Tapahtumatiedot
Asiakas on ollut verkossa myymässä tavaraa, kun hän on joutunut petoksen uhriksi. Asiakkaan verkkopankkitunnuksilla (käyttäjätunnus, salasana ja luku tunnuslukutaulukosta) ja pankin asiakkaan puhelinnumeroon 12.5.2022 kello 13:58 lähettämässä tekstiviestissä olleella vahvistuskoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus Samsung SM-A505FN -laitteelle. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 7454 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]".
Asiakkaan korttitiedoilla ja em. pankin mobiilisovelluksella vahvistaen on verkossa tehty 12.5.2022 klo 14.06-14.29 välisenä aikana kolme oikeudetonta korttimaksua yhteisarvoltaan 4.159,98 euroa.
Asiakkaan kortti on suljettu 12.5.2022 klo 14.50 ja rikollisten lataama pankin mobiilisovellus klo 14.46. Asiakkaan pankkitunnukset on suljettu sulkupalvelun kautta 20.5.2022 klo 12.30.
Asiakkaan valitus
Asiakas oli myymässä unipesää tori.fi-sivustossa. Joku lähetti asiakkaalle whatsapp-viestin suomeksi suomalaisesta puhelinnumerosta, kysyi tuotteesta ja sitten tuotteen postituksen mahdollisuudesta. Ostaja tarjosi Torin kuriiripalvelua ja lähetti asiakkaalle linkin (huijaus-tori-sivusto). Huijari sanoi, että tämä on uusi ominaisuus, joka on lisätty Tori-palveluun. Samaan aikaan myös toinen ostajaehdokas puhui samasta kuriiripalvelusta ja lähetti linkin, joten asiakas oli varma, että tämä on Torin uusi ominaisuus ja asiakas luotti siihen.
Asiakas klikkasi ensimmäisen halukkaan lähettämää linkkiä, jonka kautta avautui torin sivustolta näyttänyt sivusto, jossa oli asiakkaan oma tori-ilmoitus näkyvissä ja jolla asiakkaan piti rekisteröityä vastaanottaakseen pyydetyn rahan, 40 euroa. Rekisteröinti vaati kortin tiedot ja asiakas syötti kortin numeron, cvv:n, ja kortin voimassaoloajan. Kaikki näytti normaalilta ja sivu, johon asiakkaan piti syöttää kortin tiedot, oli ihan sama kuin muut oikeat sivut, joilla asiakas on tähän asti elämässään käynyt syöttämässä kortin tietoja. Sen jälkeen sivusto muuttui pankin näköiseksi ja pyysi asiakasta syöttämään verkkopankin tiedot, eli käyttäjätunnuksen sekä salasanan, jotka asiakas syötti. Seuraavaksi pyydettiin tunnuslukutaulukosta tunnusluku, jonka asiakas antoi. Sen jälkeen asiakkaan puhelimeen tuli tekstiviesti ja samaan aikaan sivusto pyysi syöttämään siinä olleen koodin. Pankilta tulleen tekstiviestin neljänumeroinen koodi oli näkyvissä puhelimen näytön yläpuolella ja asiakkaan ei tarvinnut avata sitä viestiä nähdäkseen koodin. Asiakas ei siis huomannut, että koodia käytetään pankin mobiilisovelluksen käyttöönottoon. Asiakas ei siis epäillyt mitään, koska luuli kaiken kuuluvan prosessin, ja syötti koodin.
Huijarit latasivat pankin mobiilisovelluksen toiselle laitteelle (Samsung sm-a505FN) ja asiakas ei ollenkaan huomannut sitä. Hetken päästä huijaussivusto ilmoitti, että jotain meni pieleen ja täytyy kokeilla toista korttia. Asiakaspalvelu ilmoitti, että pankkiin ei voi ottaa yhteyttä ja siksi ei voi rekisteröidä eikä vastaanottaa maksua.
Asiakas ajatteli, että se oli Torin asiakaspalvelu, luotti siihen ja kokeili toisen pankin X korttiaan, teki sama kuin aikaisemmin paitsi että pankin X mobiilisovellusta ei voi ladata helposti toiselle laitteelle. Koska asiakkaan itse piti avata pankin X mobiilisovellus omalla laiteellaan ja hyväksyä sitä, asiakas huomasi, että on hyväksymässä 1.500 euron maksua ja peruutti sen. Vasta silloin asiakas huomasi, että häntä huijattiin ja että hän oli antanut pankkitietonsa vääriin käsiin. Asiakas oli paniikissa ja yritti pelastaa rahat, mutta oli myöhässä.
Asiakas sulki heti pankin X korttinsa sovelluksella, mutta ongelma oli se, että pankilla ei ollut sulkemispalvelua nettisivulla eikä sovelluksella. Asiakkaan piti soittaa ja odottaa, että sai vihdoin kortin suljettua. Sen jälkeen asiakas kävi vaihtamassa verkkopankin neljänumeroinen salasanan mobiilisovelluksella. Asiakas sulki verkkopankkinsa kokonaan noin viikon päästä tapahtuman jälkeen, koska soittaessaan pankkiin ilmoittaakseen huijauksesta, hän ei oikeastaan tiennyt mitä oli tapahtunut ja että huijari on ladannut pankin mobiilisovelluksen ja hallitsi asiakkaan tilejä ja kortteja. Pankin virkailija sulki vain asiakkaan kortin. Vasta myöhemmin asiakas tajusi, mitä oli tapahtunut. Hän avasi pankin mobiilisovelluksen ja tarkisti, hallitseeko joku muu edelleen sovellusta. Kävi ilmi, että Samsung SM-A505FN oli lisätty ja poistettu samana päivänä. Silloin asiakas kirjoitti viestin pankille ja loppujen lopuksi pankki suositteli asiakasta sulkemaan kaikki verkkopankin tunnukset ja tilaamaan ne uudestaan.
Asiakas käyttää vain torin sovellusta ja hänen tietääkseen silloin, kun tämä tapahtui, ei ollut mitään varoitusta torin kotisivulla. Eli varoitus oli vain torin tukisivulla, ei kotisivulla. Kokonaisuudessa petoksen taso oli korkea eikä huijausta voi helposti huomata. Asiakas ei myöskään tiennyt, että on mahdollistaa ladata pankin mobiilisovellus usealle laitteelle ja käyttää niitä samaan aikaan, mikä ei asiakkaan mielestä ole turvallista asiakkaille. Lisäksi on outoa, että vain tekstiviestillä lähetetyllä koodilla voi ladata mobiilisovelluksen useille laitteille. Tässä tapauksessa pankki on toiminut heikosti toiseen pankkiin verrattuna. Pankin kannattaa myös lisätä sulkemispalvelua mobiilisovellukseensa, että asiakas voi sulkea heti korttinsa klikkaamalla.
Pankin vastine
Asiakas on kuvitellut vastaanottavansa maksua myymästään tuotteesta, mutta tosiasiassa rikollinen on samaan aikaan käyttänyt huijaussivuilta saamiaan asiakkaan verkkopankkitunnuksia pankin mobiilisovelluksen lataamiseen rikollisen omalle laitteelle. Rikollinen on tarvinnut pankin mobiilisovelluksen käyttöönottoon asiakkaan henkilökohtaiset verkkopankkitunnukset eli käyttäjätunnuksen, salasanan ja satunnaisesti valitun tunnuslukutaulukon tunnusluvun sekä tekstiviestillä lähetetyn vahvistuskoodin. Tekstiviesti on lähetetty asiakkaan puhelinnumeroon 12.5.2022 kello 13:58. Viestin sisältö on ollut:
"Käytä vahvistuskoodia 7454 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]".
Maksut on tehty asiakkaan kortilla ja vahvistettu Visa Secure -tunnistuspalvelussa pankin mobiilisovelluksen tunnistamisella. Pankin mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle Samsung SM-A505FN 12.5.2022 kello 13:58.
Pankin vastaus
Asiakas on itse myöntänyt syöttäneensä korttitietonsa ja verkkopankkitunnuksensa huijaussivulle. Pankki katsoo asiakkaan luovuttaneet korttinsa maksutiedot ja verkkopankkitunnuksensa ulkopuoliselle ja toimineen varsinkin verkkopankkitunnusten säilytyksessä törkeän huolimattomasti.
Tori.fi muistuttaa sivuillaan:
"Hei torittaja, tiesithän että Torissa ei ole omaa maksujärjestelmää tai kuljetuspalvelua. Lue ohjeet turvalliseen kaupankäyntiin!
Kaupankäyntiin liittyvä viestittely on Torissa mahdollista vain Schibsted-tilin luoneiden ja sisäänkirjautuneiden käyttäjien kesken. Turvallisinta on hoitaa kaupantekoon liittyvät keskustelut aina Torin Viestit-palvelussa kirjautuneena Schibsted-tilillesi".
Asiakas aloitti keskustelun ostajan kanssa WhatsApp-sovelluksessa vaikka Tori.fi:n sivuilla varoitetaan erikseen tekstiviestitse ja WhatsAppilla tulevista huijauksista.
Asiakas antoi tuntemattomalta henkilöltä saadun linkin kautta avautuneille huijaussivuille verkkopankkitunnuksensa, ja korttinsa maksutiedot, vaikka ei ollut maksamassa mitään. Maksun vastaanottamiseen olisi riittänyt tilinumeron antaminen.
Oudon tilanteen olisi pitänyt herättää asiakkaan epäluulot. Viimeistään pankin lähettämän tekstiviestin saatuaan asiakkaan olisi tullut ymmärtää, että kyseessä on huijaus. Asiakas kuitenkin vahvisti tapahtuman, vaikka tekstiviestissä todettiin kyseessä olevan pankin mobiilisovelluksen käyttöönotto.
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen korttinsa tiedoilla tehdystä ja hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hyväksytyistä korttimaksuista.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin korttiehdot
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin käyttötavat -kohdan mukaan
Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.
Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.
Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan
Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.
Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]
Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan
Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kolme oikeudetonta korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön whatsappin kautta lähettämässä viestissä olleen linkin kautta avautuneilla tori.fi:n sivuilta näyttäneillä rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo riidattomaksi, että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille käsityksensä mukaan osana torin kuriiripalvelun prosessia.
Asiakkaan menettelyn arviointi
Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla maksun vastaanottamista varten Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka asiakkaan kertoman mukaan linkin kautta avautuneet sivut, joilla hän korttitietojaan syötti, näyttivät tavanomaiselta ja sen jälkeen avautuneet sivut, joilla hän pankkitunnuksiaan syötti, näyttivät pankin sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.
Valesivujen kautta saamiaan asiakkaan pankkitunnustietoja käyttäen rikolliset ovat ladanneet pankin mobiilisovelluksen, minkä seurauksena pankki on lähettänyt tekstiviestitse asiakkaan numeroon mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältävän vahvistuskoodin. Asiakkaan mukaan tekstiviestissä ollut koodi oli näkyvissä puhelimen näytön yläreunassa eikä asiakkaan tarvinnut avata viestiä nähdäkseen koodin. Tämän vuoksi asiakas ei huomannut, että koodia käytetään pankin mobiilisovelluksen käyttöönottoon. Asiakas ei epäillyt mitään, koska luuli kaiken kuuluvan prosessin, ja syötti koodin sivustolle, jolla koodia pyydettiin.
Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa – asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta – asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin lukematta tekstiviestin sisältöä on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.
Lopputulos
Pankkilautakunta katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon kortti- ja pankkitunnusten syöttämisen sovellettavien ehtojen vastaisesti linkin kautta avautuneille sivuille sekä erityisesti pankin tekstiviestitse lähettämän vahvistuskoodin syöttämisen tekstiviestiä lukematta lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet: Ahlroth, Atrila, Piilo, Tervonen