Tapahtumatiedot
Asiakas on saanut 2.5.2021 klo 16.51 tekstiviestin, jossa on lukenut seuraavaa: ”Varotoimenpiteenä korttisi on estetty.
Vahvista henkilöllisyytesi aktivoidaksesi korttisi: suomi-[pankki].net”
Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla syöttänyt korttitietojaan ja pankkitunnuksiaan.
Pankki on lähettänyt asiakkaalle 2.5.2021 klo 17.05 pankin mobiilisovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin. Asiakas on syöttänyt aktivointikoodin em. sivustolle.
Rikolliset ovat asiakkaan verkkopankkitunnuksia ja em. aktivointikoodia käyttäen aktivoineet laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen. Mobiilisovelluksella on ensin tehty muutos asiakkaan kortin turvarajaan 2.000 eurosta 40.000 euroon 2.5.2021 klo 17.06. Asiakkaan korttitiedoilla on tämän jälkeen klo 17.07 tehty 8.700,00 euron korttimaksu, joka on vahvistettu em. pankin mobiilisovelluksella.
Asiakkaan Visa Electron -kortti on laitettu väliaikaiseen käyttöestoon puhelinpalvelussa 2.5.2021 klo 17:12. Kortti on suljettu lopullisesti 3.5.2021 klo 13:42. Em. pankin mobiilisovellus on suljettu 2.5.2021 klo 17:11.
Asiakkaan valitus
Asiakas vaatii, että pankki korvaa häneltä viedyt 8.700 euroa.
Asiakas maksoi verkkopankissaan vuokransa 2.5.2021 klo 16.51 ja kirjautui ulos verkkopankista. Heti tämän jälkeen hän sai pankilta tekstiviestin, jossa pyydettiin vahvistamaan henkilöllisyys, koska kortti oli estetty.
Asiakas aukaisi tekstiviestin linkin, joka johdatti hänet pankin verkkopankki-sivuille, jossa pyydettiin täyttämään henkilötiedot ja pankkikortin Visa Debit -tunnukset.
Kun asiakas tämän jälkeen yritti varmentaa tietonsa avainlukulistaa käyttäen, verkkopankkisivut ehdotti asiakkaalle pankin mobiilisovelluksen käyttöönottoa vaivaamattomaan laskun maksuun. Tämän jälkeen asiakas sai englanninkielisen tekstiviestin puhelimeensa. Asiakas suomensi tekstiviestin Google-kääntäjässä.
Kun asiakas oli kirjoittanut aktivointikoodinumeron verkkopankin sivuille, asiakas oletti, että pankkikortti oli nyt aktivoitu. Asiakas ei ymmärtänyt, mistä kohtaa hän voisi varmistaa korttinsa aktivoinnin.
Asiakas kirjasi itsensä ulos verkkopankista. Hetken kuluttua hän yritti uudestaan varmistaa korttinsa aktivoinnin verkkopankissa, mutta ei päässyt kirjautumaan sisälle. Pääsy oli estetty.
Seuraavana päivänä maanantaina 3.5.2021 klo 10.00 asiakas meni pankkiin pankkivirkailijan luo. Siellä he pääsivät kirjautumaan verkkopankkiin ja huomasivat, että asiakkaan tililtä oli poistunut 8.700 euroa BINANCE INTERNETille. 8.700 euroa näkyi tilillä vielä katevarauksena, mutta tiistaina 4.5.2021 rahat oli veloitettu pois tililtä.
Pankin vastine
Kyseessä oleva 8.700 euron suuruinen korttitapahtuma on mahdollistunut asiakkaan luovutettua maksun tekemiseen tarvittavat tiedot ulkopuoliselle.
Asiakas on kertonut saaneensa huijaustekstiviestin numerosta 40950 ja seuranneensa linkkiä sivulle, johon hän on syöttänyt henkilötietonsa ja pankkikorttinsa tunnukset. Kyseinen tekstiviesti ei ole ollut pankin lähettämä. Yrittäessään varmentaa tapahtumaa avainlukulistallaan, ehdotti sivusto pankin mobiilisovelluksen ottamista käyttöön.
Ulkopuolinen taho on hyödyntänyt asiakkaan huijaussivustolle syöttämiä tunnuksia aktivoidakseen laitteelleen pankin mobiilisovelluksen. Pankki on lähettänyt 2.5.2021 17:04 asiakkaalle asiakkaan tietoihin merkittyyn lisävahvistusnumeroon pankin mobiilisovelluksen aktivointikoodin: "You're about to enable the Mobile key in device [pankki]. Confirm enabling in your mobile app with activation code 54352. [pankki]". Asiakas on FINElle lähettämässään sähköpostissa kertonut kääntäneensä mobiiliavaimen aktivoinnista kertovan tekstiviestin Google Kääntäjässä.
Asiakas on kertomansa mukaan myös syöttänyt tekstiviestissä annetun mobiiliavaimen aktivointikoodin huijaussivustolle, jonne päätyi tekstiviestitse lähetettyä linkkiä seuraamalla. Asiakas on luovuttanut sekä verkkopalvelutunnukset ja mobiilisovelluksen aktivointikoodin että Visa Electron -korttinsa tiedot niiden käyttöön oikeudettomalle. Ulkopuolisella on pankin mobiilisovelluksen aktivointikoodin luovuttamishetkestä lähtien ollut mahdollista käyttää asiakkaan verkkopalvelua ja maksukorttia etämyyntiympäristössä samalla tavalla kuin asiakkaalla itselläänkin on.
Kiistanalaisen korttitapahtuman yhteydessä maksunsaaja on korttia käytettäessä asianmukaisesti, esim. korttiyhtiöiden sääntöjen mukaisesti, varmistunut asiakkaan oikeudesta käyttää korttia ja pankki on edellyttänyt maksajan vahvaa tunnistamista.
- katevarauskysely 8.700,00 eur, Binance, on saanut myönteisen vastauksen 2.5.2021 klo 17:07:37. Tapahtuma on vahvistettu laitteella "[pankki]" aktivoidulla pankin mobiilisovelluksella 2.5.2021 klo 17:07:26.
Asiakkaan kiistämä korttimaksu on tehty Visa Electron -kortilla. Korttimaksun suorittaminen on edellyttänyt sitä, että maksuvälinettä käyttäneellä henkilöllä on ollut tiedossaan korttinumero kokonaisuudessaan, kortin voimassaoloaika, sekä korttiin liitetty CVV2 -luku. [Pankki].fi tai [pankki]-mobiilissa nähtävillä on kortin voimassaoloaika sekä kortin numero PCI D55 (Payment Card Industry Data Security Standard) -muodossa 123456xxxxxx1234. Kortin peitetyt numerot ja korttiin liitetty CVV2 -tieto ovat päätyneet korttimaksun tehneen henkilön tietoon asiakkaan syötettyä ne huijaussivustolle. Korttitapahtuman yhteydessä kortinkäyttäjä on tunnistettu vahvasti maksupalvelulain edellyttämällä tavalla asiakkaan verkkopalvelutunnuksilla (käyttäjätunnus + salasana) sekä asiakkaan ulkopuolisen käyttöön aktivoimalla pankin mobiilisovelluksella "[pankki]".
Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä maksut tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä törkeän huolimattomana. Arviossa erityistä huomiota on kiinnitetty asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn aktivointikoodin luovuttamiseen siitä huolimatta, että tekstiviestissä on nimenomaisesti kerrottu koodin koskevan mobiiliavaimen asentamista. Lisäksi pankki on useaan kertaan varoittanut tällaisesta urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla.
Edellä mainituilla perusteilla pankki katsoo, että pankki ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää kokonaisuudessaan asiakkaan vastuulle.
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen väärin käytöksen tapahtumista:
16.4.2021 Huijareita liikenteessä — älä koskaan luovuta tunnuksiasi ulkopuoliselle
23.3.2021 Huijaustekstiviestejä ja -sähköposteja [pankin] nimissä
2.3.2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
8.2.2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 3.5.2021)
- Kuvakaappaukset asiakkaan 2.5.2021 saamista tekstiviesteistä klo 16.51 (rikollisten pankin nimissä lähettämä viesti) ja klo 17.04 (pankin lähettämä mobiilisovelluksen aktivointikoodin sisältänyt viesti)
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan kortin oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoite-rivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Määritelmät -kohdan mukaan:
[Pankki]-verkkopalvelut ovat [Pankki] Ryhmään kuuluvien pankkien asiakkaille tarkoitettuja sähköisiä asiointikanavia. Näitä asiointikanavia ovat mm. [pankki].fi -palvelu, [pankki]-mobiili, pda.[pankki].fi, sekä [Pankki] xxxx xxxx puhelinpalvelu. [Pankki]-verkkopalveluihin ei kuulu yritysasiakkaille tarkoitetut Yrityspalvelut, joiden käytöstä sovitaan erikseen. [Pankki]-verkkopalveluita voidaan käyttää mm. tietokoneen ja puhelimen avulla. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan.
Tunnukset ovat [pankin] verkkopalvelutunnukset tai [Pankki] palvelutun-nukset. Ne koostuvat toisiinsa liitetyistä, Palveluntarjoajan osittain tai kokonaan tarjoamista elementeistä, joita voivat olla esimerkiksi käyttäjätunnus, salasana sekä erilaiset vahvistusvälineet. Tunnuksilla tarkoitetaan myös muita Palveluntarjoajan tarjoamia varmenteita tai tunnistusvälineitä tai Muun palveluntarjoajan Asiakkaalle tarjoamia tunnistusvälineitä, jotka Palveluntarjoaja hyväksyy.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan
Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella. SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]
Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla huijaussivuilla asiakas on syöttänyt korttitietojaan ja verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle [pankki]-nimiselle laitteelleen.
Uuden mobiilisovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle mobiilisovelluksensa aktivointikoodin sisältäneen englanninkielisen tekstiviestin. Asiakas on laittanut tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevan korttimaksun rikolliset ovat tehneet asiakkaan korttitietoja oikeudetta käyttäen ja em. pankin mobiilisovelluksella vahvistaen.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
Korttiehtojen mukaan asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville ja asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoiterivillä olevasta lukon kuvasta.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnus- ja korttiehtojen mukaisia velvollisuuksiaan käyttäessään korttitietojaan ja pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.
Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön tai asiakkaan puhelimessa näkyneen lähettäjän numeron taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
Pankkilautakunta kiinnittää tässä erityistä huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle sähköisellä tavalla lähetetyn linkin kautta, Pankkilautakunnan tietojen mukaan pankki tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat voivat itse kuitenkin joissain tilanteissa lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Tämä pankin toimintatapa voi osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan aktivoidakseen pankin turvallisuussyistä väliaikaisesti sulkeman korttinsa - käyttänyt pankkitunnuksiaan ja korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien kortti- ja pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon sen, että asiakas on tässä tapauksessa ymmärtänyt englanninkielisessä tekstiviestissä olleen aktivointikoodin liittyneen hänen - pankin turvallisuussyistä estämän - korttinsa uudelleen aktivointiin, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan kortin oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu kortin oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen kortin oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Atrila, Laine, Pulkkinen