Uppgifter om händelseförloppet
Kunden fick följande textmeddelande 1.5.2021 kl. 13:01:
”Tilisi on lukittu.
Ratkaise: fi-[pankki].net”.
Kunden använde sina bankkoder på en webbplats som öppnades via länken och såg ut som bankens webbplats.
Med kundens bankkoder och med aktiveringskoden i ett textmeddelande som banken 1.5.2021 kl. 13:03 skickade till kundens telefonnummer aktiverades en ny bankmobilapp för en ny apparat kl. 13:04.
Med bekräftelse via appen gjordes kl. 13:10–13:12 sammanlagt 17 gireringar à 999,00 euro från kundens brukskonto. Kreditgränsen för kundens kort höjdes från 2 000 euro till 17 000 euro kl. 13:13, och från kreditkontot gjordes kl. 13:14 en 17 000 euro stor girering till kundens andra brukskonto. Från det brukskontot gjordes kl. 13:14–13:17 sammanlagt 30 gireringar à 999,00 euro. Från kundens kombikort, som kunden enligt vad hon uppgett inte hade tagit emot, överfördes den disponibla summan 1 000,00 euro till kundens konto kl. 13:22. Från kundens dotters konto, som kunden hade rätt att disponera, gjordes två gireringar (770,00 och 999,00 euro) kl. 13:23.
Kundens nättjänstkoder låstes 1.5.2021 kl.15:59 efter att kunden ringt spärrtjänsten.
Sedan ärendet inleddes vid Banknämnden har banken krediterat kunden 1 029,50 euro beträffande det kort som kunden uppgett att hon inte tagit emot. I summan ingick en avgift på 29,50 euro för överföring av kredit till bankkontot. För det missbruk som höjningen av kreditgränsen för kundens andra kort medförde har banken ersatt 15 000,00 euro, dvs. den del som översteg den ursprungliga kreditgränsen, samt hela avgiften för överföring av kredit till bankkontot 469,50 euro.
Kundens klagomål
Ersättningskravet som kunden begär från banken är 18.736 €.
Den 1.5.2021 blev kunden utsatt för grovt bedrägeri. Kunden var på sjukhus och hade tidigare samma morgon klockan 04.00 födde sin son. Kunden fick ett sms att hennes konto var låst. Helt ovetande om vilka konsekvenser det senare skulle få, använde hon länken i sms:et och via det kom hon till bankens webbplats, bankens startsidan. På startsidan som till synes var helt i sin ordning loggade hon in. Webbsidan var identisk med bankens startsidan.
När kunden var inloggad fick hon angivelse att lägga in sina kortnummer på nytt, men kunden var trött efter förlossningen och valde att logga ut. Det här är det enda som hon gjorde. Hon har inte gett ut inloggnings uppgifter åt någon som hon har haft vetskap om, hon har inte gett ut något nyckeltal åt någon och hon har inte gett ut någon aktiveringskod åt någon.
Banken skriver att kunden borde ha förstått att ett bedrägeri var på gång att ske, när hon fick aktiveringskoden skickat till sig på Engelska. Hon förstod ju inte vad det stod eller vad det gällde om i sms:et. Om banken kräver att deras kunder måste ha mycket goda kunskaper i det engelska språket, borde de väl meddela sina kunder om saken.
Bankens bemötande till FINE är ansvarslöst, missvisande och att det riktas grova anklagelser mot kunden som är helt osanna. Banken anklagar kunden att hon har givit ut användarkoden, lösordet, nyckeltalet och aktiveringskoden till bedragarna. Kunden har begärt ut samtalslistor, sms och dataöverföring från sin mobil operatör. Denna lista bevisar att kunden talat sanning hela tiden och att kunden inte skickat SMS eller användt mobilen vid brottstillfället och att bankens anklagelser är totalt grundlösa.
Vid installation av mobil-appen försäkrar banken att mobilappen är säker att använda, att man endast kan logga in på den enhet/apparat som man själv installerat mobil appen på. Vid ibruktagandet/installationen av mobil-appen krävs det att man har användarkod, lösenord, nyckeltalslistan och aktiveringskoden som banken skickar via sms när nyckeltalet är bekräftat. Bankens säkerhetsansvariga har bekräftat att man måste ha ett nyckeltal från nyckeltalslistan för att kunna installera och ta ibruk mobil appen. Bedragarna lyckades ändå komma in på kundens nätbank via mobil appen trots att de inte hade tillgång till nyckeltalslistan.
Sparkontona tömdes och kreditgränsen för kundens kreditkort höjdes utan att något nyckeltal eller någon tilläggsbekräftelse begärdes eller krävdes av kunden. Kunden har således inte godkänt eller bekräftat något av de transaktioner som har gjorts eller gett ut något nyckeltal från nyckeltalslistan eller aktiveringskoden. Kunden hade ingen vetskap om att ett bedrägeri var påväg att ske mot henne och hennes nätbank. Under den tiden som detta bedrägeri pågick, kontaktade bedragarna aldrig henne.
Mot denna bakgrund är det mycket märkligt att banken inte meddelat vilket nyckeltal som användts när bedragarna installerade mobilappen och tog den ibruk på deras egna apparat(dator, smarttelefon, platta). Det är anmärkningsvärt att banken sätter allt ansvar och skuld på en kund när det brister i bankens säkerhet. Man kan kraftigt ifrågasätta hur alla dessa betalningar kunde genomföras med tanke på hur avsevärt kontotrafiken avvek från kundens normala användning.
Bankens bemötande
Kunden reklamerade 7.5.2021 ett 34 736,00 euro stort missbruk. Utöver detta har kunden uppgett att hon aldrig tagit emot ett Visa Credit/Debit-kort. Från det kortet har det 1.5.2021 kl. 13:22 gjorts en kreditöverföring (kreditgränsen och samtidigt den disponibla krediten har varit 1 000 euro) till kontot. Ersättningen 1 000 euro har betalats in på kundens kort, och avgiften för överföring av kredit till bankkontot (29,50 euro) har krediterats. På kundens andra kort var den ursprungliga kreditgränsen 2 000 euro och det disponibla kreditbeloppet likaså 2 000 euro. Kreditgränsen höjdes 1.5.2021 kl. 13:13, och från krediten gjordes en 17 000 euro stor girering till brukskontot kl. 13:14. För det missbruk som höjningen av kreditgränsen medförde har i ersättning betalats 15 000,00 euro, dvs. den del som översteg den ursprungliga kreditgränsen, samt hela avgiften för överföring av kredit till bankkontot 469,50 euro.
Kunden har berättat att hon 1.5.2021 tog emot ett textmeddelande enligt vilket hennes nätbank hade låsts. Meddelandet innehöll en länk som ledde till en bluffwebbplats där hon loggade in. Webbplatsen bad därpå att få hennes kortuppgifter men kunden har berättat att hon inte gav dem utan loggade ut från webbplatsen. Omkring 15 minuter senare loggade kunden in i bankens mobilapp och upptäckte att hennes och dotterns konton hade tömts. Från kontona hade det gjorts flera gireringar utan att kunden själv hade godkänt dem. Kunden ringde genast till spärrtjänsten för att spärra nättjänstkoderna.
Enligt bankens uppgifter användes kundens nättjänstkoder 1.5.2021 kl. 13:04 för att aktivera en ny bankmobilapp för en ny apparat. För att appen skulle kunna aktiveras sändes till kundens telefonnummer som var kopplat till hennes koder följande textmeddelande: You're about to enable the Mobile key in device [banken]. Confirm enabling in your mobile app with activation code 60177. [banken]. Koden i textmeddelandet har skrivits in rätt i bankens mobilapp. På det sättet var det möjligt att aktivera appen.
Det gjordes 17 gireringar från kundens brukskonto FIxx xxxx xxxx xxxx 30. Varje girering var på 999,00 euro och mottagaren var ”X”. Gireringarna gjordes kl. 13:14–13:17. Det gjordes 16 gireringar från kundens brukskonto FIxx xxxx xxxx xxxx 51. Varje girering var på 999,00 euro och mottagaren var ”X”. Gireringarna gjordes kl. 13:10–13:12. Kunden har dispositionsrätt till dotterns konto, från vilket gjordes 2 gireringar (770,00 euro och 999,00 euro), mottagaren var ”X”. Gireringarna gjordes kl. 13:23.
Bankens och myndigheternas åtgärder för att varna kunder
För att förebygga missbruk har både banken och myndigheterna aktivt varnat kunderna för nätfiskekampanjer där målet är att kunderna ska lämna ut sina nättjänstkoder. Banken har på [banken].fi varnat kunderna för nätfiske, bland annat genom följande meddelanden som publicerats en kort tid före missbruket:
16.4.2021 Se upp för bedragare – lämna aldrig ut dina koder till någon
23.3.2021 Falska meddelanden i [bankens] namn
2.3.2021 Brottslingar fiskar efter nätbankskoder med sökmotorer och falska meddelanden
8.2.2021 Brottslingar fiskar efter nätbankskoder med sökmotorer och falska meddelanden
I samband med varningarna har kunderna instruerats att aldrig lämna ut sina nätbankskoder om det frågas efter dem via e-post, med ett textmeddelande eller per telefon och att inte logga in i nätbanken via en länk som kunden har fått per e-post eller med ett textmeddelande.
Reglering och avtalsvillkor
Banken hänvisar till 53 och 62 § i betaltjänstlagen samt till de allmänna villkoren för bankens koder och nättjänster
I samband med att kunden ingått avtal med banken om nättjänster har kunden också fått ett dokument med rubriken Viktig information om dina koder. Där sägs följande:
”Berätta inte dina koder åt någon per telefon eller e-post. Banken, polisen eller andra myndigheter ber aldrig om dina koder per telefon eller t.ex. e-post. Det gör endast brottslingar.
Om du ger dina koder till någon annan person eller applikation, ansvarar du ensam för all användning av dem. Koderna får användas endast i applikationer och tjänster som godkänts av [banken].”
Kunden ansvarar för hela beloppet av den skada som uppkommit genom obehörig användning av nättjänstkoderna, om den obehöriga användningen beror på att kunden på grund av vårdslöshet som inte är lindrig har försummat sina skyldigheter enligt 27 § 1 mom. i lagen om stark autentisering och betrodda elektroniska tjänster och sina skyldigheter som gäller nättjänstkoderna.
Bedömning
Kunden ansvarar för hela beloppet av en skada som uppkommit genom obehörig användning av nättjänstkoderna, om den obehöriga användningen beror på att kunden på grund av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt de allmänna villkoren för nättjänstkoder och kundens vårdslöshet anses vara grov. Kunden ansvarar för att nättjänstkoderna förvaras omsorgsfullt, eftersom det i sista hand är bara innehavaren av ett betalningsinstrument som kan påverka hur och under vilka förhållanden han eller hon har förvarat sitt betalningsinstrument.
År 2021 varnade banken flera gånger sina kunder för nätfiske. Banken anser, på basis av vad som är allmänt känt och utifrån de varningar som banken gett, att kunden bör vara medveten om hur koderna används på ett säkert sätt.
Kunden har lämnat in ytterligare material från sin operatör. I det beskrivs åtgärder som har vidtagits med kundens telefonanslutning. I materialet är det emellertid fråga om åtgärder som kunden vidtagit, därför framgår inte det text- meddelande som banken sänt. Banken har med hjälp av sina logguppgifter och sin egen operatör utrett att textmeddelandet med säkerhet skickades till det telefonnummer som är kopplat till kundens koder.
Missbruket har genomförts med hjälp av en ny mobilnyckel som installerats i en nya apparat. Efter att kunden lämnat ut alla delar av sina koder och den aktiveringskod som hon fått per textmeddelande har en utomstående alltså kunnat använda identifieringsverktyget för stark autentisering på nätet och utge sig för att vara kunden. Den utomstående har alltså haft tillgång till bankens nättjänstkod i sin helhet, som utgör kundens identifierings- och betalningsinstrument.
I fallet är det ostridigt att den som gjort betalningarna har haft tillgång till kundens nättjänstkod som banken har utfärdat. För att det ska ha varit möjligt att aktivera bankens mobilapp har aktiveraren känt till alla delar av kundens nättjänstkod: användarkod, lösenord och varierande nyckeltal i nyckeltalslistan. Dessutom har aktiveraren fått kännedom om uppgifterna i det bekräftelsetextmeddelande som sänts till det telefonnummer som är kopplat till kundens koder. Det som är centralt med tanke på bedömningen av fallet är att kunden enligt bankens uppfattning uttryckligen har samtyckt till att den nya bankmobil-appen aktiverats, eftersom banken i sitt textmeddelande uttryckligen har sagt vad koden är på väg att användas till. Textmeddelandet från banken har varit avfattat på engelska, vilket inte är det språk som kunden normalt använder i kommunikationen med banken. Om inte annat så borde denna omständighet ha väckt misstankar hos kunden. Meddelandet har skickats på engelska, eftersom den som genomfört missbruket har valt engelska som språk i bankens mobilapp. Om kunden inte har förstått vad meddelandet betyder så borde hon ha låtit bli att ge koden, anser banken.
Eftersom den som gjort betalningarna har behövt tillgång till alla ovannämnda uppgifter anser banken att kundens agerande enligt en samlad bedömning ska betraktas som grovt vårdslöst. Graden av vårdslöshet är att betrakta som grov därför att kunden har gett aktiveringskoden trots att det i bekräftelsemeddelandet som kunden fått har konstaterats att en mobilnyckel som avser en ny apparat är på väg att aktiveras för kunden. Banken har i sina kundmeddelanden flera gånger varnat för nätfiske av detta slag, och dessutom har saken tagits upp i dokumentet Viktig information om dina koder både när avtalet ingåtts och i samband med villkorsändringar.
På de grunder som nämns ovan anser banken att den inte till någon som helst del är skyldig att ersätta den skada som uppkommit. I stället ansvarar kunden själv för hela den obehöriga användning som ersättningsansökan gäller och som överstiger den del som redan har ersatts.
Utredningar
Utöver parternas skrivelser angående klagomålet har följande handlingar getts in till nämnden:
- Undersökningsanmälan (inlämnad 1.5.2021)
- Skärmdumpar av textmeddelanden som kunden fått 1.5.2021 kl. 13:01 (meddelande som brottslingarna skickat i bankens namn) och kl. 13:03 (meddelande som banken skickat och som innehöll en kod för aktivering av mobilappen)
- E-postmeddelanden som utväxlats mellan kundens ombud och polisen
- Skriftlig bekräftelse av polisanmälan (Tidpunkt för anmälan 1.5.2021)
- Operatörens händelsespecifikation 24.4–23.5.2021
- Allmänna villkor för bankens koder och nättjänsterna
Beslutsrekommendation
Frågeställning
För att avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden bedöma om den obehöriga användningen av kundens betalningsinstrument kan anses vara en följd att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen samt graden av kundens eventuella vårdslöshet.
Tillämpliga lagrum och avtalsvillkor
I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1–2 mom.:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande. Innehavarens skyldighet att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter inträder när han eller hon tar emot dem.
I lagens 54 § (Anmälan om att betalningsinstrument förlorats) föreskrivs följande i 1 mom.:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1)har överlåtit det till någon som inte är behörig att använda det,
2)av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3)har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings- instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalningsinstrumentet
1)till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2)om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3)om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4)om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.
I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) föreskrivs följande i 1 mom.:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
Den punkt i de allmänna villkoren för bankens koder och nättjänster (Villkor för bankkoderna) som gäller konsumentkunders ansvar för obehörig användning av koder som betalningsinstrument i bankens nättjänster motsvarar de tvingande bestämmelser till förmån för konsumenter som finns i 62 § i betaltjänstlagen.
I avsnittet Hur koder ska förvaras och hur de får användas i de allmänna villkoren för bankens koder och nättjänster (Villkor för bankkoderna) sägs följande:
Koder som överlåtits till en privatkund är alltid personliga. Koderna får inte överlåtas åt någon annan person, inte ens åt en medlem av samma familj och heller inte åt en separat tillämpning eller tjänst, om tillämpningen eller tjänsten inte är godkänd av [banken]. De tillämpningar och tjänster som är godkända av [banken] anges på adressen [banken].fi. Om kunden överlåter sina Koder åt tredjeman, ansvarar kunden för handlingar som tredjeman vidtar i kundens namn.
[…]
Koder eller en del av dem får inte:
- uppges muntligt för en utomstående som frågar efter dem per telefon eller på något annat sätt. Då Kunden ringer [bankens] telefontjänst matar Kunden in Koder i telefonen. Tjänsteleverantören eller andra företag i [bank] Gruppen ringer aldrig till Kunden och ber att Kunden ska yppa eller mata in Koder;
- lämnas ut till följd av en begäran som kommit med ett textmeddelande, per e-post eller från någon annan tillämpning, om det inte är en tjänst eller tillämpning som godkänts av [banken];
- användas för att logga in i [bank]-nättjänsterna, om länken till inloggningssidan har sänts till Kunden per e-post eller på något annat elektroniskt sätt.
I underavsnittet Hur [bank]-nättjänsterna kan användas i avsnittet Hur Koderna kan användas sägs följande:
Kunden ska identifiera sig till exempel i [bank]-nättjänsterna genom att mata in sin användarkod och sitt lösenord samt vid behov talet från sitt bekräftelseverktyg. Olika elektroniska kanaler kan till innehållet och funktionerna avvika från varandra i fråga om identifieringsmetoden.
[…]
Inloggningen i tjänsten [bank].fi sker genom att skriva adressen [bank].fi på webbläsarens adressrad. Före inloggningen i tjänsten [bank].fi är Kunden skyldig att kontrollera att webbsidan [bank].fi är skyddad med SSL-kryptering.
Vid SSL-kryptering ska vid låssymbolen på webbläsarens adressrad stå att certifikatet har beviljats ett bolag som hör till [bank] Gruppen (t.ex. XXX). SSL- krypteringen syns också i olika webbläsare till exempel som att adressfältet är grönt.
Kunden får inte ge tillträde till [bank]-nättjänsterna för Tredje part, t.ex. personer, tillämpningar eller tjänster. Det är förbjudet att använda t.ex. tjänster som tar över kontrollen av kundens session i [bank]-nättjänsterna. […]
I avsnittet Anmälan om att Koder försvunnit eller kommit i tredjemans kännedom eller besittning i Villkor för bankkoderna sägs följande:
Kunden ska omedelbart anmäla till Tjänsteleverantören om Koderna försvinner eller kommer obehörigt i någon annans kännedom eller besittning eller om Kunden misstänker att de kommit i någon annans kännedom eller besittning obehörigt. Anmälan ska ske också ifall endast en del av Koderna har försvunnit eller kommit i någon annans kännedom eller besittning obehörigt. […]
Bedömning
Händelseförloppet
Banknämnden anser att det i fallet är ostridigt att kunden har fått ett text- meddelande som skickats i bankens namn och att kunden, när hon via en länk i textmeddelandet öppnat en bluffsida som brottslingar skapat och som sett ut att vara bankens webbplats, har trott sig kommunicera med banken och har matat in sina bankkodsuppgifter för att logga in i nätbanken. Brottslingarna har med kundens bankkodsuppgifter, som de på detta sätt fått tillgång till, i kundens namn börjat installera en ny bankmobilapp i sin egen apparat med namnet [bank].
För att den nya mobilappen skulle kunna börja installeras skickade banken till kunden ett engelskspråkigt textmeddelande som innehöll en kod för aktivering av mobilappen. Banknämnden anser, utgående från den utredning som erhållits i ärendet och sin erfarenhet av nästan identiska fall, att kunden trots att hon nekat till detta också måste ha skrivit in den kod som ingått i textmeddelandet i ett fält som sannolikt reserverats för detta ändamål och som funnits på den webbplats som öppnats via länken. Efter att brottslingarna fått aktiveringskoden har de kunnat aktivera bankens mobilapp, som varit i kundens namn, i sin egen apparat. Brottslingarna har gjort de gireringar som tvisten gäller och bekräftat dem med bankens mobilapp.
Bedömning av kundens förfarande
Enligt villkoren för bankkoderna får koderna aldrig användas för att logga in i [bank]-nättjänsterna, om länken till inloggningssidan har sänts till kunden per e-post eller på något annat elektroniskt sätt. I villkoren sägs också att inloggningen i tjänsten [bank].fi sker genom att skriva adressen [bank].fi på webbläsarens adressrad och att kunden före inloggningen i tjänsten [bank].fi är skyldig att kontrollera att webbplatsen [bank].fi är skyddad med SSL-kryptering.
Banknämnden anser att kunden försummade sina i villkoren för bankkoderna angivna skyldigheter när hon använde sina bankkoder på den webbplats som hade öppnats via en länk i textmeddelandet och när hon inte kontrollerade att webbplatsen var skyddad.
Banknämnden anser emellertid att det på basis av formuleringen och innehållet i textmeddelandet som kunden fick och på basis av avsändarens nummer som visades i kundens telefon och domännamnet i länken i meddelandet inte kan förutsättas att kunden förstod att textmeddelandet inte kom från banken. Nämnden anser ytterligare att kunden utifrån den utredning som lagts fram i ärendet inte heller kan anses ha haft någon annan anledning att tvivla på att kontakten var i sin ordning.
Banknämnden fäster här särskild uppmärksamhet vid att även om det i bankens villkor för bankkoderna sägs att koderna aldrig får användas för att logga in i bankens nättjänster via en länk som sänts till kunden elektroniskt har, enligt Banknämndens uppgifter, banken eller aktörer som hör till samma bolagsgrupp som banken emellertid själva i vissa situationer kunnat sända till sina kunder textmeddelanden som innehållit länkar till bankens egen webbplats. Detta förfarande från bankens sida kan bidra till att bankens kunder inte förstår att ifråga-sätta kontakter av detta slag som tas i bankens namn, och därmed blir utsatta för brottslighet av den här typen. Vidare fäster nämnden uppmärksamhet vid att många olika aktörer nu för tiden, inom allt från transporttjänster till tjänster inom hälso- och sjukvården, till sina kunder skickar textmeddelanden som gäller uträttande av ärenden och som innehåller länkar. Det har gjort kontakter av den här typen dagliga och kunnat bidra till att inte ens en omsorgsfull bankkund förmår ifrågasätta textmeddelanden som kommer i bankens namn.
När man dessutom beaktar att länken i textmeddelandet i det här fallet har gått till något som sett ut att vara bankens webbplats och kunden utgående från webbplatsens utseende alltjämt har trott att hon kommunicerar med banken och hon har använt sina bankkoder för att logga in i nätbanken, anser Banknämnden att kundens försummelser beträffande iakttagandet av villkoren för bankkoderna inte till ovannämnda delar visar på en vårdslöshet som är större än vanlig vårdslöshet.
Banknämnden anser emellertid att kunden, efter att hon på ett sätt som skilde sig från vanlig användning av nätbanken och från en vanlig identifieringssitua-tion, hade fått ett textmeddelande som innehöll en kod för aktivering av bankens mobilapp – och i synnerhet med beaktande av innehållet i meddelandet – borde ha förstått att ifrågasätta kontakten och dess syfte, och att hon borde ha låtit bli att skriva aktiveringskoden i det fält på webbplatsen som hade reserverats för den. Om kunden i det skedet till exempel själv hade kontaktat sin bank för att fråga om tillvägagångssättet var korrekt skulle den skada som den obehöriga användningen av kundens bankkoder orsakade ha kunnat undgås.
Med hänsyn till den sistnämnda omständigheten anser Banknämnden att kundens förfarande som helhet visar på allvarlig oförsiktighet. Utgående från den samlade utredningen i ärendet och med beaktande av att kunden i det här fallet har kunnat uppfatta det som att aktiveringskoden i det engelskspråkiga textmeddelandet hade med upplåsningen av hennes konto att göra anser Banknämnden att kundens förfarande som helhet dock inte visar att kunden ställer sig klart likgiltig till de säkerhetsrisker som hänför sig till innehavet och användningen av betalningsinstrument, och att kundens förfarande därmed inte heller visar på sådan grov vårdslöshet som avses i betaltjänstlagen.
Slutresultat
Banknämnden anser att den obehöriga användningen av kundens bankkoder berott på att kunden av vårdslöshet, på ett sätt som visar på allvarlig oförsiktighet, har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen. Nämnden anser emellertid att kundens förfarande enligt en samlad bedömning inte visar på sådan grov vårdslöshet som avses i betaltjänstlagen och att kundens ansvar för den skada som den obehöriga användningen av hennes bankkoder orsakat därmed ska begränsas till 50 euro.
Med hänvisning till vad som sägs ovan rekommenderar Banknämnden att banken åtar sig att svara för den skada som den obehöriga användningen av bankkoderna medfört, till den del den överstiger 50 euro.
Banknämnden var enig.
BANKNÄMNDEN
Ordförande Sillanpää
Sekreterare Hidén
Medlemmar
Ahlroth
Atrila
Laine
Pulkkinen