Tapahtumatiedot
Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 29.5.2021 klo 14:07 lähettämässä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle. Em. mobiilisovellusta hyväksi käyttäen on asiakkaan Visa-luotolta tehty 2.600 euron siirto asiakkaan käyttötilille klo 14.57, minkä jälkeen asiakkaan tililtä on tehty 4.200 euron oikeudeton tilisiirto klo 14.59.
Asiakkaan verkkopankkitunnukset on lukittu 29.5.2021 klo 16.22.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan asiassa aiheutuneen 4.200 euron vahingon.
Asiakas oli pankin verkkopankissa maksamassa laskuja, kun näyttöön tuli ilmoitus, että tarkistamme tunnistamistietoja, ja kysyttiin syntymäaikaa. Näin ollen asiakas ei voinut tietää menevänsä väärälle sivustolle. Ei voi myöskään sanoa, että pitäisi herätä epäilys, kun asiakas on pankin sivuilla. Asiakkaalle tuli tämän jälkeen englanninkielinen tekstiviesti eikä hän päässyt verkkopankissa eteenpäin ennen kuin sen laittoi.
Pankin vastine
Asiakas on kertonut olleensa pankin sivuilla maksamassa laskuja, jolloin antaessaan avainlukunumeroa puhelimeen tuli "ulkolainen tekstiviesti" eikä asiakas päässyt verkkopalvelussa eteenpäin ennen kuin tekstiviestissä pyydetty koodi oli annettu verkkopalveluun.
Pankin tietojen mukaan asiakkaan pankin verkkopalvelutunnuksilla on aktivoitu käyttöön uusi pankin mobiilisovellus uudelle laitteelle. Tästä on lähtenyt turvallisuussyistä lisävahvistuspyyntö pankin toimesta 29.5.2021 klo 14:07 asiakkaan hallussa olevaan matkapuhelinliittymään. Viestissä pyydetty pankin mobiilisovelluksen liitos on hyväksytty ja edellä mainittu oikeudeton maksu on vahvistettu kyseisellä mobiilisovelluksella. Mobiilisovelluksen liitoksen hyväksyntä on tapahtunut asiakkaan puhelinnumeroon lähetetyllä koodilla.
Sääntely ja sopimusehdot
Pankki viittaa maksupalvelulain 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin. Asiakkaalle on pankin verkkopalvelusopimuksen tekemisen yhteydessä myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan
"Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Pankin ja viranomaisten toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi sekä pankki että viranomaiset ovat aktiivisesti varoittaneet asiakkaita verkkopalvelutunnusten kalastelukampanjoista. Pankki on varoittanut asiakkaita [pankki].fi:ssä verkkopalvelutunnusten kalastelusta muun muassa seuraavilla tiedotteilla juuri ennen kyseisten väärinkäytösten tapahtumista:
16.4.2021 Huijareita liikkeellä — älä koskaan luovuta tunnuksiasi ulkopuolisille
23.3.2021 Huijaustekstiviestejä ja -sähköposteja [pankin] nimissä
2.3. 2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
8.2.2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
Varoitusten yhteydessä asiakkaita on ohjeistettu olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua tekstiviestitse tai sähköpostitse tulleen linkin kautta. On myös ohjeistettu olla vahvistamatta laiteliitoksia, joita asiakas ei tunnista.
Asian arviointi
Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt.
Pankki on useaan otteeseen kevään 2021 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Pankin käytössä olevien tietojen mukaan reklamoitu maksu on toteutettu hyödyntäen uuteen laitteeseen asennettua uutta mobiilisovellusta. Tämä uusi mobiilisovellus uudelle laitteelle on aktivoitu 29.5.2021 klo 14:07 asiakkaan verkkopalvelutunnuksilla. Aktivointia varten asiakkaan tunnuksiin liitettyyn puhelinnumeroon toimitettu mobiiliavaimen aktivointikoodi. Asiakas itse on kertonut, että ollessaan jo verkkopalvelussa tuli puhelimeen englanninkielinen viesti, jossa oli viisinumeroinen koodi. Tämän hän ilmeisesti syötti, jotta pääsi eteenpäin oletetuilla pankin sivuilla.
Tapauksessa on riidatonta, että maksut tehneellä taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnus. Jotta mobiilisovellus on ollut mahdollista aktivoida, on aktivoijalla ollut tiedossaan asiakkaan verkkopalvelutunnuksen kaikki osat: käyttäjätunnus, salasana, vaihtuva avainlukulistan numero ja lisäksi aktivoija on saanut tietoonsa asiakkaan tunnuksiin liitettyyn puhelinnumeroon lähetetyn vahvistustekstiviestin tiedot.
Keskeistä tapauksen arvioinnin kannalta on se, että asiakas on nimenomaisesti pankin näkemyksen mukaan antanut suostumuksensa uuden mobiilisovelluksen, koska pankki on tekstiviestissä nimenomaisesti sanonut, mitä koodilla ollaan tekemässä. Pankin toimittama tekstiviesti on ollut englanninkielinen, joka on poikennut asiakkaan normaalista asiointikielestä pankin kanssa. Tämän asian viimeistään olisi tullut herättää asiakkaassa epäilystä. Viesti on lähetetty englanniksi, sillä väärinkäytöksen tehnyt on valinnut mobiilisovelluksen kieleksi englannin.
Koska kaikkien edellä mainittujen tietojen on pitänyt päätyä tilisiirrot tehneelle taholle, toimintaa on kokonaisuutena arvioituna pidettävä törkeän huolimattomana. Huolimattomuuden astetta on pidettävä törkeänä siitä syystä, että asiakas on antanut aktivointikoodin siitä huolimatta, että asiakkaalle toimitetussa vahvistusviestissä on todettu, että asiakkaalle ollaan aktivoimassa mobiiliavainta uudelle laitteelle. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla.
Edellä mainituilla perusteilla pankki katsoo, että pankki ei ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö jää kokonaisuudessaan asiakkaan omalle vastuulle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 2.6.2021) ja Tutkinnan päätös (16.8.2021)
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankki] xxxxxxxxxxx puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [Pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissi-vulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [Pankki]-verkkopalveluiden käyttö -alakohdan mukaan
Asiakas tunnistautuu [Pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
[…]
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [Pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [Pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [Pankki]-verkkopalvelussa. […]
Pankkitunnusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun. […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja nyt osin epäselväksi jääneellä tavalla päätynyt pankin verkkosivuilta näyttävälle huijaussivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa.
Rikolliset ovat em. tavoin tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin. Asiakas on em. tekstiviestin osalta todennut, että hän ei päässyt verkkopankissa eteenpäin ”ennen kuin sen laittoi”. Pankkilautakunta katsoo, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. sivuilla sitä varten varattuun sarakkeeseen. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Pankin mobiilisovellusta oikeudetta käyttäen rikolliset ovat tehneet asiakkaan luottotililtä siirron asiakkaan käyttötilille ja asiakkaan käyttötililtä ko. 4.200 euron oikeudettoman tilisiirron.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
Pankkilautakunta katsoo asiassa jääneen yksityiskohdiltaan epäselväksi, miten asiakas on päätynyt pankin verkkosivuilta näyttävälle huijaussivustolle. Lautakunta kuitenkin katsoo, että asiakas ei ole voinut päätyä sivustolle kirjoittamalla pankin verkkosivujen osoitteen selaimen osoiteriville eikä asiakas ole verkkosivuille mentyään ja ennen verkkopankkiin kirjautumisyritystään tarkistanut kyseisen verkkosivuston SSL-suojausta. Näin ollen lautakunta katsoo asiakkaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan tunnuksiaan käyttäessään.
Asiakas on ko. verkkosivuilla luullut asioivansa pankin kanssa ja Pankkilautakunnan vastaavanlaisista ja teknisiltä tapahtumatiedoiltaan täysin samanlaisissa tapauksissa saadun selvityksen perusteella ko. sivut ovat todennäköisesti näyttäneet aidoilta pankin verkkosivuilta. Pankkilautakunta katsookin, ettei asiakkaan voida asiassa saadun selvityksen perusteella edellyttää asioinnin tässä vaiheessa ymmärtäneen, etteivät verkkosivut olleet oikeat pankin sivut, ja edelleen, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa avainkoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Viimeksi todettu huomioiden Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella, ottaen huomioon tapahtumien kulun kokonaisuutena ja erityisesti sen, että asiakas on ymmärtänyt tietojensa päivittämisen jälkeen pankin hänelle lähettämän englanninkielisessä viestissä olleen koodin antamisen olevan edellytyksenä verkkopankkiasioinnin jatkamiselle, Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Ahlroth, Atrila, Laine, Pulkkinen