Haku

FINE-048054

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-048054 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2022

Hur fördelar sig ansvaret mellan kunden och banken för gireringar som har gjorts obehörigen från kundens konto och bekräftats med bankens mobilapp? Nätfiske. Obehörig användning av betalningsinstrument. Vårdslöshet som innehavaren av betalningsinstrumentet visat.

Uppgifter om händelseförloppet

Bankens mobilapplikation har aktiverats på telefon Samsung SM-A125F med kundens nätbankskoder (användarkod, lösenord och kodtabell) samt en bekräftelsekod som banken skickade per sms till kundens telefonnummer 15.3.2022 klo 11.10. Därefter har två gigeringar bekräftats 15.3.2022 klo 11.14 (376,15 euro) och 11.17 (14,40 euro) i bankens mobilapplikation.

Kundens yrkanden hos FINE

Kunden såg bankens reklam på Facebook och tryckte på den. Sedan visste han att det är falsk så han stängde det, men det kom en sms från banken, kod som brukar krävs för att logga in. Kunden kände att det var konstigt och han öppnade direkt sin bankens mobilapp. Hans konto var helt tomt (390€).

Kunden gick till banken och de sade att behöver polisanmäl och en reklamation blankett. Senare fick kunden meddelande av banken som säger att allt som har hänt var kundens fel och ansvar.

Kunden vet inte om dem hackade kunden eller vad och hur. Det är också bankens ansvar att radera sådana reklam. Kunden vill att banken åtminstone kontaktar den andra personen som drog kundens pengar och som har finsk bankkonto. Kunden vill bara tillbaka pengarna på något sätt.

Tjänsteleverantörens bemötande

Det är omöjligt att aktivera bankens mobilappen på telefon Samsung SM-A125F utan kundens identifieringsverktyg, såsom användarkod, lösenord och kodtabell för webbanken samt en bekräftelsekod som skickats per SMS.

Banken har skickat en SMS bekräftelsekod till kundens telefonnummer den 15.3.2022 klockan 11:10:
”Din verifieringskod är 5824. Hälsningar, [Banken].”

Om kunden inte själv använt nätbankskoderna och bekräftelsekoden så måste någon annan ha haft dem  inklusive hela webbankens kodtabell - och kundens telefon i sin besittning den 15.3.2022 klockan 11:10. Och denna andra person har lyckats återställa telefonen tillbaka utan att kunden märkte någonting.

Enligt bankens åsikt har kunden förvarat nätbankskoderna och sin telefon grovt vårdslöst.

Någon har aktiverad bankens mobilapp i sin telefon och utnyttjat kundens identifieringsverktyg. Enligt lagen (lag om stark autentisering och betrodda elektroniska tjänster 27 §) ansvarar kunden för obehörig användning av verktyget om verktyget har kommit i någon annans besittning obehörigt eller använts obehörigt på grund av kundens vårdslöshet. Betalningarna var godkända i bankens mobilapp.

Banken anser att betalningarna blir kvar på kundens ansvar.

Banken har förmedlat följande bankgiron till Trustly Group Abs bankkonto i en annan bank 15.3.2022
· klo 11.14.56 Trustly Group Ab 376,15 euro
· klo 11.17.11 Trustly Group Ab 14,40 euro
Trustly Group Ab är ett betalningsinstitut som genomför betalningstransaktioner liksom bankerna. Banken kan inte kontakta personen som har fått pengarna. Endast Trusty Group Ab vet vem som är pengarnas mottagare.

Utredningar

Förutom parternas skrivelser som gäller klagomålet har följande handlingar getts in till nämnden:
- Allmänna villkoren för bankens digitala tjänster och identifieringsverktyg

Beslutsrekommendation

Frågeställning

För att avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden bedöma om den obehöriga användningen av kundens betalnings-      instrument kan anses vara en följd att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen samt graden av kundens eventuella vårdslöshet.

Tillämplig lagstiftning och villkor

I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1–2 mom.:

Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande. Innehavarens skyldighet att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter inträder när han eller hon tar emot dem.

I lagens 54 § (Anmälan om att betalningsinstrument förlorats) föreskrivs följande  i 1 mom.:

Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.

I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:

En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1)har överlåtit det till någon som inte är behörig att använda det,
2)av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3)har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings-   instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalnings-  instrumentet
1)till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2)om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3)om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4)om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.

I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) föreskrivs följande i 1 mom.: 

Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.

Utöver betaltjänstlagen gäller bankens allmänna villkoren för bankens digitala tjänster och identifieringsverktyg (villkor för bankkoderna).

Bedömning

Banknämnden konstaterar att ansvaret för att förvara bankkoderna omsorgsfullt, det vill säga aktsamt, vilar på kunden, enligt betaltjänstlagen och villkor för bankkoderna. Detta faller sig naturligt med beaktande av att det i sista hand – oberoende av till exempel de anvisningar som banken meddelat eller villkoren i villkor för bankkoderna – är endast kunden som kan påverka hur och under vilka omständigheter han eller hon förvarar och använder sina bankkoder.

I situationer där en utomstående har kommit åt bankkoder och bankkoder har använts obehörigen är den avgörande omständigheten med tanke på ansvarsfördelningen mellan kunden och banken i regel hur aktsamt kunden kan anses ha gått till väga beträffande bankkoderna. För att det ska vara möjligt att bedöma kundens aktsamhet gäller det att få utredning om under vilka omständigheter och på vilket sätt kunden har förvarat och använt sina bankkoder och hur en utomstående har kommit åt dem/fått kännedom om dem. De bästa möjligheterna att ge utredning har kunden, och om kunden yrkar på att banken ska ta ansvar för obehörig användning av bankkoder kan kunden förutsättas ge en egen utredning om händelserna och sitt eget förfarande. Information om detaljer i händelseförloppet går inte alltid att få och kan inte heller förutsättas av kunden, men det kan alltid förutsättas att kunden redogör för sitt eget förfarande.

I det här fallet har banken presenterat en detaljerad teknisk förklaring av händelserna och vilken information brottslingarna ska ha haft för att de ska ha kunnat aktivera den nya bankens mobilapplikation i kundens namn på sin egen telefon Samsung SM-A125F, med vilken de omtvistade händelser har bekräftats. Banknämnden har ingen anledning att betvivla riktigheten av det uttalande som banken lagt fram utifrån bankens systemdata.

Enligt kunden har han bara tryckt på Facebook-reklamen och sedan visste han att det var falsk och han stängde det, men det kom en sms från banken. FINE har frågat kunden om kunden använde - på den sidan som öppnade - sina bankkoder (användarkod, lösenord och kodtabell) och också den bekräftelsekod i sms som banken skickat, men kunden har inte erkänt det.

Banknämnden anser att händelseförloppet i stort sett är oklart utifrån den utredning som presenterats i ärendet och särskilt vad kunden sagt i ärendet. Utifrån den erhållna utredning är det inte möjligt för Banknämnden att på ett tillförlitligt sätt bedöma vad som med största sannolikhet har hänt och hur den bankkods- och bekräftelskodsinformation som krävs för att utföra obehöriga betalningstransaktioner skulle kunna ha hamnat i händerna på brottslingar från kund, än mindre vad som är bidraget av kundens eventuellt försumliga förfarande till händelseförloppet.

Slutresultat

Banknämnden kan i enlighet med sitt reglemente av särskilda skäl besluta att inte ge en beslutsrekommendation i ett ärende som har hänskjutits till nämnden för behandling. Nämnden anser att händelseförloppet i detta fall utgående från den utredning som lagts fram förblir oklart till väsentliga delar och att nämnden därmed inte med de metoder som står till dess förfogande på ett tillförlitligt sätt kan lösa den för ansvarsfördelningen mellan kunden och banken avgörande frågan om den otillåtna användningen av kundens bankkoder berodde på kundens vårdslöshet och om kundens eventuella vårdslöshet är grov. Eftersom det centrala händelseförloppet på detta sätt förblir oklart beslutar Banknämnden att inte ge en beslutsrekommendation i fallet.

Banknämnden var enig.

BANKNÄMNDEN

Ordförande Sillanpää
Sekreterare Hidén

Medlemmar: Ahlroth, Atrila, Piilo, Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia