Haku

FINE-045892

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-045892 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.08.2022

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdystä tilisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Tunnustenhaltijan huolimattomuus.

Tapahtumatiedot

Asiakkaan verkkopankkitunnuksilla (käyttäjätunnus, salasana, avainlukukortin pyydetty numero ja pankin asiakkaan puhelinnumeroon tekstiviestitse lähettämä vahvistuskoodi) on kirjauduttu oikeudettomasti asiakkaan verkkopankkiin 10.11.2021 kello 14.34. Verkkopankissa asiakkaan pankkitunnuksiin liitetty lisävahvistusnumero on vaihdettu klo 14.38. Lisävahvistusnumeron vaihtoa koskevan turvaluvun pankki on lähettänyt klo 14.38 tekstiviestitse tunnuksiin liitettyyn uuteen rikollisten puhelinnumeroon. Lisävahvistusnumero on vaihdettu verkkopankissa toistamiseen klo 14.39. Tämän jälkeen verkkopankissa on muodostettu 12.000 euron ulkomaanmaksutoimeksianto, jonka tallennus lopullista hyväksyntää odottamaan on vahvistettu pankin rikollisten puhelinnumeroon klo 14.41 lähettämän tekstiviestin vahvistusluvulla. Asiakkaan pankkitunnuksiin liitetty puhelinnumero on vaihdettu verkkopankissa jälleen klo 14.49 ja pankki on lähettänyt ko. numeroon em. maksun lisävahvistustekstiviestin. Tämän lisävahvistustekstiviestin lisäksi lopullinen maksaminen on pitänyt vahvistaa asiakkaan avainlukukortin turvaluvulla, mikä on tapahtunut klo 14.51.

Seuraavana päivänä 11.11.2021 klo 13 jälkeen pankista on soitettu asiakkaalle ja kerrottu ko. 12.000 euroa siirrosta. Asiakkaan pankkitunnukset on suljettu klo 13.44.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan hänen menettämänsä 12.000 euroa.

Tapahtuman kulku on hämärä johtuen shokista, jonka tapahtuma on aiheuttanut. 10.11.2021 asiakas kirjautui verkkopankkiin maksakseen puhelinlaskun. Asiakas on kirjoittanut hakukenttään www.[pankki].fi ja valinnut tuloksista pankin sivun niin kuin useasti aikaisemminkin. Kirjautumissivusto oli täysin saman näköinen kuin aina aikaisemminkin, kun asiakas on verkkopankkiin kirjautunut, eikä asiakas rutinoituneena pankkisivuston käyttäjänä pystynyt erottamaan sivua huijaussivustoksi. Asiakas on käyttänyt pankin verkkopankkia laskujensa maksamiseen koko ajan, kun on ollut pankin asiakas eli noin kaksi vuotta. Myös edellisessä pankissa asiakkaan käytössä oli verkkopankki, joten sen käyttö on tullut tutuksi.

Asiakkaan muistin mukaan hän ei missään vaiheessa antanut sivustolle käyttäjätunnusta ja salasanaa, vaan sivusto kysyi heti avainlukua, jonka jälkeen sivusto kysyi uudelleen avainluvun. Annettuaan avainluvun toistamiseen sivuston keskelle ilmestyi pieni sivu, jossa pyöri ns. lataussivu, jossa luki asiakkaan muistin mukaan tämän tapaista: "[Pankin] sivuilla päivityksiä, sivustolle pääsee 48 tunnin kuluttua". Päivityssivun ilmestyttyä asiakas kirjautui välittömästi ulos sivustolta oikealla yläkulmassa olevasta uloskirjautumispainikkeesta ja sulki koneen. Asiakkaan muistin mukaan tämä istunto pankin sivuilla kesti maksimissan 5-8 minuuttia.

Seuraavana päivänä 11.11.2021 noin klo 13.13 pankista soitti virkailija ja tiedusteli, onko asiakas edellisenä päivänä käyttänyt tai nostanut säästötililtään 12.000 euroa, ja pyysi tulemaan konttorille. Pankkivirkailijan olisi pitänyt ohjeistaa ottamaan yhteys heti hätäkeskukseen niin olisi ollut nopeammin mahdollisuus päästä kadonneiden rahojen jäljille. Asiakas meni konttoriin 12.11.2021, jolloin virkailija ilmoitti, että pankki ei ole korvausvelvollinen.

Asiakas on 69-vuotias eikä pankki voi olettaa, että asiakkaan ikäinen ihminen kykenee kirjautuessaan verkkopankkiin erottamaan, onko sivu aito vai huijaussivusto. Asiakas olettaa ja luottaa siihen, että pankki on huolehtinut sivuston turvallisuudesta ja velvollisuudestaan säilyttää asiakkaansa varat tilillä varsinkin, kun kyseessä on säästötili.

Asiakkaan puhelimesta ei löydy kyseiseltä päivältä pankin lähettämää viestiä. Asiakas pyysi operaattorilta puhelimeensa saapuneiden tapahtumien lokia 10.11.2021 päivältä, mutta operaattori ei luovuta niitä asiakkaalle tietosuojaan vedoten. Tämän jälkeen asiakas pyysi asiakkaan puhelimeen saapuneista tapahtumista lokitietoja poliisilta, mutta poliisi ei poliisilakiin vedoten suorittanut pyydettyä toimenpidettä. Asiakkaan on mahdotonta edes tarkistaa, onko pankista tullut sisäänkirjautumiseen vahvistusviestiä, kun saapuneiden tapahtumien lokitietoja ei luovuteta hänelle eikä ko. viestiä löydy hänen puhelimestaan. Asiakas ei muista poistaneensa puhelimesta pankin viestejä.

Asiakas pyytää, että asiaa käsiteltäessä kiinnitetään huomiota ko. pankin järjestelmien turvallisuuteen. Palveluntarjoajalla on oltava turvalliset ja toimintavarmat tietojärjestelmät. Niiden tietoturva tulee olla ajantasainen ja asiakkaan tulee voida luottaa, että järjestelmät ovat luotettavia ja että tietoihin pääsy on vain niillä, jotka ovat oikeutettuja ko. tietoja käyttämään eikä se paljastu muille.

Em. huomioon ottaen verkkopankkijärjestelmässä on oltava iso tietoturva-aukko, koska pankin järjestelmä sallii yhden "istunnon" aikana lähettää viestejä useaan kertaan kolmeen eri ulkomaalaiseen numeroon. Järjestelmän tulisi reagoida myös asiakkaan tilillä tapahtuvaan poikkeavaan tapahtumaan ja pankin tulisi kiinnittää huomiota nopeammin yksityisasiakkaiden tileillä isoihin ulkomaille lähteviin tilisiirtoihin. Tässä tapauksessa pankilla meni noin vuorokausi ennen kuin he kiinnittivät huomiota tilisiirtoon ja ilmoittivat siitä asiakkaalle.

Asiakas viittaa myös pankin eriarvoiseen tapaan käsitellä vastaavia asioita. Asiakkaan tietoon on tullut, että ko. pankin erään urheiluseuran tilille kävi samalla tavalla ja sieltä katosi lähes 10.000 euroa, jotka pankki korvasi asiakkaan vaatimuksesta ilman FINEn käsittelyä. Asiakkaita tulisi kohdella tasavertaisesti.

Pankin vastine

Pankin järjestelmien mukaan 10.11.2021 kello 14.34 asiakkaan tunnuksilla on kirjauduttu pankin tarjoamaan verkkopankkiin ja kirjautuminen on tapahtunut avainlukukortilla. Kirjautuakseen verkkopankkiin tulee syöttää käyttäjätunnus, salasana sekä avainlukukortin pyydetty numero. Tämän lisäksi on hänen numeroonsa lähetetty vahvistuskoodi "vahvista sisäänkirjaus palveluun. Vahvista vahvistuskoodilla 230854", jonka koodi on syötetty sisäänkirjautumissivulle.

Asiakas kertoi pankille ensimmäisessä antamassansa suullisessa selvityksessä 11.11.2021, että hän oli kirjoittanut Edge-selaimen hakukenttään www.[pankki].fi ja sitten valinnut ensimmäisen vaihtoehdon hakukoneen tuloksista. Ensimmäinen vaihtoehto on hänen selvityksensä mukaan vienyt suoraan verkkopankin kirjautumissivustolle. Asiakas kertoi, että sivusto oli ilmoittanut olevansa huoltotilassa seuraavan 48 tunnin ajan, mutta silti pyytänyt avainlukukortin numeroita kahteen kertaan, jotka hän syötti sivustolle. Sivusto oli sitten jäänyt pyörimään. Hänen mielestänsä hän ei ollut laittanut käyttäjätunnusta sivustolle.

Pankin näkemyksen mukaan pankkitunnusten joutumisen oikeudettomasti toisen haltuun on täytynyt todennäköisesti tapahtua siten, että asiakas on päätyneet pankin verkkopankin kirjautumissivua muistuttavalle huijaussivustolle, jossa on pyydetty syöttämään verkkopankkitunnusten käyttäjätunnus, salasana, avainlukukortin koodi, kertakäyttöinen tekstiviestikoodi sekä maksun vahvistamiseen vaadittava koodi. Huijarit ovat saaneet nämä tiedot huijaussivuston kautta. Tapauksessa ei ole muuta varteenotettavaa mahdollisuutta, kuin että asiakas on päätynyt huijaussivustolle hakukoneen kautta, jonka kautta on pyydetty syöttämään kyseiset koodit.

Tapahtumat ovat edenneet huijaussivustolla lokitietojen mukaan seuraavasti (kellonajat, tapahtumat ja puhelinnumerot löytyvät toimitetuista lokitiedoista): asiakas on kirjautunut sisään verkkopankkiin 10.11.2021 14.34.30 avainlukukortilla ja tästä on lähtenyt lisävahvistustekstiviesti asiakkaan numeroon. Tämän jälkeen, klo 14.38.36 on tapahtunut huijareiden toimesta lisävahvistusnumeron vaihto numeroon +358xxxxxx363. Vaihtaminen vaatii normaalin sisäänkirjautumisen, jonka jälkeen puhelinnumeron voi verkkopankin sisällä vaihtaa.  Vahvistus vaihdosta on lähtenyt tekstiviestitse ko. uuteen numeroon. Pankki ei näin ollen ole lähettänyt puhelinnumeron vaihdosta tekstiviestiä aikaisempaan numeroon. Klo 14.39.53 uudelleen lisävahvistusnumeron vaihto numeroksi +358xxxxxx779 (tekstiviesti lähtenyt ko. numeroon). Tämän jälkeen klo 14.41.56 maksun vahvistus, josta lisävahvistustekstiviesti väärinkäyttäjän numeroon +358xxxxxx779. Tämä tapahtuma kertoo sen, että huijaussivustolla huijarit ovat tallentaneet maksun järjestelmään ja tallennus on vahvistettu lisävahvistustekstiviestillä. Tässä vaiheessa maksu ei vielä lähde eteenpäin, se vain tallennetaan lopullista hyväksyntää varten. Klo 14.49.25 lisävahvistusnumero on jälleen vaihdettu, vaihto numeroon +358xxxxxx327, tästä on lähtenyt tekstiviesti ko. numeroon. klo 14.50.03 SEPA-maksun (12.000,00 euroa tilille DE96 xxxx xxxx xxxx xxxx 65) vahvistus, josta lisävahvistustekstiviesti numeroon +358xxxxxx327. Viestissä sanotaan "Vertaa viestin tietoja verkkopankin kanssa, vahvista turvaluvulla 685780". Tämän lisävahvistustekstiviestin lisäksi lopullinen maksaminen pitää vahvistaa avainlukukortin turvaluvulla. Huijarit ovat syöttäneet turvaluvun, jonka jälkeen huijaussivuston välityksellä avainlukukortin turvaluku on pyydetty asiakkaalta. Asiakas on tämän antanut, jonka jälkeen klo 14.51.29 maksu on vahvistettu avainlukukortin turvaluvulla ja tämän jälkeen maksu on lähtenyt asiakkaan tililtä.

Kun asiakas ei käytä pankin mobiilisovellusta, vaan käyttää avainlukukorttia, sisäänkirjautumiseen ja maksujen vahvistamiseen tarvitaan lisävahvistustekstiviestien lisäksi paperista, vain asiakkaan hallussa olevaa avainlukukorttia. Avainlukukortin turvaluvut ovat kertakäyttöisiä, tarkoittaen sitä, että kerran käytettyä turvalukua ei voi käyttää enää uudestaan. Tämä johtaa siihen, että vaikka huijaussivustolle on sisäänkirjautumisen yhteydessä syötetty turvaluku avainlukukortista, huijarit eivät saa tässä yhteydessä tietoonsa avainlukukortin muita turvalukuja, eivätkä myöskään voi käyttää hyödyksi sisäänkirjautumisessa käytettyä turvalukua toistamiseen omiin tarkoituksiinsa. Näin ollen klo 14.51.29 maksun vahvistaminen avainlukukortin turvaluvulla on tapahtunut asiakkaan itsensä tekemänä, sillä turvalukuja ei ole kenenkään muun tiedossa kuin asiakkaalla itsellään paperisella avainlukukortilla.

Lokitiedot eivät tallenna tietoa siitä, mitä turvalukua järjestelmä pyytää eikä lokitietoihin tallennu tästä muuta tietoa kuin kellonaika, jolloin avainlukukortista tunnusta pyydetään. Toisekseen pankki ei voi ottaa kantaa siihen, miltä huijaussivuston pyyntö on asiakkaalle koneen ruudulla näyttänyt. Sen pankki todeta, miltä pankin verkkopankkien oikealla sivustolla asiakkaalle näkyvät pyynnöt näyttävät normaalin sisäänkirjautumisen ja maksun vahvistamisen yhteydessä:

Sisäänkirjautumisen yhteydessä verkkopankki antaa tekstin: ”Vahvista sisäänkirjautuminen antamalla avaintunnusta xx vastaava turvaluku.”
Maksun syöttämisen jälkeen lähtee automaattinen lisävahvistustekstiviesti rekisteröityyn lisävahvistusnumeroon. Tämän jälkeen maksu siirtyy vahvistettavat maksut -tilaan, tarkoittaen sitä, että maksu pitää vielä vahvistaa avainlukukortin turvaluvulla, jotta se lähtee maksuun. Verkkopankissa pyyntö on oheinen:
”Vahvista yllä oleva yksittäinen maksu antamalla avaintunnusta xx vastaava turvaluku. Jos haluat vahvistaa useampia maksuja kerralla, paina Vahvistettavat maksut -painiketta.”

Yhteenvetona pankki toteaa, että maksun maksamiseen tililtä, kun käytössä on avainlukukortti, tarvitaan kaksivaiheinen maksun vahvistus. Ensimmäinen vahvistus lisävahvistustekstiviestitse ja toinen, lopullinen maksun vahvistus tapahtuu järjestelmän pyytämän turvaluvun perusteella. Turvaluvut löytyvät vain asiakkaan paperisesta avainlukukortista.

Tapauksessa tulee arvioida pankin sopimusehtojen mukaisesti maksuvälineen käyttäjän huolimattomuutta, koska kyse on maksuvälineenä olevien pankkitunnusten joutumisesta oikeudettomasti toisen haltuun.

Pankki on julkaissut sivuillaan 20.5.2021, 3.6.2021, 7.10.2021 tiedotteet, joissa on kehotettu olemaan kirjautumatta verkkopankkiin hakukoneiden kautta. Samalla pankki on varoittanut liikkeellä olevan "hakukonehuijauksia". Pankki katsoo, että huijauksista on viestitty myös yleisesti valtakunnan tiedotusvälineissä ja myös muiden Suomessa toimivien pankkien taholta. Lisäksi pankki katsoo, että pankkitunnusten haltijan tulisi pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasun lisäksi käyttämästään selaimesta, että verkkosivun URL-osoite vastaa asianmukaista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle yritetään päästä hakukonetta käyttämällä. Pankki on antanut asiasta turvallisuusohjeistusta edellä mainituissa tiedotteissaan. Lisäksi pankki katsoo, että vastaavat verkkopankin turvalliseen käyttöön liittyviä vaatimuksia tulee verrata muuhun maksuvälineen käyttöön, jossa maksuvälineen haltijan tulee kiinnittää huomiota maksupäätteeseen tai vastaavaan muuhun paikkaan, johon maksuvälinettä tai sen tietoja ollaan syöttämässä. Verkkosivujen tarkastamatta jättäminen ilmentää pankin arvion mukaan osaltaan asiakkaan huolimattomuutta maksuvälineen käytössä.

Pankki katsoo, että kun sivusto on ilmoittanut huoltotöistä mutta siitä huolimatta pyytänyt tunnuksia sekä sisäänkirjautumiselle että maksun vahvistukseen tarvittavaa avainlukukoodia, asiakkaan olisi viimeistään silloin tullut ymmärtää olla antamatta niitä. Erityisesti kaikkien sisäänkirjautumistunnusten pyytämisen jälkeen uudelleenpyydetty avainlukukoodi olisi pitänyt jättää antamatta, koska näin olisi siirto saatu estettyä.

Maksun lopulliseen vahvistamiseen tarvittavan tunnusluvun luovuttamiseen, on mennyt noin 17 minuuttia ensimmäisestä kirjautumisyrityksestä. Asiakkaan olisi tullut ymmärtää, että missään tapauksessa kirjautuminen verkkopankkiin ei olisi tullut kestää näin kauaa (ensimmäinen sisäänkirjautuminen 14.34 sekä varsinainen vahvistus maksusta 14.51).

Kokonaisuus ja erityisesti sivuston tavallisesta selvästi poikkeava ilmoitus huoltotöistä sekä useampaan otteeseen kysytyt koodit ja tunnusluvut sekä useat hakukonehuijauksesta varoittavat tiedotteet huomioon ottaen, pankki katsoo asiakkaan toimineen maksupalvelulaissa ja pankin palveluehdoissa tarkoitetulla tavalla törkeän huolimattomasti käyttäessänsä pankkitunnuksia väärinkäyttöön johtavalla tavalla, minkä vuoksi pankki ei korvaa oikeudettomista maksutapahtumista aiheutunutta vahinkoa. Asiakas on myös rutinoitunut verkkopankin käyttäjä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Lokitiedot 10.11.2021

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, ja minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin henkilöasiakkaisen pankkitunnuksilla käytettävien palveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Soveltamisala -kohdan mukaan
"[…] Asiakas sitoutuu noudattamaan näiden yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita.
Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia. […]"

Pankkitunnusehtojen Pankkitunnusten myöntäminen käyttäminen verkkopalvelussa -kohdan mukaan
”[…] Pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla.
Tunnusten käyttäminen vastaa asiakkaan tunnistamista henkilöllisyyden osoittavasta asiakirjasta.
Tunnuksilla avattua palveluyhteyttä ei saa antaa kolmannen osapuolen käytettäväksi.
Tunnusten käyttäminen pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksu- ja muut toimeksiannot, hakemukset, sopimukset sekä viestit sitovat asiakasta sen jälkeen, kun ne on lähetetty pankille palvelussa edellytetyllä tavalla.”

Pankkitunnusehtojen Pankkitunnusten säilyttäminen -kohdan mukaan
"Asiakkaalle luovutetut pankkitunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes perheenjäsenelle. Jos asiakas antaa tunnuksensa kolmannelle, asiakas vastaa tämän hänen nimissään tekemistä toimista.
[…] Pankkitunnuksia ei saa luovuttaa sähköpostilla, tekstiviestillä, sovelluksessa, kertoa puhelimessa eikä säilyttää koneella, jossa havaittu haittaohjelma."

Pankkitunnusehtojen Ilmoitus pankkitunnusten katomaisesta tai joutumisesta sivullisen haltuun tai tietoon -kohdan mukaan
”Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai asiakas epäilee niiden joutuneen sivullisen haltuun tai tietoon, on asiakkaan ilmoitettava tästä pankille välittömästi. Ilmoitus on tehtävä silloinkin, kun vain osa tunnuksista on kadonnut tai joutunut sivullisen haltuun tai tietoon. […]”

Pankkitunnusehtojen Pankkitunnusten käyttäminen sähköiseen tunnistamiseen (Tunnistuspalvelu) -kohdan mukaan
”Asiakas voi tunnistautua pankkitunnuksilla myös kolmansien osapuolten palveluissa, jos pankki tai muu palveluntarjoaja ja kolmas osapuoli ovat näin sopineet.  […]

Asian arviointi

Tapahtumien kulku

Pankkilautakunta katsoo asiassa saadun kokonaisselvityksen perusteella, että kun asiakkaan tarkoituksena 10.11.2021 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivuilta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Tavanomaiseen verkkopankkiin kirjautumisen tapaan asiakas on käyttänyt verkkopankkiin kirjautuakseen käyttäjätunnustaan, salasanaansa, valesivuilla kirjautumista varten pyydettyä avainlukukortin numeroa sekä pankin asiakkaan puhelinnumeroon tekstiviestitse lähettämässä tekstiviestissä ollutta vahvistuskoodia.

Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen kirjautuneet oikeudettomasti asiakkaan verkkopankkiin 10.11.2021 kello 14.34. Verkkopankkiin päästyään rikolliset ovat voineet vaihtaa asiakkaan tunnuksiin liitettyä puhelinnumeroa useaan otteeseen ilman, että asiakas on ollut tästä tietoinen. Rikolliset ovat voineet verkkopankissa luoda ko. 12.000 euroa tilisiirtoa koskevan maksutoimeksiannon ja myös vahvistaa toimeksiannon tallennuksen pankin rikollisten puhelinnumeroon lähettämien tekstiviestien vahvistuslukuja käyttäen ilman, että asiakas on ollut tästä tietoinen.

Maksun lopullinen vahvistaminen klo 14.51 on edellyttänyt tiettyä lukua asiakkaan avainlukukortista. Pankkilautakunta katsoo, että myös ko. luvun on täytynyt päätyä rikollisten tietoon siten, että sitä on pyydetty asiakkaalta em. valesivuilla. Pankkilautakunta katsoo asiassa jääneen selvittämättä, mitä valesivuilla on asiakkaalle tuossa tilanteessa näkynyt, mutta lautakunta katsoo selvitetyksi, että asiakas luullut käyttävänsä lukua kirjautuakseen verkkopankkiinsa ensimmäisen epäonnistuneen kirjautumisyrityksen jälkeen, ja todennäköiseksi, että myös valesivujen näkymä on vastannut tavanomaista pankin verkkopankin kirjautumistilannetta.

Asiakkaan menettelyn arviointi

Asiakkaan mukaan hän on kirjoittanut hakukenttään www.[pankki].fi ja valinnut tuloksista pankin sivun niin kuin useasti aikaisemminkin, ja kirjautumissivusto oli täysin saman näköinen kuin aina aikaisemminkin. Pankki on kiinnittänyt huomiota siihen, että pankki on tiedotteillaan kehottanut asiakkaitaan olemaan kirjautumatta verkkopankkiin hakukoneiden kautta ja varoittanut liikkeellä olevan ns. hakukonehuijauksia. Lisäksi pankki katsoo, että pankkitunnusten haltijan tulisi pankin verkkopalveluja käyttäessään tarkistaa verkkosivujen ulkoasun lisäksi käyttämästään selaimesta, että verkkosivun URL-osoite vastaa asianmukaista pankin verkkosivujen osoitetta. Erityistä tarkkaavaisuutta tulisi pankin näkemyksen mukaan noudattaa silloin, kun pankin verkkosivustolle yritetään päästä hakukonetta käyttämällä.

Pankkitunnusehtojen mukaan pankki antaa tai toimittaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu verkkopalvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään palvelua tai pankkitunnuksia.

Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka niille kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Pankkilautakunta katsoo asiassa selvitetyksi, että asiakas on huomaamattaan päätynyt rikollisten luomille pankin verkkosivuilta näyttäville valesivuille hakukonetta käyttäen. Pankkilautakunta kuitenkin katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Asiakkaan muistikuvien mukaan sivusto olisi pyytänyt ensimmäisen avainluvun syöttämisen jälkeen uudelleen avainlukua ja asiakkaan annettua toisen avainluvun sivuston keskelle ilmestyi pieni sivu, jossa pyöri ns. lataussivu, jossa ilmoitettiin pankin sivujen päivityksistä ja siitä, että sivustolle pääsee 48 tunnin kuluttua. Päivityssivun ilmestyttyä asiakas kirjautui kertomansa mukaan välittömästi ulos sivustolta ja asiakkaan muistin mukaan istunto pankin sivuilla kesti maksimissan 5-8 minuuttia.

Pankin järjestelmätietojen mukaan rikollisten kirjautuminen asiakkaan verkkopankkiin tapahtui klo 14.34 ja ko. 12.000 euron maksun lopullinen vahvistaminen asiakkaan avainlukukortin luvulla klo 14.51, ja pankki on vedonnut asiassa siihen, että tässä välissä on mennyt 17 minuuttia ja asiakkaan olisi tullut ymmärtää, että missään tapauksessa kirjautuminen verkkopankkiin ei olisi tullut kestää näin kauaa. Lisäksi pankki katsoo, että kun sivusto on ilmoittanut huoltotöistä, asiakkaan olisi silloin tullut ymmärtää olla antamatta avainlukuja.

Pankkilautakunta katsoo, ettei yhteyshäiriöitä taikka pankin tai muidenkaan toimijoiden verkkosivuilla olevia ilmoituksia tilapäisistä huoltotöistä voida lähtökohtaisesti pitää sillä tavoin tavanomaisesta poikkeavina tilanteina, että pankkitunnuksilla pankin verkkopalveluun tai muuhun palveluun kirjautumassa/tunnistautumassa olevan asiakkaan pitäisi turvallisuussyistä ehdottomasti ymmärtää keskeyttää asiointinsa kokonaisuudessaan. Näin erityisesti, mikäli hän voi olettaa häiriön olevan ohimenevä. Toisaalta tässä tapauksessa asiakkaan mukaan ilmoitus sivujen päivityksestä tuli vasta hänen annettua toisen avainluvun, minkä seurauksena hän kirjautui sivuilta ulos.

Pankkilautakunta katsoo asiassa jääneen osin epäselväksi, mitä asiakas on em. noin 17 minuutin aikana tietokoneensa näytöllä nähnyt ja onko hän mahdollisesti odottanut esimerkiksi yhteyshäiriöiden poistumista. Jo edellä todetuin tavoin Pankkilautakunta kuitenkin katsoo, että asiakas on molemmilla kerroilla avainlukukortin avainlukua valesivuille syöttäessään ollut siinä käsityksessä, että hän on pankin verkkosivuilla kirjautumassa verkkopankkiinsa. Ottaen huomioon asiakkaan asioinnin kesto valesivuilla ja valesivuilla toistamiseen tullut avainlukupyyntö, Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut ymmärtää keskeyttää asiointinsa ja että asiakas on siten huolimattomuudestaan laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan.

Asiassa saadun kokonaisselvityksen perusteella ja huomioiden erityisesti, että asiakas on saanut pankilta ainoastaan yhden tavanomaisen verkkopankkiin kirjautumista koskevan tekstiviestin ja ko. riidanalaisen maksun tiedot sisältäneet maksunvahvistamista koskeneet tekstiviestit ovat menneet rikollisten käytössä olleeseen puhelinnumeroon eikä asiakas ole saadun selvityksen perusteella nähnyt muutoinkaan asiointinsa missään vaiheessa, että hänen tililtään oltaisiin tekemässä maksua, Pankkilautakunta katsoo, ettei asiakkaan menettelyn voida katsoa osoittavan hänen suhtautuvan selvästi piittaamattomasti - myös maksuvälineenä käytettävien - pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia