Haku

FINE-048782

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-048782 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2022

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin mobiilisovelluksella vahvistetuista maksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on ollut verkossa myymässä mekkoja, kun hän on joutunut petoksen uhriksi ja asiakkaan korttitiedoilla on tehty verkossa 26.3.2022 klo 23.05-23.10 kaksi korttimaksua yhteisarvoltaan 952,25 euroa. Korttimaksut on vahvistettu pankin mobiilisovelluksella, joka aktivoitu käyttöön 26.3.2022 klo 22.22. Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 22.22 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Vahvistuskoodisi on 5830. Terveisin [pankki] ".

Asiakkaan kortti on suljettu 28.3.2022 klo 8.06 ja pankkitunnukset klo 8.13.

Asiakkaan valitus

Asiakas oli myymässä tori.fi:n kautta mekkoja ja häneen otti yhteyttä nainen Whatsuppin kautta. Nainen halusi käyttää postin palvelua ja lähetti asiakkaalle linkin, jonka kautta asiakas meni postin palveluun.

Sivu näytti aidolta postin logoineen. Nainen kertoi, että asiakkaan luottokortin tietoja tarvitaan mekon maksua ja postitusta varten, ja asiakas uskoi naista. Lopputulos oli, että luottokortilta oli tehty kaksi ostoa yht. 950 euron edestä. Asiakkaalle ei lähetetty mitään tekstiviestiä näistä ostoista kuten yleensä.

Asiakas kyllä kirjautui itse kyllä netpankkiin, mutta puhelimensa kautta ja sai siitä vahvistusviestin. Maanantaina 28.3. asiakas sulki korttinsa ja tilinsä ja teki luottokunnalle reklamaation.

30.3. asiakas sai pankista viestin, jossa sanottiin, että mukavaa kun hait korotusta luottoosi. Asiakas kävi pankissa ja sai tietää, että hänen luottorajansa oli nostettu. Lisäksi asiakkaan nimellä oli tehty 10.000 euron lainahakemus, joka oli hylätty.

Asiakas ymmärtää toimineensa väärin. Asiakkaalla ei ole ollut kauan luottokorttia ja hän on tehnyt ostoja kortilla vain muutaman kerran. Siksi asiakas on näissä asioissa kokematon. Asiakas ei saanut mitään vahvistusta siitä, että oli tehnyt ostoksia. Pankki väittää, että nosto tapahtui 26.3., joka kuitenkin oli lauantai ja vahvistusviesti tuli vasta seuraavalla viikolla.

Pankin vastine

Tapahtumien kulku

Asiakas kertoo myyneensä mekkoa Tori.fi-palvelussa ja saaneensa ostajaehdokkaalta WhatsApp-viestin, jossa oli linkki Postin www-sivuilta näyttävälle sivulle. Asiakas kertoo: "Sivussa oli Postin logo ja sivuston osoite oli postili.mobile-orders24. Sivu näytti aidolta postin sivulta."

Asiakas kertoo antaneensa sivuille korttinsa maksutiedot. Pankki olettaa asiakkaan antaneen sivuille myös verkkopankkitunnuksensa, koska tavallisesti Tori.fi -huijauksissa asiakkailta kysytään myös verkkopankkitunnuksia.

Asiakas on kuvitellut antavansa luottokorttinsa tiedot maksun vastaanottamista ja mekon postitusta varten, mutta tosiasiassa rikollinen on samaan aikaan käyttänyt huijaussivuilta saamiaan asiakkaan verkkopankkitunnuksia pankin mobiilisovelluksen lataamiseen rikollisen omalle puhelimelle.

Rikollinen on tarvinnut mobiilisovelluksen käyttöönottoon asiakkaan henkilökohtaiset verkkopankkitunnukset eli käyttäjätunnuksen, salasanan ja luvun tunnuslukutaulukosta sekä tekstiviestillä lähetetyn vahvistuskoodin.

Verkkopankkitunnusten osista käyttäjätunnuksen ja salasanan rikollinen olisi saattanut saada tietoonsa jonkin aikaisemman huijauksen yhteydessä, mutta järjestelmä arpoo avainlukulistan luvun sattumanvaraisesti ja se on ilmoitettu asiakkaan avainlukulistalta kello 22.22. Jos asiakas ei itse erehdyksessä antanut avainlukulistan koodia "Postin" huijaussivuille, niin rikollisella on täytynyt olla hallussaan asiakkaan koko avainlukulista tai sen kopio.

Asiakas kiistää vastaanottaneensa pankin 26.3.2022 kello 22.22 asiakkaan numeroon lähettämää tekstiviestiä. Tekstiviestin sisältö on seuraava:
”Vahvistuskoodisi on 5830. Terveisin [pankki]”
Tätä vahvistuskoodia on käytetty pankin mobiilisovelluksen lataamiseen rikollisen laitteella HUAWEI JSN-L21.

Pankin järjestelmän lokitietojen mukaan

  • klo 22.16 - Asiakas kirjautuu verkkopankkiin
  • klo 22.20 - SMS lähetetty verkkopankkiin kirjautumista varten
    "Olet kirjautumassa tunnuksillasi verkkopankkiin. Vahvistuskoodisi on 3225. Maksuttomalla [pankin mobiilisovelluksella] voit kirjautua ilman tekstiviestiä. Terveisin [Pankki]"
  • klo 22.21 - Asiakkaan tunnuksilla aloitetaan samaan aikaan rekisteröityminen pankin mobiilisovellukseen
  • klo. 22.22:01 - SMS lähetetty pankin mobiilisovelluksen tunnistamisen aktivointia varten
    "Vahvistuskoodisi on 5830. Terveisin [pankki]".
  • klo 22:22:28 - "Asiakas" aktivoinut tunnistamisen pankin mobiilisovelluksen SMS:stä saadulla koodilla.
  • klo 22:22:47 - "Asiakas" kirjautunut pankin mobiilisovellukseen.

Näyttää siis siltä, että asiakas on ollut itse kirjautuneena verkkopankkiin samaan aikaan, kun hän on tehnyt kauppaa mekosta ja antanut tietojaan "Postin" sivuille. Rikollinen on aloittanut heti pankin mobiilisovelluksen rekisteröitymisen, ja kaikki on tapahtunut hämäävästi muutaman minuutin aikana.

Tekstiviestien lähettämiseen pankki käyttää Elisa Dialogi -palvelua. Dialogi-palvelussa on esimerkiksi seuraavia palautekoodeja:
· "toimitettu" = viesti toimitettu onnistuneesti matkapuhelimeen.
· "epäonnistunut"
· "lähetetty" = viesti on lähetetty viestikeskukseen, mutta sanomakeskuksesta ei ole saapunut vielä lisätietoa.

Elisan Dialogi -palvelun palautekoodien mukaan molemmat tekstiviestit klo. 22:20 ja 22:22:01 on toimitettu onnistuneesti asiakkaan matkapuhelimeen.

Asiakas kiistää saaneensa nimenomaan pankin mobiilisovelluksen aktivoimiseen tarvittavaa viestiä, mutta myöntää kirjautuneensa verkkopankkiin ja saaneensa siihen tarvittavan tekstiviestin.

Koska pankin lähettämissä tekstiviesteissä ei kerrottu kyseessä olleen nimenomaan pankin mobiilisovelluksen lataamiseen tarvittava koodi, on pankin mielestä mahdollista, että asiakas antoi koodin "5830" "Postin" huijaussivuille. Joku kuitenkin palautti sen pankin järjestelmiin klo 22:22:28, koska sitä käytettiin pankin mobiilisovelluksen aktivointiin rikollisen laitteella.

Jos asiakas itse ei kirjoittanut tätä koodia "5830" Postin huijaussivulle (joissa asiakasta on pyydetty tunnistautumaan pankin verkkopankkitunnuksilla) niin pankin mielestä ei ole muuta mahdollisuutta kuin että asiakkaan matkapuhelin on ollut jonkun ulkopuolisen hallussa.

Tämän jälkeen rikollinen on tehnyt verkossa kiistetyt etäostokset klo 23.05 500,00 euroa ja klo 23.10 452,25 euroa huijaussivuilta saaduilla kortin maksutiedoilla ja korttimaksut on vahvistettu rikollisen käytössä olleella pankin mobiilisovelluksella. Tämän vuoksi asiakkaalle ei ole tullut korttimaksun vahvistusviestiä.

Pankin vastaus

Pankki katsoo asiakkaan toimineen tilanteessa huolimattomasti luovuttaessaan korttinsa maksutiedot ja verkkopankkitunnuksensa WhatsApp-viestinä tulleen linkin viemälle huijaussivuille.

Tori.fi muistuttaa sivuillaan

"Hei torittaja, tiesithän että Torissa ei ole omaa maksujärjestelmää tai kuljetuspalvelua. Lue ohjeet turvalliseen kaupankäyntiin!
Kaupankäyntiin liittyvä viestittely on Torissa mahdollista vain Schibsted-tilin luoneiden ja sisäänkirjautuneiden käyttäjien kesken. Turvallisinta on hoitaa kaupantekoon liittyvät keskustelut aina Torin Viestit-palvelussa kirjautuneena Schibsted-tilillesi".

Tästä huolimatta asiakas aloitti keskustelun ostajan kanssa WhatsApp-sovelluksessa, vaikka Tori.fi:n sivuilla varoitetaan erikseen tekstiviestitse ja WhatsAppilla tulevista huijauksista.

Asiakas antoi tuntemattomalta henkilöltä viestinä tulleen linkin viemälle huijaussivuille korttinsa maksutiedot, ja pankin oletuksen mukaan myös verkkopankkitunnuksensa, vaikka ei ollut maksamassa mitään. Maksun vastaanottamiseen olisi riittänyt tilinumeron antaminen.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen korttinsa tiedoilla tehdystä ja hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hyväksytystä korttimaksusta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin käyttötavat -kohdan mukaan

Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.

Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan

Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.

Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan

Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.

Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan

Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]

Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan

Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kaksi korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön whatsappin kautta lähettämässä viestissä olleen linkin kautta avautuneilla postin sivuilta näyttäneillä rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille tunnistautumistarkoituksessa taikka vahvistaakseen antamansa tiedot tai maksun vastaanottamisen.

Asiakkaan menettelyn arviointi

Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka asiakkaan kertoman mukaan ostajaehdokas on ollut uskottava ja linkin kautta avautuneet sivut näyttivät aidoilta postin sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta kiinnittää tapauksessa kuitenkin erityistä huomiota siihen, että pankin asiakkaalle lähettämässä pankin mobiilisovelluksen aktivoinnin edellyttämän vahvistuskoodin sisältävässä tekstiviestissä pankki ei millään tavoin tuo esiin, mitä toimenpidettä varten ja mihin viestissä ollut koodi tulisi syöttää. Näin ollen Pankkilautakunta pitää osittain ymmärrettävänä, että uskottuaan olevansa vastaanottamassa kortilleen maksua verkossa myymästään tuotteesta ja syötettyään jo tässä tarkoituksessa ja valesivujen edellyttämällä tavalla kortti- ja pankkitunnustietojaan, on asiakas voinut ymmärtää vastaanottamansa vahvistuskoodin liittyneen vaadittuun prosessiin ja esimerkiksi maksun vastaanottamisen vahvistamiseen, eikä asiakas ole ainakaan tekstiviestin sisällön perusteella voinut ymmärtää viestissä olleen vahvistuskoodin liittyvän uuden pankin mobiilisovelluksen käyttöön ottoon uudelle laitteelle.

Edelleen todettuun viitaten Pankkilautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta osoita hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin ja ettei hänen menettelynsä näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan menetelleen korttitietojensa ja pankkitunnustensa käyttämisen suhteen huolimattomasti vakavaa varomattomuuttaan osoittavalla tavalla. Asiassa saatu kokonaisselvitys huomioiden lautakunta kuitenkin katsoo, ettei asiakkaan menettely osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Ahlroth, Atrila, Piilo, Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia