle käyttäjälle. Siinä kysytään vain otetaanko käyttöön uusi avain (enable mobile key in device). Näin ollen käyttäjälle ei selviä mitä toimenpidettä tehdään, joten väite että sen myötä vastuu siirtyy käyttäjälle, on asiakkaan mielestä kiistanalainen.
Pankin vastine
Pankin tietojen mukaan asiakkaan verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle 15.6.2020. Korttiveloitus on vahvistettu käyttäen vahvaa sähköistä tunnistamista, jolla asiakkaan henkilöllisyys on varmennettu. Verkkopalvelutunnuksella (käyttäjätunnus sekä edellä mainitun pankin mobiilisovelluksen pin-koodi) on asiakkaan nimiin aktivoitu X-sovellus, jonka vahvalla tunnistamisella maksut on vahvistettu. X hakee asiakkaan pankin maksukortit sovellukseen automaattisesti, kun X on asennettu käyttäen vahvaa tunnistautumista. Käyttäjällä ei siis tarvitse olla tiedossa korttinumeroita, jotta ne voitaisiin liittää sovellukseen.
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen väärinkäytöksen tapahtumista:
8.6.2020 Huijarit kalastelevat asiakkaiden tietoja [Pankki] Ryhmän nimissä
28.5.2020 Huijaussähköposteja [Pankki] Ryhmän nimissä
23.4.2020 Huijaussähköposteja [Pankki] Ryhmän nimissä
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.
Sääntely ja sopimusehdot
Pankki viittaa tunnistuslain 27 §:än, maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.
Asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan
"Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Asian arviointi
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan, joka ei ole lievää laiminlyönyt tunnistuslain 27 §:n 1 momentin ja verkkopalvelutunnusten mukaisia velvollisuuksiaan. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan tunnistusvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään on säilyttänyt.
Pankki on useaan otteeseen loppukevään ja alkukesän 2020 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Tapauksessa on riidatonta, että maksut tehneellä ja uuden pankin mobiilisovelluksen luoneella taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnuksen kaikki osat. Jotta pankin mobiilisovellus on ollut mahdollista aktivoida, on aktivoijalla ollut tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat mukaan lukien vaihtuva avainlukulistan numero ja lisäksi aktivoija on saanut tietoonsa asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin tiedot. Tunnuksiin liitettyä puhelinnumeroa ei ole mahdollista muuttaa verkossa. Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä maksut tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä vähintäänkin tunnistuslain tarkoittamana huolimattomana niin, että huolimattomuus ei ole lievää. Pankki on useaan kertaan varoittanut tällaisesta urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, ettei se ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.
Mikäli katsottaisiin, että pankin verkkotunnuksia on käytetty tapauksessa maksuvälineenä, pankki katsoo asiakkaan laiminlyöneen maksupalvelulain ja verkkopalvelusopimuksen ehtoja törkeän huolimattomasti. Huolimattomuuden on katsottava olevan törkeää viimeistään silloin, kun asiakas on luovuttanut tekstiviestillä saamansa aktivointikoodin ulkopuoliselle. Tekstiviestissä on kerrottu, että asiakas on aktivoimassa pankin mobiilisovellusta. Tekstiviestin sisältö on ollut seuraava: ”You're about to enable the Mobile key in device op. Confirm enabling in your mobile app with activation code 30935. [Pankki].” Tekstiviesti on lähetetty 15.6.2020 klo 10:29:50 asiakkaan omaan numeroon (asiakkaan tunnuksiin liittämä henkilökohtaisessa käytössä oleva puhelinnumero). Tämän viestin kieli määräytyy sen mukaan millä kielellä asetukset ovat siinä selaimessa, josta laiteliitosta koitetaan tehdä, toisin sanoen laitteen selaimen kieliasetusten mukaisesti. Pankin mobiilisovelluksen luonti on päättynyt onnistuneesti klo 10:31:30.
Asiakkaan kortin verkko-ostojen turvarajaa on nostettu 15.6.2020 klo 12:03 1.000 eurosta 60.000 euroon. Kortin käyttörajaa on nostettu 2.500 eurosta 60 000 euroon. Asiakkaan puolison tililtä on tehty tilisiirto 7.100 euroa 15.6. klo 12:16:15. Yhteiseltä tililtä on tehty 4.900 euron suuruinen tilisiirto 15.6. klo 12:17:23. Kummatkin tilisiirrot on tehty asiakkaan käyttötilille.
Pankin mobiilisovelluksen aktivoinnin jälkeen on aloitettu X:n käyttöönotto 15.6.2020 klo 12:15:45, jolloin käyttöönottoa varten on annettu puhelinnumero +358XXXXXXXXX, johon on lähetetty X:n aktivointia varten vahvistuskoodi. Vahvistuskoodi on syötetty X:än. Tässä yhteydessä X pyytää valitsemaan kirjautumiseen jatkossa käytettävän kuusinumeroisen pin-koodin ja vahvistamaan sen. X:n käyttöönotto siirtyy tunnistamisvaiheeseen, joka on aloitettu 15.6.2020 12:18:12, ja tunnistaminen on tehty pankin mobiilisovelluksella. X hakee asiakkaan pankin maksukortit sovellukseen automaattisesti, kun pankin asiakas on asentanut X:n käyttäen vahvaa tunnistautumista. Käyttäjällä ei siis tarvitse olla tiedossa korttinumeroita, jotta ne voitaisiin liittää sovellukseen.
Asiasta on pankkiin ollut yhteydessä asiakkaan puoliso 15.6.2020 klo 23:36. Tämän puhelun perusteella on suljettu asiakkaan ja hänen puolison verkkopalvelutunnukset. Asiakkaan kortti on suljettu 16.6.2020 klo 08:58:26. Kaikki kortilla tehdyt tapahtumat on tehty sulkua edeltävänä päivänä 15.6.2020.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tilin todentaminen -sähköposti 15.6.2020 klo 09.48
- Pankin tunnusten ja verkkopalveluiden yleiset ehdot
- Tärkeää tietoa tunnuksistasi -asiakirja
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.)1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen in-ternetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:
[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan
Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuo-lelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]
Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.
Asian arviointi
Tapahtumienkulku
Tapauksessa on riidatonta, että asiakas on saanut pankin nimissä lähetetyn sähköpostin, jossa ilmoitetun mukaan luottamuksellisen sähköpostiviestin avaaminen ja lukeminen tapahtuu viestissä olleen suojatun linkin kautta. Asiakkaan kertoman mukaan linkki ei toiminut, mutta tämän tarkempaa selvitystä asiointiyrityksestään asiakas ei ole esittänyt. Asiassa saadun kokonaisselvityksen perusteella Pankkilautakunta katsoo, että asiakkaan verkkopankkitunnusten on täytynyt päätyä rikollisten tietoon siten, että asiakas on käyttänyt verkkopankkitunnuksiaan (käyttäjätunnus, salasana, avainluku) linkin kautta avautuneilla - ja Pankkilautakunnan vastaavanlaisista ja teknisiltä tapahtumatiedoiltaan täysin samanlaisissa tapauksissa saaman selvityksen perusteella aidoilta pankin verkkosivuilta näyttäneillä - sivuilla.
Rikolliset ovat aloittaneet em. tavoin tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin. Asiakas on em. tekstiviestin osalta todennut ainoastaan, ettei siitä selviä käyttäjälle, mitä toimenpidettä tehdään, eikä hän ole kiistänyt saaneensa pankin ilmoituksen mukaista tekstiviestiä. Pankkilautakunta katsoo saadun selvityksen perusteella, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Pankin mobiilisovellusta ja asiakkaan verkkopankkitunnusten käyttäjätunnusta oikeudetta käyttäen rikolliset ovat aktivoineet omalle laitteelleen X-sovelluksen. X on sen asentamisen jälkeen hakenut asiakkaan ko. maksukortin tiedot sovellukseen automaattisesti eikä rikollisilla siten ole ollut tarpeen olla tiedossaan asiakkaan korttitietoja, jotta he ovat voineet tehdä X:lla vahvistetut riidanalaiset korttimaksut.
Sovellettava laki
Selvyyden vuoksi Pankkilautakunta toteaa tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta. Näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään tunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston SSL-suojauksen.
Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn sähköpostin muotoilun ja sisällön taikka lähettäjän domainin perusteella, ettei sähköpostiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Tässä arviossaan Pankkilautakunta huomioi erityisesti sen, että pankki itse lähettää asiakkailleen lähes täysin samannäköisiä ja -sisältöisiä sähköposteja, joissa ei tosin ole linkkiä vaan pankin verkkosivuosoite rikottuna, mutta jotka voivat osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Pankkilautakunnan tietojen mukaan pankki on joissain tilanteissa voinut myös lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä esim. pankin omille verkkosivuille.
Ottaen lisäksi huomioon, että linkistä avautuneet verkkosivut - , joilla lautakunta katsoo asiakkaan käyttäneen pankkitunnuksiaan kirjautuakseen oman käsityksensä mukaan verkkopankkiin - ovat lautakunnan vastaavanlaisista ja teknisiltä tapahtumatiedoiltaan täysin samanlaisissa tapauksissa saadun selvityksen perusteella näyttäneet todennäköisesti aidoilta pankin verkkosivuilta, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja jättää saamansa avainkoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella, ottaen huomioon tapahtumien kulun kokonaisuutena ja erityisesti sen, että asiakas ei ole itse kyseessä oleviin tapahtumiin liittyen millään tavoin käsitellyt ko. korttiaan tai korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu kortin oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Laine
Pulkkinen