Haku

FINE-041243

Tulosta

Asianumero: FINE-041243 (2021)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 15.12.2021

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 2.5.2021 klo 14.43 tekstiviestin, jossa on lukenut seuraavaa: ”Varotoimenpiteenä korttisi on estetty.
Vahvista henkilöllisyytesi aktivoidaksesi korttisi: suomi-[pankki].net”

Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla syöttänyt korttitietojaan ja pankkitunnuksiaan.

Pankki on lähettänyt asiakkaalle 2.5.2021 klo 15.03 pankin mobiilisovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin. Asiakas on syöttänyt aktivointikoodin em. sivustolle.

Rikolliset ovat asiakkaan verkkopankkitunnuksia ja em. aktivointikoodia käyttäen aktivoineet laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen. Mobiilisovellusta hyväksi käyttäen asiakkaan kahdelle käyttötilille on siirretty asiakkaan luottokorttitililtä yhteensä 4.768 euroa. Tämän jälkeen asiakkaan kahdelta käyttötililtä on tehty 2.5.2021 klo 15.09-15.14 välillä 12 oikeudetonta tilisiirtoa yhteismäärältään 11.932 euroa.

Asiakkaan verkkopankkitunnukset on suljettu 2.5.2021 klo 15.22.

Asiakkaan valitus

Asiakas kävi 2.5.2021 ruokakaupassa ja pian sen jälkeen hän sai tekstiviestin. Asiakas klikkasi viestissä ollutta linkkiä, joka vei täysin samanlaiselle sivulle kuin pankin mobiilisovelluksen omat sivut.  Asiakas syötti verkkopankkitunnukset ja salasanan sivulle. Tämän jälkeen sivusto pyysi vielä lisäämään pankkikortin tiedot, jotka asiakas lisäsi. Muutaman sekunnin päästä tuli vielä pyyntö antaa vahvistuskoodi, ja asiakas laittoi tämänkin, sillä hän luuli sen kuuluvan prosessiin.

Seuraavana aamuna asiakas alkoi maksamaan laskuja eikä päässyt kirjautumaan verkkopankkiin. Asiakas soitti asiakaspalveluun, josta kerrottiin ettei asiakkaan tilillä ole enää rahaa ja pyydettiin asiakasta käymään konttorilla. Vasta tässä vaiheessa asiakas ymmärsi, mitä oli tapahtunut. Pankkikäynnin jälkeen asiakas menin välittömästi poliisiasemalle tekemään tapauksesta rikosilmoituksen.

Tapauksen jälkeen asiakas googletti nettihuijauksista lisää infoa. Asiakas viittaa löytämäänsä uutiseen (”Pelottava huijaus [pankin] nimissä – huomaatko pienen eron aidon ja väärän sivun välillä”), joka koski huijauksia, joissa pankin nimissä lähetetään suomalaisille tekstiviestejä, joilla ihmisiä houkutellaan pankkitunnuksia kalasteleville verkkosivuille. Asiakas sai täysin samanlaisen tekstiviestin, joka johdatti pankin verkkosivujen näköiselle huijaussivulle. Ainoastaan verkko-osoite oli eri. Kuluttajana asiakkaan on vaikea tunnistaa, mikä verkko-osoite on aito ja mikä eri.

Tapauksesta hieman myöhemmin asiakas otti vakuutuksen pankin kanssa samaan ryhmään kuuluvalta vakuutusyhtiöltä ja siellä prosessi toimi samalla kaavalla, eli linkki puhelimeen tekstiviestinä ja sitä klikkaamalla pääsi pankin sivuille.

Pankin vastine

Asiakas on kertonut avanneensa pankin nimissä tulleen tekstiviestissä olleen linkin ja antaneensa linkistä avautuneelle sivustolle verkkopalvelutunnuksensa.

Pankin tietojen mukaan asiakkaan verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle. Tästä on lähtenyt turvallisuussyistä vahvistuspyyntö pankin toimesta 2.5.2021 klo 15.03 asiakkaan hallussa olevaan ja tunnuksiin liitettyyn matkapuhelinliittymän numeroon. Viestissä pyydetty pankin mobiilisovelluksen liitos on hyväksytty ja edellä mainitut oikeudettomat maksut on vahvistettu kyseisellä pankin mobiilisovelluksella. Mobiilisovelluksen liitoksen hyväksyntä on tapahtunut asiakkaan puhelinnumeroon lähetetyllä koodilla.

Sovellettavat säännökset ja sopimusehdot

Pankki viittaa maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin ja yleisiin korttiehtoihinsa. Asiakkaalle pankin verkkopalvelusopimuksen tekemisen yhteydessä on myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan "Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen. Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."

Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen kyseisten väärinkäytösten tapahtumista:
16.4.2021     Huijareita liikkeellä — älä koskaan luovuta tunnuksiasi ulkopuolisille
23.3.2021     Huijaustekstiviestejä ja -sähköposteja [pankin] nimissä
2.3.2021       Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
8.2.2021       Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjoutua tekstiviestitse tai sähköpostitse tulleen Iinkin kautta.

Asian arviointi

Pankki on useaan otteeseen kevään 2021 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen kortin ja tunnusten turvallisesta käytöstä.

Tapauksessa on riidatonta, että maksut tehneellä taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnus. Jotta mobiiliavain on ollut mahdollista aktivoida, on aktivoijalla ollut tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat: käyttäjätunnus, salasana, vaihtuva avainlukulistan numero ja lisäksi aktivoija on saanut tietoonsa asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin tiedot. Keskeistä tapauksen arvioinnin kannalta on se, että asiakas on nimenomaisesti pankin näkemyksen mukaan antanut suostumuksensa uuden pankin mobiilisovelluksen aktivoinnille, koska pankki on tekstiviestissä nimenomaisesti sanonut, mitä koodilla ollaan tekemässä. Pankin toimittama tekstiviesti on ollut englanninkielinen, joka on poikennut asiakkaan normaalista asiointikielestä pankin kanssa. Tämän asian viimeistään olisi tullut herättää asiakkaassa epäilystä. Viesti on lähetetty englanniksi, sillä väärinkäytöksen tehnyt on valinnut pankin mobiilisovelluksen kieleksi englannin.

Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä tilisiirrot tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä törkeän huolimattomana. Huolimattomuuden astetta on pidettävä törkeänä siitä syystä, että asiakas on antanut aktivointikoodin siitä huolimatta, että asiakkaalle toimitetussa vahvistusviestissä on todettu, että asiakkaalle ollaan aktivoimassa mobiiliavainta uudelle laitteelle. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla.

Edellä mainituilla perusteilla pankki katsoo, että pankki ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan korvaushakemuksen kohteena oleva oikeudeton käyttö jää jo korvatun määrän ylittävältä osin kokonaisuudessaan asiakkaan omalle vastuulle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus asiakkaan 2.5.2021 saamasta tekstiviesteistä klo 14.43 (rikollisten pankin nimissä lähettämä viesti)
- Asiakkaan poliisilta saama sähköposti (8.12.2021)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Korttiehtojen Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan

Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle. […]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internetkauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoiterivillä olevasta lukon kuvasta. Lukon tulee olla lukittu. […]

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:

Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Pankkitunnusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan

Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun. […]

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan

Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
 [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella. SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]

Pankkitunnusehtojen Asiakkaan vastuu Tunnusten käyttämisestä -kohdan mukaan Asiakkaan vastuu Tunnusten käyttämisestä määräytyy Tunnusten käyttötarkoituksen mukaan. Siltä osin kuin ehdot koskevat kuluttajan vastuuta tunnusten käyttämisestä maksuvälineenä pankin verkkopalveluissa ehdot vastaavat maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Siltä osin kuin ehdot koskevat tunnusten haltijan vastuuta tunnusten käyttämisestä tunnistusvälineenä ehdot vastaavat tunnistuslain 27 §:n kuluttajan hyväksi pakottavia säännöksiä.

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla huijaussivuilla asiakas on syöttänyt korttitietojaan ja verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle [pankki]-nimiselle laitteelleen.

Uuden mobiilisovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle mobiilisovelluksensa aktivointikoodin sisältäneen englanninkielisen tekstiviestin. Asiakas on laittanut tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat tilisiirrot rikolliset ovat tehneet em. pankin mobiilisovellusta hyväksi käyttäen ja mobiilisovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.

Korttiehtojen mukaan asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville ja asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoiterivillä olevasta lukon kuvasta.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnus- ja korttiehtojen mukaisia velvollisuuksiaan käyttäessään korttitietojaan ja pankkitunnuksiaan sähköpostissa olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön tai asiakkaan puhelimessa näkyneen lähettäjän numeron taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä erityistä huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle sähköisellä tavalla lähetetyn linkin kautta, Pankkilautakunnan tietojen mukaan pankki tai samaan yhtiöryhmään pankin kanssa kuuluvat toimijat voivat itse kuitenkin joissain tilanteissa lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Tämä pankin toimintatapa voi osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan aktivoidakseen pankin turvallisuussyistä väliaikaisesti sulkeman korttinsa - käyttänyt pankkitunnuksiaan ja korttitietojaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien kortti- ja pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen huomioon sen, että asiakas on tässä tapauksessa ymmärtänyt englanninkielisessä tekstiviestissä olleen aktivointikoodin liittyneen hänen - pankin turvallisuussyistä estämän - korttinsa uudelleen aktivointiin, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Ahlroth, Atrila, Laine, Pulkkinen

Tulosta