Tapahtumatiedot
Asiakkaan Visa Electron -kortilla on tehty verkossa 21.11.2020 klo 14:07-15:40 kahdeksan kappaletta asiakkaan tililtä veloitettua ja X-sovelluksella vahvistettua maksua yhteisarvoltaan 3.277,63 euroa. Pankki on sulkenut asiakkaan kortin 21.11.2020 kello 16:55.
Pankin mukaan asiakkaan pankkitunnuksilla ja pankin asiakkaan puhelinnumeroon 21.11.2020 klo 12.52 lähettämässä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle. Asiakkaan verkkopankin käyttäjätunnusta ja em. pankin mobiilisovellusta käyttäen on aktivoitu käyttöön asiakkaan nimiin uusi X-sovellus, joka hakee asiakkaan pankin maksukortit sovellukseen automaattisesti sen asentamisen jälkeen. Riidanalaiset korttimaksut on tämän jälkeen vahvistettu X-sovelluksen vahvalla tunnistamisella.
Asiakkaan valitus
Asiakas ei saanut tapahtumapäivänä mitään yhteydenottoja ennen kuin sai pankilta 21.11.2020 viestin, että hänen pankkitilillään on tapahtunut epäilyttävää toimintaa ja kortti on suljettu. Silloin asiakas katsoi tiliään, jolta ei silloin vielä ollut veloitettu mitään. Myöhemmin asiakas huomasi tililtä kadonneen 3.271,63 euroa. Pankista otettiin asiakkaaseen yhteyttä ja selviteltiin yhdessä eri mahdollisuuksia, miten ko. veloitukset on voinut tapahtua. Yksi mahdollisuus olisi ollut se, että koska samalta tililtä nostettiin myös kesäkuussa 2020 huomattavia summia varoja, ottajalla olisi ollut jonkinlainen mahdollisuus käyttää silloin saatuja tietoja hyväkseen. Asiakas on itse ollut hyvin varovainen sen tapahtuman jälkeen, eikä myönnä tehneensä pankin väittämiä asioita. Toki asiakas vaihtaa tarvittaessa avainlukulista, ei muuta. Asiakkaalla ei ole mitään tietoa pankin mainitsemasta tapahtumasta, eikä hän ole saanut ko. ajanjaksona myöskään esim. sähköpostia mistään sellaisesta osoitteesta, jolla voisi olla jotain tekemistä tuon tapahtuman kanssa. Asiakas on myös täysin vakuuttunut, että asiakkaalle ei ole lähetetty mitään varmennusviestiä, sillä asiakas vielä tarkisti kaikki ko. ajanjaksona saamansa viestit. Asia on täysi mysteeriä asiakkaalle.
Pankin vastine
Pankki toteaa kantanaan, että asiakkaan vaatimukset väärinkäytöksien hyvityksestä ovat kokonaan perusteettomia.
Selvitys tapahtumista pääpiirteittäin
Asiakkaan Visa Electron -kortilla on tehty päivämäärällä 21.11.2020 aikavälillä 14:07-15:40 kahdeksan korttimaksutapahtumaa, jotka ovat olleet asiakkaan reklamoinnin mukaan oikeudettomia. Asiakkaan kortti on suljettu 21.11.2020 kello 16:55 palveluntarjoajan toimesta. Korttimaksutapahtumat ovat veloitettu asiakkaan korttiin liitetyltä tililtä 23.11.2020.
Pankin oman selvityksen mukaan asiakkaan omilla verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle päivämäärällä 21.11.2020 kello 12:52 lähetettyyn aktivointikoodiin perustuen. Tämän jälkeen Asiakkaan omilla verkkopalvelutunnuksilla (verkkopalvelun käyttäjätunnus sekä edellä mainitun pankin mobiilisovelluksen pin-koodi) on aktivoitu asiakkaan nimiin uusi X-sovellus, jonka vahvalla tunnistamisella reklamoidut maksut ovat vahvistettu. X-sovellus hakee asiakkaan pankin maksukortit sovellukseen automaattisesti, kun pankin asiakas on asentanut X:n käyttäen vahvaa sähköistä tunnistautumista. Vahvasti sähköisesti tunnistautuneella käyttäjällä ei siis tarvitse olla tiedossaan korttinumeroita, jotta ne voitaisiin liittää sovellukseen ja käyttää niitä maksamiseen.
Asiakasta ei ole hyvitetty reklamoinnin perusteella. Kaikki asiakkaalle aiheutunut vahinko on todettu jäävän asiakkaan itsensä vastuulle.
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla ennen väärinkäytöksen tapahtumista:
28.10.2020 Huijarit kalastelevat verkkotunnuksia vedoten tilin todentamiseen
21.10.2020 Huijarit kalastelevat verkkopankkitunnuksia luottamuksellisilla sähköposteilla
8.10.2020 Huijarit kalastelevat asiakkaiden tietoja viitaten hyvityslaskuun
8.6.2020 Huijarit kalastelevat asiakkaiden tietoja OP Ryhmän nimissä
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.
Sääntely ja sopimusehdot
Pankki viittaa tunnistuslain 27 §:än, maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.
Asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan
"Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan, joka ei ole lievää laiminlyönyt tunnistuslain 27 §:n 1 momentin ja verkkopalvelutunnusten mukaisia velvollisuuksiaan.
Asian arviointi
Asiaan vaikuttavan lainsäädännön ja sopimusehtojen mukaisesti asiakas vastaa verkkopalvelutunnustesan huolellisesta säilyttämisestä, koska viime kädessä ainoastaan tunnistusvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään (tai vahvaa sähköistä tunnistamisvälinettään) on säilyttänyt tai käyttänyt.
Pankki on useaan otteeseen vuoden 2020 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen verkkopalvelutunnustensa turvallisesta käytöstä. Lisäksi on tämän kyseisen reklamaation osalta huomioitavaa, että asiakas on ollut jo aikaisemmin vuoden 2020 kesällä verkkopalvelutunnuksiinsa liittyvän väärinkäytöksen uhrina.
Pankin käytössään olevan tiedon perusteella on todettavissa, että väärinkäytökset ovat toteutettu hyödyntäen uuteen laitteeseen asennettua uutta pankin mobiilisovellusta, jolla on aktivoitu X-sovellus. Reklamoidut korttimaksut ovat vahvistettu tämän sovelluksen vahvalla tunnistamisella.
Tapauksessa on siten riidatonta, että reklamoidut maksut tehneellä ja uuden pankin mobiilisovelluksen luoneella taholla on ollut käytössään ensin myös asiakkaan pankin verkkopalvelutunnuksen kaikki osat eli käyttäjätunnus, salasana sekä avainlukulistan vaihtuva numero.
Asiakas ei pysty selvityksessään ottamaan kantaa siihen, että miten ja missä yhteydessä hänen verkkopalvelutunnuksensa kaikki osat joutuneet huijarien käsiin. Asiakas epäilee, että tämä marraskuun 2020 huijaus liittyy jotenkin jo aikaisemmin vuoden 2020 kesällä tapahtuneeseen väärinkäytökseen ja että tällöin vaarantuneita asiakkaan verkkopalvelutunnuksia olisi jotenkin käytetty uudestaan vahinkoa aiheuttaen.
Pankki toteaa, että asiakkaan verkkopalvelutunnuksiin liittyvässä aikaisemmassa väärinkäytöksessä huijareiden käyttöön päätyneillä tiedoilla asiakkaan verkkopalvelutunnuksista (mukaan lukien tuolloin vahvistettu uusi pankin mobiilisovellus uuteen laitteeseen), ei ole ollut mitään vaikutusta tämänkertaisen väärinkäytökseen toteutumiseen. Näin on jo pelkästään siksi, että asiakkaan vanha verkkopalvelusopimus (verkkopalvelusopimukseen perustuvat verkkopalvelutunnukset kaikkine osineen) ja vahvistuspuhelinnumerokin ovat ensimmäisen väärinkäytöksen jälkeen vaihdettu ja poistettu. Asiakkaalla on siten ollut käytössään kokonaan uusi verkkopalvelutunnus kaikkine sen osineen ja uusi lisävahvistusnumero.
Jäänee asiakkaan tällä kertaa antaman selostuksen perusteella kokonaan vailla selvitystä, että miten ja missä olosuhteissa kokonaan uusittu verkkopalvelutunnus kaikkine osineen on päätynyt huijareille. Selvää on kuitenkin se, että huijarit eivät ole voineet saada tietoonsa uuden verkkopalvelutunnuksen kaikkia osia muualta kuin asiakkaalta itseltään, tai asiakkaan menettelyyn perustuen.
Lisäksi jo aiemmin mainitusti on asiakkaalle haettu tämänkertaisenkin väärinkäytöksen yhteydessä jälleen uusi pankin mobiilisovellus perustuen uuteen, vain asiakkaan lisävahvistusnumeroon lähetettyyn aktivointikoodiin.
Tälläkään kertaa jo asiakkaan uudenkin verkkopalvelutunnuksen kaikki osat tietoonsa saanut huijari ei ole voinut saada käyttöönotettua uutta pankin mobiilisovellusta ilman vain asiakkaalle itselleen lähetettyä viisinumeroista aktivointikoodia.
Pankin järjestelmiin tallentuneiden tietojen perusteella on riidatonta, etteikö uuden mobiilisovelluksen liitoksesta lähetetty (englanninkielinen) viesti olisi lähetetty vain asiakkaan itsensä käyttämään puhelinnumeroliittymään. Puheena oleva uuden mobiiliavaimen aktivointikoodi on lähetetty 21.11.2020 ainoastaan asiakkaan lisävahvistusnumeroon.
Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä reklamoidut maksut tehneelle taholle, eikä näin ole voinut tapahtua ilman asiakkaan omia toimia (ts. asiakas itse on jälleen luovuttanut myös uuden mobiiliavaimen liittämiseen tarvittavan aktivointikoodin), on toimintaa kokonaisuutena arvioituna pidettävä vähintäänkin tunnistuslain tarkoittamana huolimattomana niin, että huolimattomuus ei ole lievää. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, että se ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö ja siitä aiheutunut 3.277,63 euron vahinko jäävät kokonaisuudessaan asiakkaan omalle vastuulle.
Mikäli katsottaisiin, että pankin verkkotunnuksia on käytetty tapauksessa maksuvälineenä, pankki katsoo asiakkaan laiminlyöneen maksupalvelulain ja verkkopalvelusopimuksen ehtoja törkeän huolimattomasti. Huolimattomuuden on katsottava olevan törkeää viimeistään silloin, kun asiakas on luovuttanut tekstiviestillä saamansa aktivointikoodin ulkopuoliselle. Tekstiviestissä on kerrottu, että asiakas on aktivoimassa pankin mobiilisovellusta. Tekstiviestin sisältö on ollut seuraava: "You're about to enable the Mobile key in device Apiru. Confirm enabling in your mobile app with activation code 87 520. [Pankki]." Tekstiviesti on lähetetty ainoastaan asiakkaan lisävahvistuksessa käyttämään puhelin-liittymänumeroon.
Asiakkaan huolellisuusvelvollisuutta ovat vain nostaneet ne tosiseikat, että toisin kuin asiakkaalle aikaisemmin lähetetyt, asiakkaan omaan toimintaan perustuvat, viestit, on huijaukseen liittyvä aktivointiviesti lähetetty englannin kielellä (johtuen huijarin käyttämistä kielivalinnoista). Lisäksi asiakas on ollut jo aikaisemmin vuoden 2020 kesällä verkkopalvelutunnuksiinsa liittyvän väärinkäytöksen uhrina.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Verkkopalvelusopimus (Sopimuspäivämäärä 13.1.2003, Muutospäivämäärä 24.6.2020)
- Verkkopalvelusopimus (Sopimuspäivämäärä 15.6.2020, Muutospäivämäärä 24.6.2020)
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuvan siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan
Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.)1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen in-ternetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:
[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan
Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuo-lelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]
Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.
Asian arviointi
Selvyyden vuoksi Pankkilautakunta toteaa tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta. Näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.
Pankkilautakunta toteaa vastuun kortin ja pankkitunnusten huolellisesta säilyttämisestä ja käyttämisestä olevan maksupalvelulain ja tunnistuslain sekä korttiehtojen ja pankkitunnusehtojen mukaan kortin ja tunnusten haltijalla. Tämä on luonnollista ottaen huomioon sen, että viime kädessä - riippumatta esimerkiksi kortin tai tunnusten myöntäjän ohjeistuksesta tai niitä koskevien sopimusten ehdoista - ainoastaan kortin tai tunnusten haltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän korttiaan ja tunnuksiaan säilyttää ja käyttää.
Tilanteissa, joissa maksuvälinettä on käytetty oikeudetta, on maksuvälineen haltijan ja maksuvälineen myöntäjän välisen vastuunjaon kannalta pääsääntöisesti ratkaisevaa se, kuinka huolellisesti maksuvälineen haltijan voidaan katsoa menetelleen maksuvälineensä suhteen. Jotta maksuvälineen haltijan huolellisuutta voitaisiin arvioida, on saatava selvitystä siitä, missä olosuhteissa ja millä tavoin hän on maksuvälinettään säilyttänyt ja käyttänyt ja miten se on päätyneet ulkopuolisen haltuun/tietoon/käyttöön. Parhaat mahdollisuudet selvityksen antamiseen on lähtökohtaisesti maksuvälineen haltijalla ja hänen vaatiessa maksuvälineen myöntäjää ottamaan vastuun maksuvälineen oikeudettomasta käytöstä, voidaan maksuvälineen haltijan edellyttää antavan oman selvityksensä tapahtumista ja omasta menettelystään. Tietoa tapahtumienkulun yksityiskohdista ei aina ole mahdollista saada eikä myös maksuvälineen haltijalta voida edellyttää, mutta hänen voidaan aina edellyttää antavan selvityksen tapahtumista ja omasta menettelystään.
Tässä tapauksessa pankki on esittänyt yksityiskohtaisen teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet ensin aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen ja tämän jälkeen X-sovelluksen, jolla riidanalaiset korttimaksut on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Asiakkaan mukaan hän ei ole saanut tapahtumapäivänä mitään pankin epäilemiä yhteydenottoja eikä myöskään pankin selvityksen mukaista aktivointikoodin sisältänyttä tekstiviestiä. Asiakas epäilee, että tapahtunut liittyisi hänen kokemaansa kesäkuussa 2020 tapahtuneeseen väärinkäytökseen, mutta muutoin tapahtunut on asiakkaan mukaan hänelle täysi mysteeri.
Pankkilautakunta katsoo pankin esittämän selvityksen perusteella ja koska asiakkaan verkkopalvelusopimus - ml. kaikki pankkitunnusten osat sekä tunnukseen liitetty vahvistuspuhelinnumero - on uusittu kesäkuussa 2020 tapahtuneen väärinkäytöksen jälkeen, ettei nyt riidanalaisena olevalla väärinkäytöksellä ole asiakkaan epäilemää yhteyttä kesäkuun 2020 tapahtumiin.
Pankkilautakunta katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen perusteella olennaisilta osin epäselväksi. Pankkilautakunnan ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettomien korttitapahtumien toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä rikollisten tietoon saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.
Lopputulos
Ohjesääntönsä mukaan Pankkilautakunta voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Lautakunta katsoo, että tässä tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä lautakunta näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan kortin oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää. Keskeisen tapahtumainkulun jäädessä tällä tavoin epäselväksi Pankkilautakunta päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Laine
Pulkkinen