Tapahtumatiedot
Asiakas on joutunut Microsoftin nimissä tehdyn huijauksen uhriksi, minkä seurauksena asiakkaan yhdistelmäkortin credit-puolelta on tehty verkossa 16.1.2021 klo 11.38–12.08 yhteensä viisi onnistunutta ja asiakkaan puhelimessa olleella pankin mobiilisovelluksella vahvistettua korttitapahtumaa yhteisarvoltaan 2.164,06 euroa (4 x 217,81 €, 1 x 1.292,82 €).
Pankki on lähettänyt asiakkaalle klo 12.27 tekstiviestin pankin havaitseman epäilyttävän klo 12:08 vahvistetun korttitapahtuman johdosta. Heränneen väärinkäyttöepäilyn takia pankki on klo 12.25 myös sulkenut asiakkaan kortin väliaikaisesti.
Tämän jälkeen asiakkaan kortilla on yritetty vielä klo 12.30-12.35 tehdä kolme ostoyritystä, jotka ovat kaikki vahvistettu asiakkaan mobiilisovelluksella, mutta ovat tämän jälkeen hylätty kortille asetetun käyttöeston vuoksi.
Asiakkaan verkkopankissa on vielä klo 12.39 tehty asiakkaan korttiluotolta asiakkaan käyttötilille tilisiirto, mutta tästä ei ole aiheutunut asiassa vahinkoa.
Asiakas on soittanut sulkupalveluun klo 13.23 ja asiakkaan verkkopalvelutunnukset on lukittu klo 13.25. Asiakkaan kortti on suljettu lopullisesti klo 13.27.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan menetetyn 2.164,06 euron summan kokonaisuudessaan tai toissijaisesti siltä osin kuin tämä määrä ylittää 50 euroa.
Asiakas sai 16.1.2021 Microsoftin nimissä soitetun puhelun, jossa kerrottiin asiakkaan tietokoneen tulleen hakkeroiduksi ja asiakkaan pankkitilin olevan suuressa vaarassa joutua hakkereiden käsiin. Puhelu tuli suomalaisesta numerosta, minkä vuoksi asiakas vastasi siihen. Huijarit kysyivät, onko asiakkaan tietokoneessa kameraa, johon asiakas vastasi, ettei hänen tietääkseen ole. He ottivat koneen valtaansa. Asiakas antoi tunnuksensa, sillä hän uskoi tietokoneensa ja pankkitilinsä olevan hakkereiden vallassa. Asiakas ei muuten olisi antanut tunnuksia. Pankin mobiilisovellukseen ei tullut vahvistusta vaativaa viestiä tai korttimaksuja näkyviin, jotta asiakas olisi nähnyt tililtään lähtevien maksujen summia. Hetken päästä asiakas näki tietokoneensa näytöllä pankkisivunsa ja pieni nuoli liikkui siellä. Huijarit sanoivat, että onhan sinulla kamera. Asiakas yllättyi, sillä hän ei tiennyt siinä olevan kameraa.
Huijarit sanoivat myös, että kun pääsevät koneeseen he saavat estettyä siellä jo olevat hakkerit ja siksi näyttö välillä pimenee. Ilmeisesti juuri rahaottojen aikana tietokoneen näyttö musteni ja näytöllä näkyi vain jonkinlainen odotuskuvio, joka oli näytöllä noin 10 minuuttia. Asiakas antoi vahvistuskoodin, mutta ei nähnyt puhelimessaan tai tietokoneensa näytöllä, että tililtä olisi veloitettu mitään maksuja. Asiakas olisi varmasti tajunnut olla vahvistamatta, jos olisi nähnyt tililtään lähteviä rahasummia. Asiakas antoi tunnuslukuja tunnuslukupaperistaan ja uskoi, että hakkerit saadaan estettyä ottamasta tililtä varoja.
Puhelun aikana asiakas sai pankilta tekstiviestin, jonka mukaan asiakkaan tilillä on havaittu epäilyttäviä tapahtumia. Asiakas katkaisi heti puhelun huijareiden kanssa, soitti välittömästi pankkiin ja sulki korttinsa ja verkkopankkitunnuksensa. Asiakas vetoaakin siihen, että pankki oli tietoinen epäilyttävistä tapahtumista, koska lähetti varoitusviestin, ja asiakas reagoi heti viestin saatuaan ja ilmoitti pankille korttinsa oikeudettomasta käytöstä ilman aiheetonta viivytystä.
Toisin kuin pankki mainitsee, sulkupuhelua toisen pankin palveluun ei yhdistetty vaan asiakas itse soitti toisen pankin palveluun ja sulki pankkitunnuksensa myös siellä. Toinen pankki palautti tämän saman huijauksen yhteydessä asiakkaan toisen pankin tililtä viedyn suuremman summan. Huijarit yrittivät soittaa vielä monta kertaa uudestaan, mutta asiakas ei enää vastannut puheluihin.
Asiakas ei antanut tunnuksia huolimattomuuttaan. Asiakas uskoi tekevänsä oikein ja pelastavansa tilinsä, eikä asiakas missään vaiheessa nähnyt tai tiennyt, että tililtä oli menossa ko. summia. Asiakas ei myöskään ollut kuullut aikaisemmin Microsoft-huijaussoitoista. Asiakkaan mielestä tapaus rinnastuu Pankkilautakunnan ratkaisusuosituksessa FINE-031054 käsillä olleeseen tilanteeseen, jossa oli kyse pitkälti samanlaisesta puhelimitse tapahtuneesta Microsoft-huijauksesta, ja johon asiakas vetoaa seuraavien kohtien osalta.
Maksajan suostumus maksutapahtuman toteuttamiseen
Maksua vahvistaessaan asiakas ei nähnyt kyseisen maksun tietoja laitteensa näytöllä. Jos veloituksen summa olisi ollut näkyvillä maksua vahvistaessa, asiakas ei olisi tällaista veloitusta vahvistanut. Vaikka asiakas pystyi näkemään, että huijarit olivat päässeet tietokoneelle, asiakas ei kuitenkaan voinut nähdä tililtä tehtyjä nostoja, koska tietokoneen näyttö pimeni tapahtumien kestäessä useaan kertaan.
Asiakas ei mielestään ole antanut suostumustaan kyseisille korttimaksuille, koska ei ole vahvistusta antaessaan nähnyt korttimaksujen tietoja. Näin ollen näitä korttimaksuja on asiakkaan mielestä pidettävä oikeudettomina.
Maksuvälineen luovuttaminen
Rikolliset saivat tietoonsa asiakkaan korttien tiedot, kun asiakas harhaan johdettuna kertoi ne heille. Asiakas toimi kuitenkin tietoja antaessaan hyvässä uskossa, sillä luuli tällä tavoin toimimalla välttyvänsä pankkitilillään olevien varojen menettämiseltä. Siksi hän luuli tietojaan käytettävän johonkin muuhun kuin maksutapahtumien suorittamiseen eikä hän mielestään ole tietoisesti luovuttanut tietojaan toiselle.
Pankin vastine
Kiistatonta on, että asiakas on luovuttanut pankkitunnuksensa ulkopuolisen haltuun. Rikosilmoitukseen on kirjattu: "Sain puhelun Microsoftilta, että tietokoneeni on hakkeroitu. Pyydettiin pankkitunnuksia, annoin ne koska uskoin, että puhelu on oikeasti Microsoftilta ja pankkitilini ovat vaarassa."
Kaikki riidanalaiset korttimaksut on tehty yhdistelmäkortin Credit-ominaisuudella. Korttimaksujen suorittaminen on edellyttänyt sitä, että maksuvälinettä käyttäneellä henkilöllä on ollut tiedossaan korttinumero kokonaisuudessaan, kortin voimassaoloaika, sekä korttiin liitetty CVV2 -luku. [Pankki]-Mobiilissa sekä [Pankki].fi -palvelussa on nähtävillä kortin voimassaoloaika, sekä kortin numero PCI DSS (Payment Card Industry Data Security Standard) -mukaisessa muodossa: 123456xxxxxx1234. Fyysisen kortin etupuolelle on kohokuvioin painettu Creditin korttinumero kokonaisuudessaan, sekä kortin kääntöpuolelle on kirjoitettu korttiin liitetty CVV2 -luku. Nämä tiedot (kokonainen korttinumero tai CVV2 -luku) eivät ole saatavilla muualta kuin fyysiseltä kortilta, joka pankin tietojen mukaan ei ole ollut ulkopuolisen hallussa riidanalaisten tapahtumien ajankohtana. Näiden tietojen on siis täytynyt päätyä ulkopuolisen haltuun muulla tavalla.
Korttitapahtumista ei ole lähtenyt lisävahvistuspyyntöjä tekstiviestillä. Kaikki riidanalaiset korttimaksut on tehty lain edellyttämällä vahvalla tunnistautumisella käyttäen asiakkaan pankin mobiilisovellusta. Kyseinen mobiilisovellus on otettu käyttöön 17.9.2020. Asiakas on vastaanottanut puhelun Microsoftin nimissä 16.1.2021. Vahvistuspyynnön yhteydessä näytetään mobiililaitteen näytöllä seuraavat tiedot: "Visa Secure /Mastercard Securecode / Uusi korttimaksu / pyyntö vahvistaa Mobiiliavain-PlNillä / Veloittajan nimi / Veloitettava summa / Jos epäilet väärinkäyttöä, hylkää pyyntö. Vahvista vain pyynnöt, jotka olet itse valinnut muussa palvelussa vahvistettavaksi Mobiiliavaimella."
Mikäli asiakas ei ole itse vahvistanut seuraavia korttimaksuja omalle "[Asiakkaan etunimi]MBN" -nimetyllä laitteelleen aktivoidulla pankin mobiilisovelluksella ja siihen määrittelemällään henkilökohtaisella mobiilisovellus-PlN-koodilla, on laitteen hallinta, sekä henkilökohtainen PlN-koodi täytynyt luovuttaa ulkopuoliselle henkilölle. Pankin arvio on, että myös mobiililaitteen hallinta sekä henkilökohtainen mobiilisovellus-PIN-koodi on luovutettu ulkopuoliselle ja myös puhelimen näytöllä näkyviä tietoja on manipuloitu ulkopuolisen toimesta.
Asiakkaan selvitysten sekä pankin lokitietojen nojalla korttimaksujen onnistuminen on edellyttänyt seuraavia toimenpiteitä:
-asiakkaan tietokoneen hallinnan luovuttamista ulkopuoliselle
-asiakkaan mobiililaitteen hallinnan luovuttamista ulkopuoliselle
-verkkopalvelutunnusten (käyttäjätunnus ja salasana) luovuttamista ulkopuoliselle
-henkilökohtaisen mobiilisovellus-PIN-koodin luovuttamista ulkopuoliselle
-korttinumeron piilotettujen korttinumeroiden luovuttamista ulkopuoliselle (6 numeroa)
-kortin CVV2 tiedon luovuttamista ulkopuoliselle
Riidanalaiset korttimaksut, niiden katevarauksen ajankohta sekä ennen katevarausta tehdyn vahvan tunnistamisen ajankohdat:
· 16.1.2021 klo 11:38:48, 217,81 €, MoonPay 4771, vahvistusta pyydetty klo 11:37:22, vahvistettu 11:38:18 "[Asiakkaan etunimi]MBN" henkilökohtaisella mobiilisovellus-PIN-koodilla
· 16.1.2021 klo 11:41:37, 217,81 €, MoonPay 7453, vahvistusta pyydetty 11:40:14, vahvistettu 11:40:37 "[Asiakkaan etunimi]MBN" henkilökohtaisella mobiilisovellus-PIN-koodilla
·16.1.2021 klo 11:48:50, 217,81 €, MoonPay 7891, vahvistusta pyydetty 11:46:50, vahvistettu 11:47:49 "[Asiakkaan etunimi]MBN" henkilökohtaisella mobiilisovellus-PIN-koodilla
·16.1.2021 klo 11:55:31, 217,81 €, MOONPAY 5011, vahvistusta pyydetty 11:53:22, vahvistettu 11:55:01 "[Asiakkaan etunimi]MBN" henkilökohtaisella mobiilisovellus-PIN-koodilla
·16.1.2021 klo 12:08:21, 1292,82 €, MOONPAY 1959, vahvistusta pyydetty 12:07:27, vahvistettu 12:07:53 "[Asiakkaan etunimi]MBN" henkilökohtaisella mobiilisovellus-PIN-koodilla.
Pankki on toimittanut lokikuvan ensimmäisestä vahvistuspyynnöstä. Vastaavanlainen lokitieto on olemassa myös muista em. vahvistuspyynnöistä.
Pankki on kuvannut vahvaa tunnistautumista toimittamallaan esimerkkikuvalla. Vahvistusprosessi on ollut samanlainen kaikkien korttitapahtumien osalta, ja mobiililaitteen näytöllä on näkynyt kunkin tapahtuman yksityiskohtaiset tiedot, kuten maksunsaaja ja maksun määrä. Asiakkaan asiointikielen ollessa suomi, asiakas saa vahvistuspyynnön suomen kielellä.
Pankin korttimonitorointi on nostanut epäilyn mahdollisesta väärinkäytöstä, vaikka tapahtumat on vahvistettu vahvasti asiakkaan henkilökohtaisilla verkkopalvelutunnuksilla ja aiemmin hänen henkilökohtaisessa käytössään olleella pankin mobiilisovelluksella. 16.1.2021 Klo 12:08:21 tehdystä katevarauksesta on lähetetty klo 12:27:10 SMS-viesti asiakkaan numeroon: "Olemme havainneet [Pankki] Visa Credit/Debit -kortillasi 2898 epäilyttävältä vaikuttavan tapahtuman, jonka summa on 1292,82 ja myyjä MOONPAY 1959. Korttisi on suljettu väliaikaisesti. Vahvista osto soittamalla [Pankki] Korttiturvallisuuspalveluun XXX XXX XXXX. Palvelemme 24/7. Terveisin [Pankki]"
Heränneen väärinkäyttöepäilyn takia asiakkaan kortti suljettiin 16.1.2021 klo 12.25 väliaikaisesti ja tämän toimenpiteen takia pankki on estänyt 12.30-12.35 kolme 2.045,34 euron korttitapahtumaa. Tapahtumat on vahvistettu asiakkaan henkilökohtaisella mobiilisovellus-PIN-koodilla, mutta onnistuneen vahvistustapahtuman jälkeen tapahtumat on hylätty kortille asetetun käyttöeston vuoksi.
Tilisiirto korttiluotolta käyttötilille on tapahtunut 16.1.2021 klo 12:39:16, mutta väärinkäyttö on pystytty estämään ennen tätä. Tapahtuman suorittaminen verkkopalvelussa ei edellytä vahvistamista. Verkkopalveluun päästäkseen tulee olla asiakkaan henkilökohtaiset verkkopalvelutunnukset tiedossa (käyttäjätunnus, salasana sekä pankin mobiilisovellus ja siihen liitetty henkilökohtainen mobiisovellus-PIN-koodi tai vaihtuva avainlukulistan luku). Yleisten verkkopalveluehtojen mukaan näitä ei saa luovuttaa ulkopuoliselle. Pankin lokitietojen mukaan avainlukulistaa ei ole käytetty vahvistamiseen lainkaan 16.1.2021.
Kiistatonta on, että asiakas on luovuttanut tietokoneensa hallinnan sekä verkkopalvelutunnukset ulkopuoliselle henkilölle, joka on tekeytynyt Microsoftin työntekijäksi. Asiakas on kertonut nähneensä ulkopuolisen hallinnan aikana tietokoneen näytöllä pankkisivunsa, ja hän on samassa yhteydessä nähnyt myös osoittimen siellä liikkuvan. Tietokoneen näyttö on välillä mustunut tai näytöllä on ollut odotuskuvio, joka on asiakkaan arvion mukaan ollut näytettynä n. 10 minuutin ajan kerrallaan.
Asiakas vetoaa siihen, että on pankin lähettämän viestin saatuaan hän olisi välittömästi ollut yhteydessä sulkupalveluun. Tekstiviestin lähettämisen ja sulkupalveluun soittamisen välissä on kulunut aikaa 1 tunti 4 minuuttia. Tuon viiveen aikana vahinkoa ei kuitenkaan ole syntynyt enempää pankin tekemän väliaikaisen käyttöeston vuoksi.
Pankki kuunteli asiakkaan klo 16.1.2021 13:23 soittaman sulkupuhelun. Puhelussa asiakas kertoi olleensa 2-3 tuntia puhelimessa aamun aikana Microsoftin tueksi esittäytyneen tahon kanssa ja antaneensa ihan kaiken mahdollisen, joten puhelussa päädytään sulkemaan kaikki kortit ja verkkopalvelutunnukset. Asiakas kertoo, että hänestä ja hänen korteistansa otettiin kuvat Microsoftin tuen kanssa käydyn puhelun aikana. Sulkupuhelussa yhteydessä asiakkaan verkkopalvelutunnukset on lukittu klo 13:25 ja kortti on suljettu lopullisesti klo 13:27.
Sulkupuhelussa asiakas kertoo soittaneensa pankilta tulleen viestin johdosta. Hän kertoo myös, että hänellä on parhaillaan puhelu meneillään Microsoftin kanssa, ja että hänelle yritetään soittaa koko ajan takaisin. Puhelussa asiakas kertoo myös antaneensa toisen pankin palveluista tietoja, joten puhelu yhdistettiin lopuksi toisen pankin asiakaspalveluun.
Pankin lokien perusteella on kiistatonta, että tapahtumat on vahvistettu asiakkaan mobiililaitteelle asennetulla pankin mobiilisovelluksella. Kuka tapahtumat on vahvistanut, riippuu pankin näkemyksen mukaan siitä, onko asiakas luovuttanut mobiililaitteensa hallinnan ulkopuoliselle vai ei. Tähän kysymykseen asiakas ei ole antanut vastausta. Mikäli laitteen hallintaa ei ole luovutettu ulkopuoliselle eikä mobiililaitteelle ole asennettu applikaatioita sovelluskaupasta, on pankin näkemyksen mukaan asiakas vahvistanut tapahtumat itse. Tällöin myöskään, mikäli laitteen hallintaa ei ole luovutettu ulkopuoliselle, ei näytöllä näkyviä tietoja ole mahdollista manipuloida vaan ne ovat olleet asiakkaan nähtävillä.
Mikäli asiakas on sallinut myös mobiililaitteensa hallinnan ulkopuoliselle, pankki ei voi tietää onko mobiililaitteen näytöllä näkyviä tietoja voitu ulkopuolisen toimesta manipuloida — laite olisi mahdollisesti pitänyt tutkia esim. poliisin toimesta. Huomioon on otettava, ettei yksistään laitteen hallinnan luovuttaminen ulkopuoliselle ole riittävä toimenpide sille, että ulkopuolinen taho kykenisi vahvistamaan tapahtumia asiakkaan salaisella tunnusluvulla. Tällöin asiakkaan on tullut luovuttaa myös pankin mobiilisovelluksen salainen PIN-koodi verkkopalvelutunnustensa ja korttitietojensa lisäksi.
Koska asiakas on luovuttanut ulkopuoliselle henkilölle verkkopalvelutunnuksensa, ja näin sallinut pääsyn verkkopankkiinsa, sekä luovuttanut maksukorttinsa tiedot ja on lisäksi kertomansa mukaan seurannut omalta tietokoneeltaan, kuinka ulkopuolinen henkilö on liikuttanut hiiren osoitinta hänen verkkopankissaan, on tekoa pidettävä törkeänä huolimattomuutena. Pankki katsoo, että asiakkaan olisi pitänyt ymmärtää mitä hänen luovuttamillaan tiedoilla on mahdollista tehdä riippumatta siitä, onko hän mahdollisesti myös luovuttanut mobiililaitteensa hallinnan ja salaisen PIN-koodinsa ulkopuoliselle. Hän on kertomansa mukaan tiedot luovutettuaan seurannut omalta tietokoneeltaan hiiren osoittimen liikkumista ja ajoittaisia ruudun pimenemisiä verkkopankissaan eikä ole ilmoittanut maksuvälineiden joutumisesta ulkopuolisen haltuun ilman aiheetonta viivytystä, vaan on jatkanut puhelua, jonka kestoksi hän on ilmoittanut 2-3 tuntia.
Jotta pankki voisi estää mahdollisen väärinkäytön jatkumisen, väärinkäyttöepäilyn herättyä pankki on halunnut varmistaa kortinhaltijalta, onko hän itse tehnyt kyseisen tapahtuman, vai onko kyse väärinkäytöstä. Koska tapahtuma on tehty vahvasti tunnistautuneena asiakkaan verkkopankkitunnuksilla, pankki on arvioinut olevan todennäköisemmin kyse kortinhaltijan omasta tapahtumasta. Asiakkaan vahvistaessa oston, puretaan kortille asetettu väliaikainen käyttöesto ja asiakas voi jatkaa kortin käyttämistä.
Mikäli kyseessä on väärinkäyttö, kuten tässä, kartoitetaan puhelussa tilanne yhdessä asiakkaan kanssa ja ryhdytään tarvittaviin toimenpiteisiin. Tämän epäillyn väärinkäytön osalta 16.1.2021 klo 12:25 väliaikaisesti suljettu kortti suljettiin lopullisesti klo 13:27 ja verkkopalvelutunnukset lukittiin 16.1.2021 klo 13:25.
Korttimaksua vahvistettaessa kauppiaalta tulee tapahtuman katevarauskysely, jonka yhteydessä kortille tehdään maksua koskeva katevaraus. Kun kortin liikkeeseenlaskija on antanut katevarauspyyntöön myönteisen vastauksen, ei liikkeeseenlaskija kansainvälisten korttiyhtiöiden sääntöjen mukaan enää voi estää varsinaisen korttimaksun veloittamista ja varojen siirtymistä kauppiaalle. Ennen kuin varmennuspyyntöön on annettu myönteinen vastaus kortin liikkeellelaskijan toimesta, on pankki edellyttänyt maksajan vahvaa tunnistamista eli kortinhaltijalla on mahdollista joko vahvistaa tapahtuma käyttämällä pankin myöntämiä tunnistamisvälineitä — tai hylätä tapahtuman vahvistaminen, jolloin maksu keskeytyy. Siinä vaiheessa, kun asiakas on soittanut ja puhelussa on selvinnyt kyseessä olevan väärinkäyttö, ei tapahtumaa enää voitu estää vaan myyjäliikkeellä on ollut täysi oikeus veloittaa aiemmin 16.1.2021 klo 12:08 katevaraamansa summa. Mahdollisen eston on siis tapahduttava samanaikaisesti myyjäliikkeeltä tulevan katevarauskyselyn kanssa. Korttitapahtumista, joiden yhteydessä asiakkaan henkilöllisyys on vahvasti todennettu pankin asiakkaalle myöntämiä tunnistautumisvälineitä hyödyntäen, ei ole kansainvälisten korttiyhtiöiden sääntöjen mukaisesti myöskään jälkikäteistä takaisinveloitusoikeutta myyjäliikkeeltä.
Kiistettyjen tapahtumien yhteydessä maksunsaaja on korttia käytettäessä asianmukaisesti, esim. korttiyhtiöiden sääntöjen mukaisesti, varmistunut asiakkaan oikeudesta käyttää korttia ja pankki on edellyttänyt maksajan vahvaa tunnistamista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvat riidanalaisten korttimaksujen vahvistamista koskevista lokitiedoista
- Esimerkkikuvia korttitapahtuman vahvistusprosessista pankin mobiilisovelluksessa
- Asiakkaan 16.1.2021 ottama kuva tietokoneensa näytöstä
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. korttitapahtumille vai onko korttitapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko kortin oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja korttiehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä tunnistetiedoista. […]
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelulain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa maksuvälineen oikeudettomasta käytöstä vain, jos:
1) hän tai muu maksuvälineen haltija on luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) maksuvälineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) hän tai muu maksuvälineen haltija on laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 150 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa em. ilmoitus; tai
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä.
Sen estämättä, mitä pykälän 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Lain 72 §:n (Todistustaakka.) 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin tietojen käyttö etämaksamisessa (puhelin-, posti- ja internet-myynti) -kohdan mukaan
Asiakas voi Kortin tiedoilla maksaa etämyynnistä ostamiaan tuotteita ja palveluita.
Asiakkaan suositellaan maksavan Kortin tiedoilla ostoksia ainoastaan sellaiselle kolmannelle palveluntarjoajalle, joka on mukana Verified by Visa- tai Mastercard SecureCode -palvelussa. Kortinhaltija on tällöin velvollinen noudattamaan Verified by Visa- tai Mastercard Secure Code -palvelun antamia ohjeita.
Asiakkaan tulee antaa Kortin tiedot vain turvalliseksi tietämilleen kolmansille palveluntarjoajille. Asiakkaan tulee tutustua kolmannen palveluntarjoajan palveluun ja sen ehtoihin ennen Kortin tietojen antamista intemetsivuille, koska asiakas vastaa ehtojen mukaisista velvoitteista ja Kortin tiedoilla tehdyistä kertaluonteisista tai toistuvista korttitapahtumista. Turvallisellekaan verkossa toimivalle kolmannelle palveluntarjoajalle ei koskaan saa antaa kortin salaista tunnuslukua.
Käyttäessään Kortin tietoja asiakas on velvollinen noudattamaan [pankin] antamia ohjeita. Maksa turvallisesti verkossa -ohje on saatavilla tilipankin toimipaikoissa sekä [pankin] verkkosivuilla osoitteessa www.[pankki].fi. Turvallisen verkkomaksamisen ohjeita on myös kohdassa 17.1. (Kortista ja Kortin tiedoista huolehtiminen).
[…]
Internet-myynnissä asiakas vastaa internet-yhteyden edellyttämistä laitteista, ohjelmista ja tietoliikenneyhteyksistä, niiden toimivuudesta, käyttökustannuksista ja tietoturvasta esimerkiksi palomuurin ja virustorjunnan osalta.
Korttiehtojen Korttitapahtuman hyväksyminen. Miten voin maksaa kortilla? –kohdan mukaan
Korttia ja siihen liittyvää salaista tunnuslukua saa käyttää vain asiakas, jolle kortti on luovutettu.
[…]
Maksamisen yhteydessä on annettava Kortin tiedot joko antamalla kortti fyysisesti kortinlukijan luettavaksi tai lähimaksamisessa näytettävä korttia tai Kortin tiedot sisältävää laitetta kortinlukijalle tai etämaksamisen yhteydessä annettava maksamisessa tarvittavat tiedot: kortin numero, voimassaoloaika ja kysyttäessä kortin kääntöpuolella oleva turvaluku.
Asiakas antaa suostumuksensa korttitapahtuman toteuttamiseen joko näppäilemällä salaisen tunnusluvun maksupäätteellä tai automaatilla tai näyttämällä korttia tai Kortin tiedot sisältävää laitetta lähilukevalle maksu-päätteelle, omakätisesti allekirjoittamalla korttimaksutositteen, hyväksymällä korttitapahtuman Kortin tiedot sisältävän palvelun avulla, antamalla muulla asianmukaisella tavalla kortin tiedot, käyttämällä korttia sellaisessa maksuautomaatissa tai maksupäätteessä, joka ei vaadi tunnuslukua tai [Pankki]-verkkopalvelussa hyväksymällä korttitapahtuman, joka on tehty käyttämällä Kortin tietoja.
[…]
Asiakkaan on ennen suostumuksensa antamista tarkastettava korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus. Asiakas ei voi enää peruuttaa korttitapahtumaa sen jälkeen, kun hän on antanut edellä mainitulla tavalla suostumuksensa. [Pankilla] on oikeus veloittaa pankkitililtä tai luotolta edellä mainituilla tavoilla hyväksytyt korttitapahtumat.
Korttiehtojen Korttimaksun katevaraus ja maksun toteutus -kohdan mukaan
[Pankki] tekee maksunsaajan pyynnöstä asiakkaan hyväksymästä korttitapahtumasta katevarauksen tulevaa veloitusta varten. Veloitus purkaa tehdyn katevarauksen.
Tilipankki tekee [Pankin] puolesta katevarauksen pankkitilille silloin kun asiakas hyväksyy debit -korttitapahtuman. Tilipankki veloittaa pankkitililtä kortilla hyväksytyn summan ja tilittää sen [Pankille].
Korttitapahtuma veloitetaan korttiin liitetyltä pankkitililtä tai luotolta viimeistään korttitapahtuman vastaanottopäivää seuraavan työpäivän kuluessa. Korttitapahtuman vastaanottoajankohta on se hetki, jolloin [Pankki] on saanut maksunsaajan palveluntarjoajalta tarpeelliset tiedot korttitapahtuman toteuttamista varten. Korttitapahtuma voidaan veloittaa pankkitililtä tai luotolta saatavan yleisen vanhentumisajan puitteissa.
Ajoneuvojen vuokrausta sekä majoitus- ja matkustuspalveluja tarjoavilla yrityksillä, kuten autovuokraamoilla ja hotelleilla ja laivavarustamoilla on oikeus yleisen käytännön ja sopimusehtojensa mukaisesti veloittaa jälkikäteen ilman asiakkaan hyväksyntää laskuttamatta jääneet kohtuulliset polttoainemaksut, puhelin-, minibaari- ja ateriakulut, muut asiakkaan aiheuttamat kustannukset sekä veloitukset peruutetuista tai peruuttamatta jääneistä hotellivarauksista.
[Pankki] vastaa asiakkaalle siitä, että korttitapahtuma hyvitetään maksunsaajan palveluntarjoajalle tai kansainväliselle korttiyhtiölle. [Pankin] velvollisuus toteuttaa korttitapahtuma alkaa siitä, kun se on saanut maksunsaajan palveluntarjoajalta korttitapahtumaa koskevan toimeksiannon ja loppuu siihen, kun se on tilittänyt varat maksunsaajan palveluntarjoajalle tai kansainväliselle korttiyhtiölle.
Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.
[..]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internet-kauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoiterivillä olevasta lukon kuvasta. Lukon tulee olla tukittu. […]
Korttiehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Kortin tai laitteen ja siihen tallennettujen Kortin tietojen katoamisesta, joutumisesta sivullisen haltuun, jäämisestä automaattiin, tunnusluvun joutumisesta sivullisen tietoon tai oikeudettomasta käytöstä on viipymättä ilmoitettava [pankille]. […]
Asian arviointi
Pankkilautakunta katsoo tapauksessa selvitetyksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa korttimaksuja, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla asiakkaan puhelimessa olevalla pankin mobiilisovelluksella tehtyä vahvistusta.
Pankin antaman pankin lokitietoihin perustuvan selvityksen mukaan korttimaksut on vahvistettu asiakkaan puhelimessa olevalla pankin mobiilisovelluksella asiakkaan määrittelemällä henkilökohtaisella PIN-koodilla ja mobiilisovelluksessa on kunkin maksun kohdalla ennen maksun vahvistamista näkynyt vahvistettavan korttimaksun tiedot mukaan lukien maksun määrä ja maksun saaja sekä seuraava maininta: ”Jos epäilet väärinkäyttöä, hylkää pyyntö. Vahvista vain pyynnöt, jotka olet itse valinnut muussa palvelussa vahvistettavaksi [pankin mobiilisovelluksella]”. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Pankki on katsonut mahdolliseksi, että mikäli asiakas on verkkopalvelutunnustensa ja korttitietojensa lisäksi luovuttanut ulkopuoliselle laitteensa hallinnan ja pankin mobiilisovelluksen salaisen PIN-koodin, on ulkopuolinen taho mahdollisesti kyennyt vahvistamaan tapahtumia asiakkaan salaisella tunnusluvulla.
Asiakas ei ole tapauksessa esittänyt, että hän olisi luovuttanut laitteensa hallinnan ulkopuoliselle tai esimerkiksi asentanut soittajien pyynnöstä puhelimen hallinnan mahdollistavaa sovellusta. Näin ollen Pankkilautakunta katsoo, että asiakkaan on täytynyt itse vahvistaa ko. riidanalaiset korttimaksut puhelimessaan olleella pankin mobiilisovelluksella.
Vaikka asiakas on antanut vahvistukset puhelimessa harhaan johdettuna ja mahdollisesti epähuomiossa niin, että hän ei ole kiinnittänyt huomiota sovelluksessa näytettyihin korttimaksujen tietoihin, katsoo Pankkilautakunta asiakkaan antaneen maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen ja korttiehtojen mukaisen suostumuksensa pankille korttitapahtumien veloittamiselle kortiltaan. Näin ollen Pankkilautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle korttimaksuista asiakkaalle aiheutuneesta vahingosta.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Atrila, Laine, Pulkkinen