Tapahtumatiedot
Asiakas on joutunut 9.11.2020 Microsoftin nimissä tehdyn huijauksen uhriksi, asiakas on antanut hänelle soittaneille etäyhteyden tietokoneelleen ja kirjautunut heidän pyynnöstään verkkopankkiinsa. Tapahtuneen seurauksena asiakkaan verkkopankissa on klo 11.51 korotettu asiakkaan luottokortin luottoraja 5.000 eurosta 11.000 euroon, klo 11.52 siirretty luottokortilta 11.000 euroa asiakkaan käyttötilille ja klo 12.06 tehty käyttötililtä 10.900 euron tilisiirto Viroon. Luottorajan korotushakemus ja tilisiirto ovat vahvistettu asiakkaan verkkopankkitunnusten avainlukulistan avainluvuilla, joiden järjestysnumerot pankki on ilmoittanut asiakkaan puhelinnumeroon lähettämässään tekstiviestissä.
Ennen em. tapahtumia on asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja avainlukulistan luku) käyttäen ja pankin asiakkaan puhelinnumeroon klo 11.41 lähettämässä tekstiviestissä olleella aktivointikoodilla aktivoitu käyttöön pankin mobiilisovellus [Asiakkaan etunimi] iphone 12 -nimiselle laitteelle. Ko. sovellusta on käytetty ainoastaan pankin mobiilipankkiin kirjautumiseen klo 11.42. Tämän jälkeen klo 11.48 asiakkaan verkkopankkiin on kirjauduttu asiakkaan avainlukulistaa käyttäen.
Pankki on lukinnut asiakkaan verkkopalvelutunnukset ja avainlukulistan klo 12:06 suoritetun tilisiirron jälkeen, kun väärinkäyttöä on epäilty. Pankin mobiilisovellus, joka oli liitetty [Asiakkaan etunimi] iphone 12 -nimetylle laitteelle, on poistettu käytöstä klo 13:33, kun pankki on tavoittanut asiakkaan.
Asiakas on reklamoinut tapahtumista pankille, joka ei ole katsonut olevansa asiassa korvausvelvollinen. Asiakkaan saatettua riita-asian Pankkilautakunnan käsiteltäväksi, pankki on vastineessaan ilmoittanut asiakkaan kortin luottorajan korotuksen hyväksymiseen osaltaan vaikuttaneen pankin järjestelmässä ollut virhe, jota ilman pankki olisi hyväksynyt luottorajan korotuksen 6.000 euroon asti. Tämän vuoksi pankki korvasi asiassa aiheutuneen vahingon asiakkaalle 6.000 euroa ylittävältä osalta, eli 4.900 euroa.
Asiakkaan valitus
Asiakas ei ole tyytyväinen pankin vastaukseen, kylläkin mielissään, että pankki myöntää virheen omaltakin puoleltaan. Asiakas vaatii, että pankki korvaa asiakkaan menetyksen 5.000 euron luottorajaan saakka eli korvaus olisi silloin 5.900 euroa 4.900 euron sijasta.
9.11.2020 asiakas sai Microsoftin nimissä puhelinsoiton, jossa pyydettiin asiakkaan apua hakkeroinnin selvittämiseksi. Asiakas ei tiennyt esim. median kautta mitään tämän kaltaisesta toiminnasta eikä ollut myöskään pankin taholta saanut varoitusta. Asiakas oli hyväuskoinen ja luuli aidosti, että pääsee auttamaan rikollisten kiinni saamisessa. Asiakas toimi sen mukaan mitä pankki kirjoittaa päätöksessään. Syy, miksi asiakas ei ollut huolissaan mahdollisesta rahojen menettämisestä ja niin urhoollisesti oli ottamassa kiinni voroja, oli, että asiakkaalla ei ollut pankkitilillään juurikaan rahaa, koska oli keskellä isoa remonttia. Rahat eivät häipyneet suoraan asiakkaan pankkitililtä, vaan hakkerit nostivat asiakkaan luottokorttirajaa 5.000 eurosta 11.000 euroon ja siirsivät luottokortilta 11.000 euroa käyttötilille ja sieltä edelleen 10.900 euroa Viroon. Rikos valkeni asiakkaalle varsin nopeasti ja asiakas ilmoitti asian välittömästi pankille, joka lupasi yrittää estää rahojen siirtoa eteenpäin, muttei onnistunut.
Asiakas on ollut asiasta järkyttynyt eikä muista varmuudella kaikkia yksityiskohtia. Rikolliset pyysivät luomaan heille näkymän asiakkaan tietokoneen kuvaruudulle, kuten esim. asiakkaan työpaikan mikrotuki on monesti aikoinaan tehnyt. He näkivät kaiken, mitä asiakas teki tietokoneen kuvaruudulla. Pankkitileillä ei ollut heille rahaa ryövättäväksi eikä asiakas muista, avasiko hän luottokorttinsa tilannetta näytölle, mutta joka tapauksessa asiakas on näppäillyt käyttäjätunnuksensa ja salasanan sekä tunnuslukukortista asianomaisen numeron, jotta on päässyt tili- ja luottokorttitietoihin. Asiakas ei muista lainkaan, että rikollisten taholta olisi mainittu, että asiakas nostaisi luottorajaa, vaan ovat kysyneet vain tunnuslukuja ja käyttäneet niitä sitten omalla tavallaan. Asiakas ei olisi lähtenyt antamaan heille tunnuslukuja, jos ne olisi käytetty luottorajan nostamiseen. Itse tunnuslukukortin tietoja asiakas ei ole heille näyttänyt eikä muistaakseen myöskään kertonut. Asiakas on vain näppäillyt vaaditun tunnuslukukortin numeron. Asiakas ei valitettavasti muista tämän tarkemmin, missä järjestyksessä asiat ovat eksaktisti menneet, sillä oli kiire päästä hakkereiden jäljille.
Asiakas ei ymmärrä miten voi olla mahdollista, että luottorajan nostaminen onnistuu noin vain. Asiakas myöntää toimineensa hyväuskoisesti ja tyhmästi, mutta katsoo kuitenkin, että jatkaakseen soittajien kanssa 'rosvojen jahtaamista' hän olisi voinut 'lähettää' rahaa vain silloin voimassa olleen 5.000 euron luottorajan verran.
Pankin vastine
Asiakas kertoo vastaanottaneensa puhelun Microsoftin nimissä, jossa soittaja kertoi selvittävänsä asiakkaan pankkitileille kohdistuvaa hakkerointia. Asiakas kertoo asentaneensa ohjelman, jonka avulla puhelun soittaja pääsi näkemään asiakkaan näytön, kun hän kirjautui pyynnöstä verkkopankkiin henkilökohtaisilla verkkopalvelutunnuksillaan.
9.11.2021 on aktivoitu käyttöön pankin mobiilisovellus laitteelle [Asiakkaan etunimi] iphone 12. Mobiilisovelluksen aktivointi viimeistellään syöttämällä tekstiviestitse asiakkaan lisävahvistusnumeroon lähetetty aktivointikoodi, joka on lähetetty asiakkaan numeroon 9.11.2020 11.41. Aktivointikoodin avulla on otettu mobiiliavain käyttöön ja käyttöönotettua mobiiliavainta on käytetty ainoastaan mobiilipankkiin kirjautumiseen klo 11.42. Tämä mobiilisovellus on poistettu käytöstä klo 13:33.
[Pankki].fi palveluun on kirjauduttu avainlukulistaa käyttäen klo 11:48. Luottorajan korotusta koskeva vahvistuspyyntö on lähetetty klo 11:50 ja vahvistus on vastaanotettu klo 11:51. Siirto luotolta käyttelytilille on tehty 11:52. Tilisiirtoa Viroon koskeva vahvistuspyyntö on lähetetty klo 12:03 ja vahvistus on vastaanotettu klo 12:06.
Asiakkaan verkkopalvelutunnukset ja avainlukulista on lukittu 12:06 suoritetun tilisiirron jälkeen pankin toimesta, kun väärinkäyttöä on epäilty. Pankin mobiilisovellus, joka oli liitetty [Asiakkaan etunimi] iphone 12 -nimetylle laitteelle on poistettu käytöstä klo 13:33 kun asiakas on saatu tavoitettua.
Ko. tapahtumien yhteydessä on käytetty kaksi avainlukua asiakkaan avainlukulistasta, toisella on vahvistettu luottorajan korotus ja toisella tilisiirto Viroon. Seuraavat viestit on lähetetty asiakkaan numeroon:
- Olet ottamassa [pankin mobiilisovelluksen] käyttöön laitteeseen [Asiakkaan etunimi] iphone 12. Vahvista käyttöönotto mobiilisovelluksessa aktivointikoodilla 02281. [pankki]
- Olet tekemässä muutosta maksukorttiisi. Vahvista muutos palvelussamme avainlukulistan järjestysnumeroa 270 vastaavalla avainluvulla. [pankki]
- 10 900,00 EUR tilille EEXX XXXX XXXX XXXX XXXX. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 16 vastaavalla avainluvulla. [pankki]
Pankki katsoo reklamoidun summan jäävän asiakkaan vastuulle verkkopalveluehtoihin sekä yleisiin korttiehtoihin perustuen. Reklamoitu siirtotapahtuma on mahdollista vain henkilökohtaisilla verkkopalvelutunnuksilla. Asiakas on luovuttanut puhelun aikana etäyhteyden näyttöönsä ulkopuoliselle, mikä on johtanut siihen, että kaikki asiakkaan tietokoneella tekemät toimet on ollut ulkopuolisen havaittavissa sekä näin ollen asiakas on antanut heille mahdollisuuden saada tietoonsa verkkopalvelutunnuksensa. Tällainen etäyhteyden antaminen rinnastuu siihen, että asiakas käyttää tunnuksiaan siten, että ulkopuolisella on mahdollisuus saada tunnukset tietoonsa ilman aktiivisuutta. Toimintaa on tässä tapauksessa kokonaisuutena arvioituna pidettävä törkeän huolimattomana. Edellä mainituilla perusteilla pankki katsoo, ettei pankki ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö jää kokonaisuudessaan asiakkaan vastuulle.
Luottorajan korotus on onnistunut, koska asiakas on itse sallinut etäyhteyden ulkopuolisille ja tässä yhteydessä myös luovuttanut verkkopankkitunnuksensa ulkopuolisen haltuun. Pankilla ei ole ollut syytä epäillä korotushakemuksella esitettyjen tietojen oikeellisuutta. Luottorajan korotuksen hyväksymiseen on kuitenkin osaltaan vaikuttanut pankin järjestelmässä ollut virhe. Ilman tuota virhettä pankki olisi hyväksynyt luottorajan korotuksen 6.000 euroon asti. Tämän vuoksi pankki korvaa väärinkäytön asiakkaalle 6.000 euroa ylittävältä osalta, eli 4.900 euroa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Sähköinen rikosilmoitus (9.11.2020)
- Syyttäjän päätös esitutkinnan rajoittamisesta (2.12.2020)
- Pankin verkkosivujen ohje luottorajan nostamiseksi
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko tilisiirtoa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Lisäksi Pankkilautakunnan on ratkaistava, vastaako asiakas pankkitunnusehtojen perusteella verkkopankissaan tehdystä ja pankkitunnuksillaan vahvistetusta luottokorttinsa luottorajan korotuksesta, ja siten asiassa aiheutuneesta vahingosta myös siltä osin kuin sitä on em. luottorajan korotus lisännyt.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista. […]
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelulain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palvelun-tarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa em. ilmoitus; tai
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä.
Sen estämättä, mitä pykälän 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta joh-du, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Lain 72 §:n (Todistustaakka.) 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehdon mukaan
Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole pankin hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxx xxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
Tunnuksia on säilytettävä huolellisesti ja erillään toisistaan siten, ettei kenelläkään, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnusten osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Asiakkaan on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnukset ovat tallessa.
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa.
[pankki]-verkkopalveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Pankkitunnusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun. […]
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan mukaan
[pankki]-verkkopalveluiden käyttö –kohdan mukaan
Asiakas tunnistautuu [pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
Asiakas voi tunnistautua [pankki]-verkkopalveluihin myös muulla Palveluntarjoajan tarjoamalla tai Palveluntarjoajan hyväksymällä Kolmannen osapuolen myöntämällä varmenteella tai tunnistusvälineellä. Jos Kolmannen osapuolen tarjoamaa varmennetta tai tunnistusvälinettä koskeva sopimus on tunnistusvälineen tai varmenteen säilyttämisen ja / tai käyttämisen osalta ristiriidassa [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisten ehtojen kanssa, sovelletaan ensisijaisesti [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisiä ehtoja.
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoite-riville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkista-maan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoite-palkin vihreänä värinä.
Asiakas ei saa antaa [pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [..]-verkkopalveluissa. Edellä sanottu ei rajoita Asiakkaan oikeutta käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.
Pankkitunnusehtojen Oikeustoimet [pankki]-verkkopalveluissa -kohdan mukaan
[Pankki]-verkkopalveluissa Asiakas voi tehdä sopimuksia sekä lähettää Palveluntarjoajalle ja Muulle palveluntarjoajalle sekä Palveluntarjoajan hyväksy-mälle Kolmannelle osapuolelle hakemuksia, antaa näille toimeksiantoja ja lähettää viestejä.
Sopimus syntyy, kun Asiakas hyväksyy Palveluntarjoajan, Muun palvelun-tarjoaja tai Kolmannen osapuolen tekemän tarjouksen tai kun Palvelun-tarjoaja tai Muu palveluntarjoaja tai Kolmas osapuoli hyväksyy ehdoitta Asiakkaan tekemän hakemuksen, ellei toisin ole ilmoitettu.
Asiakas vastaa kaikista toimista, joita on tehnyt tunnistautuneena [pankki]-verkkopalveluissa. Tunnusten käyttäminen vastaa Asiakkaan allekirjoitusta.
[…]
Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Asiakas voi antaa pankille maksutoimeksiantoja [pankki]-verkkopalveluissa.
[…]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähtevien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. Palveluntarjoaja voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankki]-verkkopalveluihin kirjautumisen jälkeen Asiakas antaa suostumuksensa maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksupainiketta. […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on harhautettuna ja uskomalla hänelle puhelimessa kerrottuun antanut rikollisille etäyhteyden tietokoneelleen ja on tämän jälkeen soittajien pyynnöstä kirjautunut verkkopankkiinsa 9.11.2021 klo 11.48.
Asiakkaan kirjauduttua verkkopankkiinsa ovat rikolliset voineet asiakkaan antamaa etäyhteyttä käyttäen tehdä verkkopankissa hakemuksen asiakkaan luottokortin luottorajan korotuksesta 5.000 eurosta 11.000 euroon. Pankkilautakunnan käsityksen mukaan asiakkaan antama etäyhteys on voinut mahdollistaa rikollisten toimimisen siten, että asiakas ei ole itse nähnyt tietokoneensa näytöllä mitä hänen verkkopankissaan on tehty.
Luottorajan korotus on edellyttänyt asiakkaan avainlukulistalla olevalla tietyllä avainluvulla tehtävää vahvistusta ja pankki on lähettänyt asiasta asiakkaalle tekstiviestin: ”Olet tekemässä muutosta maksukorttiisi. Vahvista muutos palvelussamme avainlukulistan järjestysnumeroa 270 vastaavalla avainluvulla. [pankki]”.
Asiakas ei kertomansa mukaan muista varmuudella kaikkia tapahtumien yksityiskohtia, mutta Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että asiakas on joko antanut viestissä mainittua järjestysnumeroa vastaavaan avainluvun rikollisille suullisesti puhelimessa heidän pyynnöstään tai hän on itse näppäillyt sen tietokoneellaan mahdollisesti niin, ettei hän ole nähnyt tietokoneensa näytöllä, mistä vahvistamisesta tilanteessa oli kyse.
Luottorajan korotusta koskeva vahvistus on annettu verkkopankissa klo 11:51, minkä jälkeen rikolliset ovat tehneet verkkopankissa 11.000 euron siirron luotolta asiakkaan käyttelytilille 11:52. Tämän jälkeen rikolliset ovat tehneet verkkopankissa maksutoimeksiannon Viroon, minkä seurauksena pankki on lähettänyt klo 12:03 asiakkaalle tekstiviestin: ”10 900,00 EUR tilille EEXX XXXX XXXX XXXX XXXX. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 16 vastaavalla avainluvulla. [pankki]”.
Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että joko asiakas on antanut viestissä mainittua järjestysnumeroa vastaavaan avainluvun rikollisille suullisesti puhelimessa heidän pyynnöstään, minkä seurauksena rikolliset ovat voineet vahvistaa ko. tilisiirron verkkopankissa klo 12:06, tai sitten asiakas on itse näppäillyt avainluvun tietokoneellaan mahdollisesti niin, ettei hän ole nähnyt tietokoneensa näytöllä, mistä vahvistamisesta tilanteessa oli kyse.
Asiakkaan suostumus luottorajan korotukselle ja maksutapahtuman toteuttamiselle
Tässä tapauksessa rikolliset ovat asiakasta harhaan johtamalla ja etäyhteyttä hyväksi käyttäen päässeet asiakkaan verkkopankissa tekemään korttiluoton korotushakemuksen ja luomaan ko. ulkomaanmaksua koskevan maksutoimeksiannon, joiden toteuttamiset ovat edellyttäneet pankin asiakkaalle lähettämissä tekstiviesteissä mainittuja järjestysnumeroja vastaavilla asiakkaan avainlukulistassa olevilla avainluvuilla verkkopankissa tehtäviä vahvistuksia.
Siinä tapauksessa, että asiakas olisi itse laittanut avainluvut verkkopankissaan nähtyään ensin tekstiviesteistä ja mahdollisesti myös tietokoneensa näytöllä, minkä tapahtumien vahvistamisesta on kyse, Pankkilautakunta katsoo, että asiakas on tällöin itseään sitovalla tavalla vahvistanut korttinsa luottorajan korotuksen ja pankkitunnusehtojen mukaan hän vastaa tästä toimesta. Edelleen tilisiirron osalta Pankkilautakunta katsoo, että asiakas on tällöin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja pankkitunnusehtojen mukaisen suostumuksensa maksutoimeksiannon toteuttamiselle. Kyseessä oleva maksutapahtuma ei tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton eikä käsillä siten ole perusteita pankin vastuulle aiheutuneesta vahingosta.
Siinä tapauksessa, että asiakas olisi antanut kyseiset avainluvut rikollisille eikä hän olisi itse niitä tietokoneellaan verkkopankkiinsa laittanut, Pankkilautakunta katsoo, ettei asiakas ole itse antanut verkkopankissa vahvistusta korttinsa luottorajan korotuksella taikka antanut kyseistä tilisiirtoa koskien maksupalvelulain 38 §:ssä tarkoitettua suostumustaan maksutapahtuman toteuttamiselle ja pankkitunnusehtojen mukaista suostumustaan maksutoimeksiannon toteuttamiselle.
Jälkimmäisen vaihtoehdon varalta lautakunnan on arvioitava, voidaanko asiakkaan katsoa antaneen pankkitunnuksensa kolmannelle pankkitunnusehdoissa tarkoitetulla tavalla ja luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla [tai voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on].
Pankkitunnusten ja maksuvälineen luovuttaminen
Siinäkin tapauksessa, että asiakas on puhelimessa antanut rikollisille luottorajan korottamisen ja tilisiirron toteuttamisen edellyttämät avainluvut, Pankkilautakunta katsoo, että ennen avainlukujen antamista rikollisille asiakkaan on täytynyt nähdä vastaanottamistaan tekstiviesteistä kyseessä olevan luottorajan korotuksen kohdalla hänen korttiinsa tehtävästä muutoksesta ja tilisiirron kohdalla nimenomaan maksun vahvistamiseksi annettavasta avainluvusta. Tilisiirron kohdalla asiakkaan on täytynyt myös nähdä kyseisen maksun euromäärä sekä vastaanottajan tili. Ottaen tämän lisäksi huomioon, että asiakas on tätä ennen ensin antanut hänelle soittaneille etäyhteyden tietokoneelleen ja on etäyhteyden annettuaan kirjautunut soittajien pyynnöstä verkkopankkiinsa, Pankkilautakunta katsoo, että antaessaan luoton korotuksen ja maksun vahvistamisen edellyttämät avainluvut asiakas on antanut pankkitunnuksensa kolmannelle pankkitunnusehdoissa tarkoitetulla tavalla ja on luovuttanut maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla. Pankkitunnusehtojen ja maksupalvelulain 62 §:n 1 momentin 1 kohdan mukaan myös tässä tilanteessa asiakas vastaa asiakkaan ja pankin välisessä suhteessa kolmannen hänen nimissään pankkitunnuksilla tekemistä toimista sekä pankkitunnustensa oikeudettomasta käytöstä maksuvälineenä.
Lopputulos
Pankkilautakunta katsoo saadun selvityksen perusteella, että asiakas on joko itse vahvistanut luottokorttinsa luottorajan korotuksen tai hän on antanut pankkitunnuksensa kolmannelle, joka on tunnuksia käyttäen vahvistanut korotuksen. Pankkitunnusehtojen mukaan suhteessaan pankkiin asiakas vastaa molemmissa edellä mainituissa tapauksissa verkkopankissaan tehdystä luoton korotuksesta.
Edelleen lautakunta katsoo, että asiakas on joko itse vahvistanut ko. tilisiirron ja antanut siten tilisiirron toteuttamiselle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa tai hän on luovuttanut maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla. Molemmissa edellä mainituissa tapauksissa asiakas vastaa asiakkaan ja pankin välisessä suhteessa täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä maksuvälineenä.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheejohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Laine
Pulkkinen