Tapahtumatiedot
Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 4.6.2021 klo 09:16 lähettämässä tekstiviestissä olleella aktivointikoodilla on aktivoitu käyttöön pankin mobiilisovellus. Em. mobiilisovellusta hyväksi käyttäen asiakkaan verkkopankkiin on kirjauduttu klo 9:20 ja tehty klo 09:27-09:31 välisenä aikana kolme oikeudetonta tilisiirtoa yhteisarvoltaan 10.000 euroa. Tilisiirrot on tehty asiakkaan, hänen puolisonsa B:n ja yrityksen X Oy tileiltä, joiden käyttöoikeus asiakkaalla on ollut.
Asiakas on itse kirjautunut verkkopankkiinsa klo 09:23 avainlukukortillaan tunnistautuen ja maksanut verkkopankissa laskuja klo 09:26-09:36 välisenä aikana.
Asiakkaan verkkopankkitunnukset on suljettu asiakkaan pankkiin ottaman yhteydenoton johdosta 4.6.2021 klo 11.02.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan 10.000 euroa ja mahdolliset muut kulut.
Asiakas joutui 4.6.2021 petosrikoksen / törkeän varkauden ja tietomurron kohteeksi pankin verkkopankissa. Asiakas toimi täysin normaalien huolellisuusvelvoitteiden mukaisesti, joita voidaan edellyttää kuluttajalta tai mikroyritykseltä verkkopankin käytössä.
Asiakkaan verkkopankkiin käyttämä tietokone on uusi ja siihen on asennettu uusimmat virustorjunta- ja palomuuriohjelmat. Myös asiakkaan älypuhelimessa on normaalit ja uusimmat virustorjunta- ja palomuuriohjelmat.
Asiakas meni 4.6.2021 normaalilla tavalla verkkopankkiin maksamaan laskuja ja kirjautui sisään suosikkilistan kautta. Asiakkaalla on avaintunnuskortti, ei avaintunnussovellusta. Asiakas on normaalilla tavalla syöttänyt verkkopankkiin maksettavia maksuja. Lopuksi asiakas on ryhtynyt vahvistamaan maksut normaalilla tavalla käyttäen tunnuslukutaulukkoa ja tekstiviestivahvistusta. Laskujen maksu keskeytyi yllättäen, kun koko pankkiyhteys meni poikki. Asiakas yritti vielä ainakin kahdesti pankin verkkosivuille pääsemättä sisään.
Asiakas jatkoi laskujen maksua seuraavana aamuna. Asiakas hyväksyi normaalit maksunsa tekstiviestisovelluksen ja tunnuslukutaulukon mukaan. Maksettuaan normaalit maksunsa asiakas tarkasti vielä niiden läpimenon käyttötililtään. Tällöin hän huomasi tuntemattoman ihmisen ulkomainen nimen, jolle oli merkittynä vahvistettavia maksuja asiakkaan puolison B:n osalta 5.000 euroa, A:n osalta 3.000 euroa ja X Oy:n osalta 2.000 euroa. Asiakas ei ole vahvistanut kyseisiä kolmea ulkomaista maksua.
Huomattuaan oudon ulkomaisen nimen asiakas on keskeyttänyt verkkopankin käytön ja lähtenyt heti pankkiin selvittämään asiaa. Tällä välillä olivat maksut lähteneet tileiltä. Virkailija huomasi rahojen kadonneen. Pankki yritti saada rahoja takaisin siinä onnistumatta.
Asiassa on ilmeistä, että ulkomainen nettirikollinen on päässyt pankin tietojärjestelmään sisälle. Asiakas on toiminut normaalien huolellisuusvelvoitteiden mukaisesti. Pankin tietoturvallisuus verkkopankin osalta on pettänyt, kun tietomurron tekijä on kyennyt pääsemään järjestelmän sisälle, luomaan sinne maksutehtäviä ja vielä lähettämään maksujen vahvistamisen tekstiviestejä.
Asiakas katsoo, että pankki on vastuussa tietojärjestelmäänsä murtautumisesta ja sitä kautta vahingosta, jonka ulkomainen nettirikollinen on saanut aikaan asiakkaalle. Asiakas ei ole antanut verkkopankkinsa tunnuksia, salasanoja tai tunnuslukutaulukkoja kenellekään ulkopuoliselle.
Pankin vastine
Tapahtumien kulku
Asiakas A ja hänen puolisonsa B ovat olleet yhteydessä pankkiin 4.6.2021 ja kertoneet, että heidän henkilökohtaisilta sekä yrityksen tililtä on tehty oikeudettomia tilisiirtoja 3 kpl yhteensä 10.000 eurolla. B:n tililtä on tehty 5.000 euron tilisiirto, A:n tililtä 3.000 euron tilisiirto ja X Oy:n tililtä 2.000 euron tilisiirto. Lisäksi vahvistamattomissa maksuissa oli 2 kpl epäilyttäviä maksuja, joita asiakkaat eivät itse ole tehneet. Maksut oli tehty aamulla 4.6.2021, kun A on ollut maksamassa laskuja omilla pankkitunnuksillaan verkkopankissa. Asiakkaat ovat kertoneet, että heillä ei ole ollut käytössään pankin mobiilisovellusta. Asiakkaiden yhteydenoton yhteydessä pankissa on huomattu, että A:lla on kuitenkin ollut pankin mobiilisovellus ladattuna.
Pankki on lakkauttanut A:n nimissä olleet verkkopankkitunnukset sekä estänyt sovelluksen käytön välittömästi asiakkaiden yhteydenoton myötä 4.6.2021 klo 11.02 ja poistanut vahvistamattomat oikeudettomat maksut. Pankki on tehnyt varojen palautuspyynnöt / maksujen oikaisupyynnöt välittömästi yhteydenoton jälkeen samana päivänä. Pankki on myös kehottanut asiakkaita tekemään tapahtumista rikosilmoituksen mahdollisimman pian. Pankki on saanut 8.6.2021 ilmoituksen siitä, että varoja ei ole saatu palautetuksi ja informoinut asiakkaita tästä heti tiedon saatuaan.
Asiakkaat ovat tapaamisessa 10.6.2021 pankin konttorilla kertoneet, että A oli kirjautunut aamulla 4.6.2021 tietokoneella verkkopankkiin käyttäen omia verkkopankkitunnuksiaan. A ei ole tuolloin osannut kertoa, kuinka hän on päätynyt pankin verkkosivuille. A on kuitenkin ollut yllättynyt siitä tiedosta, että googlen kautta ei tulisi hakea pankin tai muiden viranomaisten verkkosivuja.
Pankin vastauksen liitteenä olevista lokitiedoista käy ilmi, että pankin mobiilisovelluksen rekisteröinti on tapahtunut 4.6.2021 klo 9:16:55. Sovelluksen vahvistusviesti on lähetetty A:n puhelinnumeroon. Mobiilisovelluksen rekisteröintiviestin sisältö on ollut seuraava: ”Viesti-id: BSHXK. Syötä [pankin mobiilisovellus] sovellukseen koodi: 558287 rekisteröinnin loppuun viemiseksi.”
Seuraava kirjautuminen verkkopankkiin on tapahtunut samana päivänä klo 9:20:22 ja tunnistautumiseen on käytetty pankin mobiilisovellusta. Tämän kirjautumisen aikana on tehty yhteensä 5 kpl tilisiirtoja, määrältään 27.000 euroa. Näistä kuitenkin 2 maksua on epäonnistunut, sillä tilillä ei ole ollut tarpeeksi rahaa. Maksuista 3 on onnistunut ja niiden määrä on ollut yhteensä asiakkaiden kertoman mukainen 10.000 euroa.
Seuraava kirjautuminen verkkopankkiin on tapahtunut klo 9:23:56 ja tunnistaminen on tapahtunut avainlukukortilla. Tämän kirjautumisen IP-osoitteesta sekä tapahtumista on pääteltävissä, että kyseessä on ollut asiakkaan oma kirjautuminen ja laskujen maksaminen. Sisäänkirjautumisen vahvistusviesti ja laskujen klo 09.24-09.36 tehtyä maksamista koskevat lisävahvistusviestit on lähetetty asiakkaan puhelinnumeroon.
Verkkopankkisopimus
A:n oikeus käyttää omaa tiliään verkkopankkitunnuksilla on perustunut pankin ja asiakkaan kesken allekirjoitettuun verkkopankkitunnuksia koskevaan palvelusopimukseen. Sen sijaan se, että A:lla on ollut oikeus käyttää B:n sekä X Oy:n tilejä omassa verkkopankissaan on perustunut osapuolten keskinäiseen tilinkäyttövaltuutukseen.
Asian arviointi
Asiassa on riidatonta ja selvää se, että A:n, B:n ja X Oy:n tileiltä on tehty oikeudettomia tilisiirtoja 4.6.2021 yhteensä 10.000 euron arvosta. Tilisiirrot ovat olleet mahdollisia siitä syystä, että asiakas A on luovuttanut verkkopankkitunnukset rikolliselle toimijalle ja hyväksynyt tekstiviestivahvistuksen, jolla toimija on pystynyt lataamaan pankin mobiilisovelluksen ja tämän myötä käyttämään A:n verkkopankkitunnuksia tilisiirtojen toteuttamiseen.
Sekä pankkiryhmä että muut pankkiryhmät ovat olleet paljon esillä mediassa, lehdissä, sosiaalisessa mediassa sekä valtakunnan uutisissa huijausviestien sekä huijaussivustojen vuoksi kevään ja kesän 2021 aikana. Pankki on muun muassa julkaissut verkkosivuillaan 20.5.2021 ja 3.6.2021 tiedotteet, joissa on kehotettu olemaan kirjautumatta verkkopankkiin hakukoneiden kautta. Samalla pankki on varoittanut liikkeellä olevan ns. hakukonehuijauksia. Asiakkaita on ohjattu kirjautumaan pankin verkkopankkiin vain virallisten verkkosivujen kautta, ei hakukoneita käyttäen. Lisäksi asiakkaita on varoitettu sähköpostilla ja tekstiviesteillä leviävistä pankkien nimissä lähetetyistä huijausviesteistä.
Asiakkaiden kanssa 10.6.2021 käydyn keskustelun jälkeen pankki on vakuuttunut siitä, että asiakas A on kirjautunut pankin ns. valesivustoille, joille asiakas on päätynyt googlen tai vastaavan hakukoneen kautta. Tästä syystä asiakkaan verkkopankin käyttäjätunnus ja salasana ovat päätyneet oikeudettomasti toiselle käyttäjälle. Tämä toinen käyttäjä on onnistunut lataamaan käyttäjätunnusta ja salasanaa apuna käyttäen pankin mobiilisovelluksen, ja A on nimenomaisella tekstiviestivahvistuksella puhelinnumerostaan hyväksynyt pankin mobiilisovelluksen käyttöönoton.
Pankki katsoo, että pankkitunnusten haltijan tulisi pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasu sekä se, että verkkosivujen URL-osoite vastaa todellista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle kirjaudutaan hakukoneen kautta. Pankki on antanut asiasta turvallisuusohjeistusta edellä mainituissa tiedotteissaan.
Pankki katsoo, että verkkopankin turvalliseen käyttöön liittyviä vaatimuksia tulee verrata muuhun maksuvälineen käyttöön, jossa maksuvälineen haltijan tulee kiinnittää huomiota esimerkiksi maksupäätteeseen, johon maksuvälinettä tai sen tietoja ollaan syöttämässä. Verkkosivujen tarkastamatta jättäminen ilmentää pankin arvion mukaan osaltaan asiakkaan huolimattomuutta maksuvälineen käytössä. Pankin näkemyksen mukaan asiakkaan olisi tullut tarkistaa sivujen oikeellisuus korostunutta huolellisuutta noudattaen myös siitä syystä, että hänellä on ollut verkkopankin kautta mahdollisuus käyttää omien tilien lisäksi puolisonsa sekä yrityksensä tilejä.
Yllä kuvatun menettelyn seurauksena hakija antanut rikolliselle toimijalle mahdollisuuden tehdä tilisiirtoja omalta, puolisonsa sekä yrityksen tileiltä käyttäjätunnuksen ja pankin mobiilisovelluksen avulla. Tapahtumien kulku on todennettavissa liitteessä olevista lokitiedoista pankin tietojärjestelmien ylläpitäjältä.
Tapahtumat eivät siten ole johtuneet pankin järjestelmissä olleista ongelmista eikä pankin laiminlyönneistä. Tapahtumat ovat johtuneet A:n omasta huolimattomuudesta verkkopankkitunnuksien luovuttamisessa. Pankki pitää asiassa ratkaisevana sitä, että hakija on nimenomaisesti vahvistanut pankin mobiilisovelluksen lataamisen omaan puhelimeensa saapuneella tekstiviestivahvistuksella, vaikka hakija ei ole ollut sovellusta itse lataamassa. Tämä sekä verkkopankkisivuston varmistamisen laiminlyönti osoittaa tapauksessa pankin näkemyksen mukaan sellaista verkkopankkitunnusten haltijan törkeää huolimattomuutta, jonka perusteella pankilla ei ole asiassa korvausvelvollisuutta.
Lisäksi pankin näkemyksen mukaan pankin korvausvelvollisuutta B:n sekä X Oy:n tileiltä tapahtuneita 5.000 euron ja 2.000 euron oikeudettomia tilisiirtoja kohtaan tulee arvioida eri lähtökohdista kuin A:n omalta tililtä tapahtunutta 3.000 euron oikeudetonta tilisiirtoa. Edellä kerrotulla tavalla A:n oikeus käyttää B:n ja X Oy:n tilejä oman verkkopankkinsa kautta on perustunut tilinkäyttövaltuutukseen. Näin ollen pankki ei ole ollut maksupalvelulain (290/2010) edellyttämässä sopimussuhteessa B:n tai X Oy:n kanssa.
B ja X Oy eivät ole tapauksessa maksupalvelulain 8 § mukaisia maksupalvelun käyttäjiä. Myös maksupalvelulain 69 § korvausvelvollisuutta koskeva pykälä koskee vain maksupalvelun käyttäjälle aiheutuneita vahinkoja ja välillisten vahinkojen korvattavuus edellyttää huolimattomuutta palveluntarjoajan toiminnassa. Edellä mainituin perustein pankin korvausvelvollisuutta B:n tai X:n tileiltä tapahtuneita oikeudettomia tilisiirtoja kohtaan tulee pankin näkemyksen mukaan arvioida Vahingonkorvauslain (412/1974) nojalla.
Vahingonkorvauslain lähtökohtana on lain 2 luvun 1 §:n mukainen vahingon aiheuttajan korvausvelvollisuus. Lain mukaan vahingon aiheuttaja eli tässä A on korvausvelvollinen B:lle sekä X Oy:lle heidän tileiltään tehtyjen maksujen osalta. Pankin korvausvelvollisuus edellyttäisi sitä, että pankki olisi vahingon aiheuttaja ja että pankin toiminta olisi ollut tahallista tai tuottamuksellista. Lisäksi vahingonkorvauslain mukaisesti taloudellisen vahingon korvaaminen edellyttää erityisen painavia perusteita. Vahingonkorvauslain mukainen näyttötaakka asiassa on asiakkaalla.
Pankin näkemyksen mukaan asiassa ei ole ollut mitään sellaisia tapahtumia tai esitetty mitään sellaisia väitteitä, joka johtaisi pankin korvausvelvollisuuteen B:lle tai X Oy:lle. Pankki on menetellyt asiassa välittömästi asiakkaiden pyyntöjen, pankin ohjeiden, lain ja hyvän pankkitavan mukaisesti.
Edellä mainituista syistä pankki on aikaisemmin päättänyt olla maksamatta korvausta tai hyvitystä asiakkaille ja pankki edelleen kiistää korvausvelvollisuutensa asiassa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakopio asiakkaan 4.6.2021 pankilta saamista kahdesta tekstiviestistä klo 09.04 ja 09.17
- Kirjallinen vahvistus rikosilmoituksen tekemisestä (7.6.2021)
- Lokitiedot
- Pankin henkilöasiakkaiden verkkopankkitunnusten palveluiden yleiset ehdot
- Tiliotteita
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin henkilöasiakkaisen pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Soveltamisala -kohdan mukaan
"[…] Asiakas sitoutuu noudattamaan näiden yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. […]"
Pankkitunnusehtojen Pankkitunnusten myöntäminen ja käyttäminen verkkopalvelussa -kohdan mukaan
”[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla.
Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta.
Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksu- ja muut toimeksiannot, hakemukset, sopimukset sekä viestit sitovat asiakasta sen jälkeen, kun ne on lähetetty pankille palvelussa edellytetyllä tavalla.”
Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
"Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
[…] Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma."
Pankkitunnusehtojen Ilmoitus pankkitunnusten katomaisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
”Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]”
Pankkitunnusehtojen Pankkitunnusten käyttäminen sähköiseen tunnistamiseen (Tunnistuspalvelu) -kohdan mukaan
”Asiakas voi tunnistautua pankkitunnuksilla myös kolmansien osapuolten palveluissa, jos pankki tai muu palveluntarjoaja ja kolmas osapuoli ovat näin sopineet. […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja nyt osin epäselväksi jääneellä tavalla päätynyt pankin verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Tämä on asiassa saadun selvityksen perusteella tapahtunut vain minuutteja ennen asiakkaan oikeilla pankin verkkosivuilla tekemää onnistunutta kirjautumista verkkopankkiinsa 4.6.2021 klo 09:23.
Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt klo 09:16 asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin.
Pankkilautakunta katsoo, että myös aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Pankkilautakunta katsoo ilmeiseksi, että luullessaan olevansa kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin.
Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Asiakkaan pankkitunnusten käyttäjätunnuksella ja pankin mobiilisovelluksella vahvistaen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin klo 9:20 ja mobiilisovelluksella vahvistaen tehneet klo 09:27-09:31 ko. tilisiirrot tileiltä, joiden käyttöoikeus asiakkaalla on ollut.
Asiakkaan menettelyn arviointi
Asiakkaan mukaan hän meni pankin verkkosivuille selaimessa olleen suosikkilistansa kautta ja asiointi eteni normaalisti, kunnes laskujen maksu keskeytyi pankkiyhteyden mentyä poikki. Pankki on katsonut asiakkaan päätyneen valesivustolle hakukoneen kautta ja pankki on kiinnittänyt huomiota mm. siihen, että pankki on tiedotteillaan kehottanut asiakkaitaan olemaan kirjautumatta verkkopankkiin hakukoneiden kautta ja varoittanut liikkeellä olevan ns. hakukonehuijauksia. Pankki on myös katsonut, että pankin verkkopalveluja käyttäessä tulisi tarkistaa verkkosivujen ulkoasu sekä se, että verkkosivujen URL-osoite vastaa todellista pankin verkkosivujen osoitetta.
Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia.
Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.
Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on huomaamattaan päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille, mutta asiassa jääneen yksityiskohdiltaan epäselväksi, miten asiakas on sivuille päätynyt. Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja niitä koskevien ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.
Pankkilautakunta kiinnittää tässä tapauksessa kuitenkin erityistä huomiota pankin asiakkaalle lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen informaatioarvoon. Pankkilautakunta katsoo myös ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Ottaen vielä huomioon, että asiakkaan pankilta saama tekstiviesti on ollut pituudeltaan tavanomaisen verkkopankkiin kirjautumista koskevan viestin pituinen ja siinä ollut koodi on myös ollut saman pituinen kuin verkkopankkiin kirjautuessa, lautakunta pitää ymmärrettävänä, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakkaan huomio ei rutiininomaisessa kirjautumistilanteessa ole kiinnittynyt tekstiviestin sanalliseen sisältöön hänen syöttäessään viestissä ollutta koodia pankin verkkosivuilta näyttäville valesivuille.
Asiassa saadun kokonaisselvityksen perusteella ja erityisesti viimeksi todettu huomioiden Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Selvyyden vuoksi Pankkilautakunta vielä toteaa, ettei maksupalvelulain maksuvälineen oikeudetonta käyttöä ja maksuvälineen haltijan ja palveluntarjoajan välistä vastuunjakoa koskevia säännöksiä ole rajattu koskemaan ainoastaan maksuvälineen haltijan omista varoista tai henkilökohtaisilta tileiltä hänen maksuvälineellään oikeudetta tehtyjä tapahtumia. Näin ollen myös tässä tapauksessa edellä mainittu pankin vastuu asiakkaan pankkitunnusten oikeudettomasta käytöstä koskee kaikkia tunnuksilla oikeudettomasti tehtyjä tilisiirtoja.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet:
Ahlroth
Atrila
Piilo
Pulkkinen