Haku

FINE-042590

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-042590 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 14.03.2022

Miten vastuu asiakkaan verkkopankissa ulkomaille tehdystä tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 18.8.2021 klo 08.13 pankin nimissä lähetetyn tekstiviestin, jossa on lukenut seuraavaa:
”Petos on havaittu. Tilisi on estetty turvallisuussyistä. Siirry osoitteeseen: peruutus-[pankki].info vahvistaaksesi henkilöllisyytesi ja peruuttaaksesi maksun.”
Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla syöttänyt pankkitunnuksiaan.

Asiakkaan verkkopankkiin on kirjauduttu sisään ja verkkopankissa on siirretty asiakkaan käyttötilille hänen Visa-luottokortiltaan 3.500,00 euroa ja hänen K-Plussa Maksuaika -kortiltaan 2.000,00 euroa. Tämän jälkeen klo 08:27 asiakkaan käyttötililtä on tehty 8.000,00 euron tilisiirto ulkomaille.

Verkkopankkiin kirjautuminen ja em. ulkomaanmaksu on vahvistettu asiakkaan verkkopankkitunnusten avainlukulistan tietyillä kertakäyttöisillä avainluvuilla, joita vastaavat järjestysnumerot pankki on ilmoittanut asiakkaalle lähettämissään tekstiviesteissä klo 08.17 ja 08.25.

Pankki on sulkenut asiakkaan verkkopankkitunnukset 18.8.2021 klo 09:25.

Asiakkaan valitus

Asiakas vaatii, että pankki korvaa hänen menettämänsä 8.000 euroa tai että asiaa ratkaistaessa mietittäisiin ainakin jonkinlaista vastuunjakoa.

Asiakas sai pankin nimissä tekstiviestin, jossa kerrottiin, että petos on havaittu ja tili on estetty turvallisuussyistä. Viestissä pyydettiin siirtymään osoitteeseen peruutus-[pankki].info henkilöllisyyden vahvistusta ja maksun peruuttamista varten. Sivut olivat pankin sivustojen kaltainen, joten asiakas uskoi olevansa pankin sivustoilla ja antoi tunnuslukunsa. Tapahtuma olikin huijaus.

Asiakas oli saanut vuoden 2021 maaliskuussa aivoinfarktin, jonka seurauksena sanojen ulosanti ja kirjoittaminen on vaikeutunut. Myös keskittymiskyky on vaikeutunut ja aiheuttaa usein asioissa hätäilyä. Tekstiviesti tuli aamulla ja herätti asiakkaan, joten hänen toimintakykynsä ja ajattelunsa eivät olleet parhaimmillaan. Olosuhteiden ja sairauden aiheuttamien vaikeuksien kannalta olisi katsottava, että tunnusluvun luovutus oli huolimattomuutta, mutta ei millään tavalla osoita törkeää huolimattomuutta.

Pankin esittämään kysymykseen, miksei asiakkaalle ollut haettu edunvalvojaa, johtuu siitä, ettei sellaista olisi tarvittu. Asiakkaalla oli vain kirjoittamisen ja puheen vaikeutumista, joka hidasti ja stressasi toimintoja, mutta muuten asiakas oli täysin kunnossa ja hoiti sairastumisen jälkeen pankki- ja muutkin asiansa ihan normaalisti. Asiakas oli kuitenkin huolissaan sairastumisestaan, joka näkyi keskittymiskyvyn puutteena ja asioihin nopeasti puuttumisena, joka osaltaan vaikutti järkevän ihmisen joutumiseen huijauksen kohteeksi. Myös huijausviestin ajankohta aikaisin aamulla heräten viestiin vaikutti asiaan.

Näin digiaikana on pankkien toiminnat tulleet niin näkyviksi, että huijareiden on helppo tehdä valesivustoja. Onko pankki tehnyt kaikkensa sivustojen poistamiseksi turvatakseen myös asiakkaiden edut? Pankki kertoi tiedottaneensa huijauksista pitkin vuotta, mutta asiakkaaseen kohdistettu huijaus oli taas uudenlainen yritelmä, johon poliisitiedotteenkin mukaan erehtyi moni. Pankki itse joutui myöhemmin kyberhyökkäyksen kohteeksi, mutta ilmeisesti hyökkäys torjuttiin. Isolla pankilla on volyymeja torjuntaan, pankin asiakkaalla huijaushyökkäyksissä paljon vähemmän.

Asiakkaan toimintaa ei voi katsoa törkeäksi huolimattomuudeksi, koska asiakas luuli olevansa pankin sivuilla ja siksi vahinko on jaettava asiakkaan ja pankin välillä.

Pankin vastine

Maksupalvelulaki edellyttää asiakkaalta huolellisuutta verkkopalvelutunnusten käytössä. Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti hyväksymällä itse siirron tekstiviestillä pyydetyllä avainlukulistan numerolla, eikä vahinkoa näin ollen korvata.

Selvitys tapahtumasta

Asiakkaalta pankin saaman selvityksen mukaan hän sai tekstiviestin, jossa kerrottiin, että petos on havaittu ja ohjattiin klikkaamaan linkkiä, joka vei huijaussivustolle. Asiakas on syöttänyt verkkopankkitunnukset ja vaihtuvan avainlukulistan koodit, jolloin hänen käyttötililtään on siirretty 8.000,00 euroa ulkomaille.

Pankin oman selvityksen mukaan asiakas on saanut tekstiviestin, joka sisälsi linkin, joka johti pankin sivuja imitoivalle huijaussivustolle. Asiakas syötti sivustalle verkkopalvelutunnuksensa. Tämän jälkeen asiakkaan käyttötilille nostettiin Visa-kortilta 3.500,00 euroa ja K-Plussa Maksuajalta 2.000,00 euroa. Nostojen jälkeen, klo 08:27 asiakkaan käyttötililtä siirrettiin 8.000,00 euroa. Kirjautuminen pankin verkkopalveluun ja tilisiirto on vahvistettu käyttäen vahvaa sähköistä tunnistamista, jolla asiakkaan henkilöllisyys on varmennettu.

Puhelinnumeroon, joka on ollut liitettynä asiakkaan verkkopalvelusopimuksessa maksun lisävahvistukseen, on lähetetty pankin toimesta turvallisuussyistä 18.8.2021 klo 08:17 seuraava tekstiviesti:
Olet kirjautumassa tunnuksillasi [Pankki]-verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa 285 vastaavalla avainluvulla. [Pankki]

Tämän jälkeen klo 8:25 asiakkaalle on lähetetty pankin toimesta tekstiviesti:
8000 EUR tilille GB38 REVO 0099 7031 797544. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 282 vastaavalla avainluvulla. [Pankki]

Tapauksessa, asiakkaan tililtä tehty siirto on vahvistettu tunnuksiin liitettyyn puhelinnumeroon lähetetyssä tekstiviestissä pyydetyllä avainlukulistan numeroilla. Tekstiviesti on sisältänyt tiedon maksunsaajasta ja maksun määrästä. Asiakas on siis itse hyväksynyt tililtään tehdyn siirron ja antanut näin maksupalvelulain 38 §:n mukaisen suostumuksen maksutapahtuman toteuttamiselle. Tämän vuoksi pankki katsoo, ettei asiakkaan reklamoima tilisiirto ole maksupalvelulain mukaisesti oikeudeton, eikä pankki ole vastuussa tilisiirrosta aiheutuneesta vahingosta.

Asian arviointi

Tapauksessa on riidatonta, että maksut tehneellä taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnus. Koska asiakas on itse antanut suostumuksensa siirrolla, ei huolellisuusarviointi ole tarpeen.

Toissijaisesti, jos katsottaisiin, että asiakas ei ole antanut suostumustaan siirtoon, on katsottava asiakkaan toimineen törkeän huolimattomasti luovuttaessaan avainlukulistan numerot kirjautumisen sekä maksun yhteydessä. Maksupalvelulaki edellyttää asiakkaalta huolellisuutta verkkopalvelutunnusten käytössä. Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti.

Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja verkkopalvelutunnusten yleisten ehtojen mukaisia velvollisuuksiaan, ja asiakkaan huolimattomuuden katsotaan olevan törkeää. Asiakas vastaa verkkopalvelutunnusten huolellisesta säilyttämisestä, koska viime kädessä ainoastaan maksuvälineenhaltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän maksuvälinettään säilyttänyt.

Pankki on useaan otteeseen kevään ja kesän 2021 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.

Perustelut

Pankin toimet asiakkaiden varoittamiseksi

Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla:
6.8.2021 Rikolliset kalastelevat verkkopalvelutunnuksia kortin käyttöön liittyvillä huijausviesteillä
22.7.2021 Rikolliset kalastelevat verkkopalvelutunnuksia kortin käyttöön liittyvillä huijausviesteillä
21.6.2021 Huijarit ahkeroivat, kun yrityksissä lomaillaan
8.6.2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla

Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän [pankki]-mobiilisovellusta.

Asiakas on lisäkirjelmässään vedonnut keväiseen sairastumiseensa, joka on aiheuttanut varomattomuutta toimissa, sekä siihen, että pankin varoitukset ovat keskittyneet loppukevääseen, jolloin ne olisivat jääneet asiakkaalta huomioimatta.

Asiakkaita on kuitenkin varoitettu huijauksista [pankki].fi:ssä jo aiemminkin mm. seuraavissa turvallisuusuutisissa:
14.12.2020 Kahdenlaisia huijausviestejä [pankin] nimissä
22.1.2021 Huijauspuheluita Microsoftin teknisen tuen nimissä
26.1.2021 Varo huijauspuheluita
8.2.2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
2.3.2021 Verkkopankkitunnuksia kalastellaan hakukoneiden ja huijausviestien avulla
23.3.2021 Huijausviestejä ja -sähköposteja [pankin] nimissä
16.4.2021 Huijareita liikkeellä — älä koskaan luovuta tunnuksiasi ulkopuolisille

Se, että viestit ovat tulleet asiakkaalle juuri kyseisenä ajankohtana ei ole mitenkään ollut pankin päätettävissä. Väärinkäytösten tekijät käyttävät hyväksi mm. kiirettä ja asiakkaille epäsopivia ajankohtia.

Pankilla ei ole ollut tietoa asiakkaan sairastumisesta tai mahdollisesti alentuneesta kyvystä havaita tai reagoida viesteihin. Sairastumisen ja väärinkäytöksen välillä on kulunut noin puoli vuotta aikaa. Mitään rajoituksia tilin käyttöön ei ollut tehty, eikä asiakkaalle haettu edunvalvontaa asioiden hoitamiseksi. Pankilla ei ole ollut mahdollisuutta reagoida asiakkaan tilanteeseen, kun sitä ei ole saatettu pankin tietoon. Asiakkaan olisi tullut huomioida mahdollisesti alentunut kykynsä asioiden hoitoon ja olla sairastumisensa jälkeen pankkiin yhteydessä, jolloin asiakkaan tilanteeseen sopivista turvallisista asiointitavoista olisi voitu sopia. Asiakkaan olosuhteissa tapahtuneesta olennaisesta muutoksesta, joka on vaikuttanut hänen kykyynsä toimia sopimusehtojen mukaisesti, olisi tullut informoida pankkia. Näin ollen pankki katsoo edelleen, että asiakas on toiminut törkeän huolimattomasti.

Sääntely ja sopimusehdot

Pankki viittaa maksupalvelulain 38, 53 ja 62 §:in sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin. Asiakkaalle osuuspankin verkkopalvelusopimuksen tekemisen yhteydessä on myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan "Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."

Tapauksessa on riidatonta, että maksut tehneellä taholla on ollut käytössään asiakkaan pankin verkkopalvelutunnukset. Ensisijaisesti pankki vetoa siihen, että asiakas on itse antanut suostumuksensa kyseiselle siirrolle. Toissijaisena, koska käyttäjätunnus, salasana ja vaihtuvan avainlukulistan numerot ovat päätyneet aktivoijan tietoon ja lisäksi asiakas on vielä vahvistanut 8.000,00 euron maksun ulkomaiselle tilille avainlukulistan numerolla, toimintaa on kokonaisuutena arvioituna pidettävä vähintään törkeän huolimattomana. Pankki on useaan kertaan varoittanut tällaisista urkinnasta tiedotteissaan sen lisäksi, että asia on tuotu esille sopimuksen tekemisen sekä ehtomuutosten yhteydessä Tärkeää tietoa tunnuksista -asiakirjalla. Edellä mainituilla perusteilla pankki katsoo, ettei pankki ole miltään osin velvollinen korvaamaan aiheutunutta vahinkoa, vaan oikeudeton käyttö jää asiakkaan omalle vastuulle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Tutkintailmoitus (Ilmoitusaika 18.8.2021)
- Potilasasiakirja (Asiakkaan puheterapeutin väliarvio)
- Pankin tunnusten ja verkkopalveluiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko tilisiirtoa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko asiakkaan katsoa luovuttaneen maksuvälineensä sen käyttöön oikeudettomalle maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla tai voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Lain 72 §:n 1 ja 3 momentin mukaan
Jos maksupalvelun käyttäjä kiistää antaneensa suostumuksensa maksutapahtuman toteuttamiseen, hänen palveluntarjoajansa on osoitettava, että suostumus on annettu sovitulla tavalla. Jos maksupalvelun käyttäjä väittää, että maksutapahtumaa ei ole toteutettu asianmukaisesti, palveluntarjoajan on osoitettava, että maksutapahtuma on kirjattu ja merkitty tileille oikein ja ettei maksutapahtuman käsittelyyn ole vaikuttanut tekninen vika tai muu häiriö.
[…]
Se seikka, että palveluntarjoaja voi näyttää, että suostumus maksutapahtuman toteuttamiseen on annettu maksuvälineellä, ei välttämättä yksin riitä osoittamaan, että maksuvälineen haltija on antanut suostumuksensa maksutapahtuman toteuttamiseen, toiminut petollisesti taikka laiminlyönyt tahallisesti tai törkeän huolimattomasti 53 ja 54 §:ssä säädettyjä velvollisuuksiaan.

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehdon mukaan
Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole pankin hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
[…]
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa.
[pankki]-verkkopalveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.

Pankkitunnusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun. […]

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan mukaan
 [pankki]-verkkopalveluiden käyttö –kohdan mukaan
Asiakas tunnistautuu [pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
Asiakas voi tunnistautua [pankki]-verkkopalveluihin myös muulla Palveluntarjoajan tarjoamalla tai Palveluntarjoajan hyväksymällä Kolmannen osapuolen myöntämällä varmenteella tai tunnistusvälineellä. Jos Kolmannen osapuolen tarjoamaa varmennetta tai tunnistusvälinettä koskeva sopimus on tunnistusvälineen tai varmenteen säilyttämisen ja / tai käyttämisen osalta ristiriidassa [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisten ehtojen kanssa, sovelletaan ensisijaisesti [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisiä ehtoja.
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankki]-verkkopalveluissa. Edellä sanottu ei rajoita Asiakkaan oikeutta käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Pankkitunnusehtojen Maksutoimeksiannot -kohdan mukaan
Asiakas voi antaa pankille maksutoimeksiantoja [pankki]-verkkopalveluissa. […]
Maksut välitetään Euromaksualueella välitettävien euromaksujen tai Lähetettävien ja saapuvien valuuttamaksujen yleisten ehtojen (Maksujen välityksen yleiset ehdot) mukaisesti. Palveluntarjoaja voi määritellä palvelun kautta välitettäville maksuille ylä- tai alarajan.
[Pankki]-verkkopalveluihin kirjautumisen jälkeen Asiakas antaa suostumuksensa maksutoimeksiannon toteuttamiseen hyväksymällä toimeksiannon. Tämä koskee myös Verkkomaksupainiketta.  […]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt asiassa teknisen selvityksen tapahtumista ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja ko. ulkomaanmaksu vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin lokitietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankin kanssa.

Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet omalla laitteellaan kirjautumisen asiakkaan verkkopankkiin. Pankki on tämän johdosta lähettänyt asiakkaalle 18.8.2021 klo 08:17 tekstiviestin: ”Olet kirjautumassa tunnuksillasi [Pankki]-verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa 285 vastaavalla avainluvulla. [Pankki]”

Pankkilautakunta katsoo, että asiakkaan on täytynyt syöttää em. viestissä mainittu avainluku valesivustolle luulleessaan olevansa oikeilla pankin verkkosisuilla kirjautumassa verkkopankkiinsa. Rikolliset ovat näin saaneet tietoonsa asiakkaan verkkopankkiin kirjautumisen edellyttämän avainluvun ja päässeet kirjautumaan asiakkaan verkkopankkiin.

Rikolliset ovat siirtäneet asiakkaan verkkopankissa asiakkaan korttien credit-tileiltä yhteensä 5.500 euroa asiakkaan tilille. Tämän jälkeen rikolliset ovat tehneet verkkopankissa maksutoimeksiannon ulkomaille, minkä seurauksena pankki on lähettänyt klo 8.25 asiakkaalle tekstiviestin: ”8000 EUR tilille GB38 REVO xxxx xxxx xxxx44. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 282 vastaavalla avainluvulla. [Pankki]”.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että em. viestissä mainitun ja ko. tilisiirron toteuttamisen edellyttämän avainluvun on täytynyt päätyä rikollisille siten, että asiakas on syöttänyt avainluvun valesivuille, minkä jälkeen rikolliset ovat voineet vahvistaa ko. maksutoimeksiannon asiakkaan verkkopankissa. Asiassa saadun selvityksen ja asiakkaan asiassa kertoman perusteella Pankkilautakunta katsoo asiassa jääneen epäselväksi, mitä asiakas on ko. sivuilla itse nähnyt em. avainlukua sivuille laittaessaan.

Maksajan suostumus maksutapahtumalle

Vaikka asiakkaan vastaanottamassa pankin lähettämässä tekstiviestissä on näkynyt ko. maksun tiedot, ei asiakas kuitenkaan itse ole syöttänyt viestissä mainittua avainlukua verkkopankissaan vaan rikollisten luomilla valesivuilla. Ko. ulkomaanmaksua koskevan toimeksiannon ovat luoneet ja vahvistuksen sille antaneet edellä katsotuin tavoin asiakkaan verkkopankkiin omalla laitteellaan päässeet rikolliset, ja näin ollen Pankkilautakunta katsoo, ettei asiakas ole itse vahvistanut ko. tilisiirtoa eikä siten ole myöskään antanut maksupalvelulain 38 §:ssä tai pankkitunnusehdoissa tarkoitettua suostumustaan maksutoimeksiannon toteuttamiselle. Näin ollen tilisiirtoa on pidettävä maksupalvelulaissa tarkoitetulla tavalla oikeudettomana.

Pankkitunnusten ja maksuvälineen luovuttaminen

Pankkilautakunta toteaa, että maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan lain 62 §:n 1 momentin 1) kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa asiakas on asiointinsa ajan ja pankkitunnuksiaan verkkopankin verkkosivuilta näyttäneillä valesivuilla käyttäessään luullut asioivansa pankkinsa kanssa ja näin ollen Pankkilautakunta katsoo, että asiakas ei ole tietoisesti luovuttanut pankkitunnustietojaan niiden käyttöön oikeudettomalle, ja ettei tapauksessa siten ole kyse maksupalvelulaissa tai pankkitunnusehdoissa tarkoitetusta tunnusten luovuttamisesta.

Näin ollen Pankkilautakunnan arvioitavaksi jää, vastaako asiakas pankkitunnustensa oikeudettomasta käytöstä maksupalvelulain 62 §:n 1 momentin 2) kohdan perusteella, ts. lautakunnan on arvioitava, johtuuko pankkitunnusten oikeudeton käyttö siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. Edelleen ehtojen mukaan [Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville ja ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla ja jätettyään tarkastamatta kyseisen verkkosivuston suojauksen.

Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen hänelle lähetetyn tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Edelleen lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä erityistä huomiota siihen, että vaikka pankin pankkitunnusehtojen mukaan tunnuksia ei saa koskaan käyttää kirjautumiseen pankin verkkopalveluihin asiakkaalle sähköisellä tavalla lähetetyn linkin kautta, Pankkilautakunnan tietojen mukaan pankki kuitenkin itse on joissain tilanteissa voinut lähettää asiakkailleen tekstiviestejä, jotka ovat sisältäneet linkkejä pankin omille verkkosivuille. Tämä pankin toimintatapa voi osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edelleen lautakunta kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin lähettävät asiakkailleen asiointia koskevia ja linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - mitä ilmeisimmin toimiakseen käsityksensä mukaan pankin havaitseman petollisen maksun estämiseksi - käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan pankiltaan maksun vahvistamista koskevan tekstiviestin, jossa on näkynyt vahvistettavan maksun tiedot, asiakkaan olisi tullut ymmärtää olla antamatta tekstiviestissä mainittua järjestysnumeroa vastaavaa avainlukua verkkosivuille. Asiakkaan kertoman mukaan hän on luullut toimivansa pankin verkkosivuilla ja hänen keskittymiskykynsä on heikentynyt, mutta asiassa on jäänyt osin epäselväksi, mitä asiakas on ko. valesivuilla itse nähnyt em. avainlukua sivuille syöttäessään. Ottaen huomioon, että asiakkaan pankilta saama tekstiviesti on ollut tavanomainen pankin lähettämä maksun vahvistamista koskeva viesti, jossa on näkynyt vahvistettavan maksun tiedot, lautakunta katsoo, että vaikka pankin verkkosivuilta näyttävillä valesivuilla olisi esitetty kyseistä avainlukua edellytettävän johonkin toiseen toimenpiteeseen, asiakkaan olisi tullut ymmärtää keskeyttää asiointinsa. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan annettua kyseisen tilisiirron vahvistamista varten pyydetyn avainluvun verkkosivuille asiaa kyseenalaistamatta Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan. Asiassa saadun kokonaisselvityksen perusteella ja ottaen erityisesti huomioon sen, että asiakkaan pankilta saama maksun vahvistamista koskeva tekstiviesti on kuitenkin ollut tietosisällöltään suppea ja asiakas on mitä ilmeisimmin ymmärtänyt käyttävänsä kyseistä avainlukua nimenomaan estääkseen pankin aiemmassa tekstiviestissä varoittaman petollisen maksun toteutumisen, lautakunta katsoo, ettei asiakkaan menettelyn kokonaisuutena kuitenkaan voida katsoa osoittavan hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo, ettei asiakas ole antanut ko. tilisiirrolle maksupalvelulaissa tarkoitettua suostumustaan ja että kyse on siten pankkitunnusten oikeudettomasta käytöstä maksuvälineenä. Lautakunta katsoo oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla, mutta ei kokonaisuutena arvioiden kuitenkaan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta osoittavalla tavalla. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Laine
Pulkkinen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia