Tapahtumatiedot
Asiakkaan käytössä oli tunnuslukulista, mutta konttorissa asioinnin yhteydessä 19.2.2020 toimihenkilö oli asentanut asiakkaan puhelimeen valmiiksi myös pankin avainsovelluksen, jonka lopullinen käyttöönotto edellytti vielä erillistä tekstiviestillä tapahtumaa vahvistamista, mitä asiakas ei itse kuitenkaan vielä ollut tehnyt. 26.5.2021 asiakkaan verkkopankkiin oli tullut viesti, jonka mukaan jatkossa sovelluksen käyttö edellyttää erillistä tekstiviestillä tulevaa lisävahvistuskoodia.
Laittaessaan 3.6.2021 laskuja maksuun asiakas oli kirjautunut ensin verkkopankkiinsa hakukoneen kautta auenneille aidon oloisille sivuille avainsovellusta käyttäen. Sivuille asiakas oli syöttänyt normaalisti kirjautumistietonsa, minkä jälkeen ne olivat parin yrityskerran jälkeen kadonneet ja asiakas oli kirjautunut lopulta verkkopankkiinsa tunnuslukulistansa avulla syöttäen laskut uudelleen ja samalla myös hyväksyen ne saamansa lisävahvistuskoodin avulla. Asiointinsa aikana asiakas sai myös pankilta tekstiviestin, jossa häntä oli pyydetty syöttämään sovellukseen koodi rekisteröinnin loppuun viemiseksi. Asiakkaan tililtä tehtiin 3.6.2021 sovellusta käyttäen tilisiirtoja yhteensä 80.619 eurolla.
Asiakkaan valitus
Asiakas toteaa erehdyksessä päätyneensä huijaussivuille, minkä jälkeen hänen tilinsä joutui kyberhyökkäyksen kohteeksi. Asiakas kiistää tahallisuuden tai huolimattomuuden todeten lisäksi, ettei ole itse tehnyt riidanlaisia siirtoja ja että hän olisi ylipäänsä itse asentanut tai poistanut avainsovelluksen. Asiakas vaatii pankkia korvaamaan täysimääräisesti oikeudettomasti tehdyt siirrot.
Pankin vastine
Pankin mukaan asiakas on kirjauduttuaan valesivuille luovuttanut tunnuksensa rikollisten haltuun ja hyväksynyt hänelle tulleen avainsovelluksen hyväksymispyynnön tekstiviestivahvistuksella, minkä jälkeen rikolliset ovat voineet siirtää varat asiakkaan tileiltä. Saatuaan tiedon oikeudettomista tapahtumista pankki on välittömästi sulkenut verkkopankin sekä ottanut yhteyttä asiakkaaseen.
Pankin mukaan maksujen vahvistamiseen ja avainsovelluksen käyttöön liittyvät vahvistusviestit poikkeavat selvästi toisistaan, minkä lisäksi pankki on tiedottanut useilla eri tavoilla kevään 2021 aikaisista kalasteluviesteistä. Verkkopankkiin kirjauduttaessa viestissä todetaan, että asiakas on kirjautumassa verkkopankkiin sekä pyydetään tunnusluku, kun taas sovelluksen asennuksen yhteydessä pyydetään syöttämään koodi rekisteröinnin loppuun viemiseksi.
Tapauksessa riidanalaiset siirrot on vahvistettu käyttäen avainsovellusta, jonka päätyminen rikollisten käyttöön ja haltuun on johtunut asiakkaan luovutettua tunnuksensa rikollisille, jättämättä huomioimatta saamansa tekstiviestin sisällön sekä laiminlyömällä tutustua sovelluksen asentamiseen liittyviin ohjeisiin. Kokonaisuutena arvioiden asiakkaan menettelyä on pidettävä törkeänä huolimattomuutena, minkä vuoksi siirrot jäävät asiakkaan vastuulle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- pankin ilmoitus avainsovelluksen lisävahvistamisesta
- listaus asiakkaan tilitapahtumista 24.5-3.6.2021
- asiakkaan ja pankin välistä reklamaatiokirjeenvaihtoa
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Lain 72 §:n (Todistustaakka.) 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.
Pankin henkilöasiakkaiden pankkitunnuksilla käytettävien palveluiden yleisten ehtojen mukaan pankkitunnukset ovat henkilökohtaiset eikä niitä saa luovuttaa sivullisen tietoon. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista. Lisäksi Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. Pankin yleisten ehtojen kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja nyt osin epäselväksi jääneellä tavalla päätynyt pankin verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa.
Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin.
Pankkilautakunta katsoo, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Pankkilautakunta katsoo ilmeiseksi, että luullessaan olevansa kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin.
Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Asiakkaan pankkitunnusten käyttäjätunnuksella ja pankin mobiilisovelluksella vahvistaen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja mobiilisovelluksella vahvistaen tehneet tilisiirrot.
Pankkitunnusten luovuttaminen
Pankin mukaan asiakas on luovuttanut tunnuksensa ulkopuoliselle, minkä asiakas on kiistänyt. Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.
Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.
Asiakkaan menettelyn arviointi
Asiassa on riidatonta, että asiakas on päätynyt pankin verkkosivuja muistuttaville sivuille selaimen hakukoneen kautta ja asiointi eteni normaalisti, kunnes laskujen maksu keskeytyi pankkiyhteyden mentyä poikki. Pankki on lisäksi kiinnittänyt huomiota mm. siihen, että se on tiedotteillaan kehottanut asiakkaitaan olemaan kirjautumatta verkkopankkiin hakukoneiden kautta ja varoittanut liikkeellä olevan ns. hakukonehuijauksia. Pankki on myös katsonut, että pankin verkkopalveluja käyttäessä tulisi tarkistaa verkkosivujen ulkoasu sekä se, että verkkosivujen URL-osoite vastaa todellista pankin verkkosivujen osoitetta.
Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia.
Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.
Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on huomaamattaan päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille. Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja niitä koskevien ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.
Pankkilautakunta kiinnittää tässä tapauksessa kuitenkin erityistä huomiota pankin asiakkaalle lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen informaatioarvoon erityisesti asiakkaalle, joka ei ole ennen pankin mobiilisovellusta käyttänyt. Pankkilautakunta katsoo myös ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Ottaen vielä huomioon, että asiakkaan pankilta saama tekstiviesti on ollut pituudeltaan tavanomaisen verkkopankkiin kirjautumista koskevan viestin pituinen ja siinä ollut koodi on myös ollut saman pituinen kuin verkkopankkiin kirjautuessa, lautakunta pitää ymmärrettävänä, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakkaan huomio ei rutiininomaisessa kirjautumistilanteessa ole kiinnittynyt tekstiviestin sanalliseen sisältöön hänen syöttäessään viestissä ollutta koodia pankin verkkosivuilta näyttäville valesivuille.
Asiassa saadun kokonaisselvityksen perusteella ja erityisesti viimeksi todettu huomioiden Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
Puheenjohtaja Sillanpää
Sihteeri Sainio
Jäsenet
Ahlroth
Atrila
Piilo
Pulkkinen