Haku

FINE-049424

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-049424 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2022

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdystä ja pankin mobiilisovelluksella vahvistetusta korttimaksusta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on ollut 21.2.2022 myymässä verkossa astioita, kun hän on joutunut petoksen uhriksi ja rikolliset ovat asiakkaan pankkitunnuksilla (käyttäjätunnus, salasana ja avainluku avainlukulistasta) ja pankin asiakkaan puhelinnumeroon klo 20:50 lähettämässä tekstiviestissä ollutta koodia käyttäen saaneet ladattua ja aktivoitua omalle laitteelleen käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen. Rikolliset ovat tehneet verkossa asiakkaan korttitietoja oikeudetta käyttäen ja em. pankin mobiilisovelluksella klo 21.00 vahvistaen 8.575,50 euron korttimaksun. Asiakas on soittanut sulkupalveluun klo 21.05.

Asiakkaan valitus

Asiakas laittoi tori.fi-palveluun myyntiin astioita. Ostaja, "Maija", lähestyi asiakasta whatsappissa klo 20.27 halukkaana ostaa tuotteet. Hän pyysi järjestämään toimituksen Postnord-kuljetusyhtiön kautta ja lähetti Postin aidonnäköisen linkin. Linkistä aukesi aidonnäköinen postin sivu, johon piti kirjata kortin tiedot. Pankkikortin tiedot syötettiin aivan samalla tavalla kuin kaikkiin palveluihin. Tämän jälkeen tuli aidonnäköinen pankin vahvistussivu, johon asiakas tunnistautui. Pian hän huomasi Pivo-sovelluksesta ilmoituksen 8.575,50 euron siirrosta ja soitti heti pankin sulkupalveluun. Asiakas teki seuraavana päivänä rikosilmoituksen.

Asiakas vaatii pankkia hyvittämään asiakkaan tahdon vastaisesti ja laittomasti tehdyn maksun seuraavista syistä:

Pankki on lähettänyt asiakkaalle pankin mobiilisovelluksen asennusviestin englanniksi, vaikka asiakkaan asiointikieli pankin kanssa on määritetty suomeksi ja pankin olisi pitänyt lähettää viesti vain ja ainoastaan suomeksi kuten aina ennenkin. On hyvin mahdollista, ettei asiakas osaisi yhtään englantia ja sen takia on määritellyt asiointikielekseen suomen. Pankin olisi vähintään pitänyt lähettää perään myös suomenkielinen varoitusviesti tai sähköposti. Asiakas osaa englantia erinomaisesti ja tämän takia ei luovuttanut kyseistä vahvistuskoodia eteenpäin. Asiakas uskoo, että huijari on saanut vahvistusviestin muualta, mahdollisesti pankilta, tai varastanut sen jollain tavalla asiakkaan puhelimesta, koska viesti on tullut huijarin kieliasetuksien mukaan. Jos asiakas olisi asennuskoodia jollain tavalla luovuttanut itse vahingossa eteenpäin, hän olisi sulkupuhelussa pyytänyt sulkemaan heti verkkopankinkin palvelut. Nyt verkkopankki suljettiin varmuuden vuoksi.

Asiakas on heti ottanut yhteyttä sulkupalveluun, mutta pankki ei ole tehnyt mitään neljään päivään maksun pysäyttämiseksi eikä ilmoittanut rikoksesta poliisille ollenkaan. Pankki myös väittää, että "poliisi tai muukaan viranomainen ei voi estää jo hyväksyttyä korttimaksu". Tämä ei rikospoliisin mukaan pidä yhtään paikkaansa. Jos tieto olisi tullut heille aiemmin, he olisivat voineet toimia katevarauksen estämiseksi. Asiakas oli luultavasti vain muutaman minuuttia myöhässä, jotta olisi voinut estää petoksen. Ilman asiakkaan nopeaa toimintaa seuraavien minuuttien aikana tili olisi tyhjentynyt kokonaan.

Pankki ei voi heiluttaa "huolimattomuus-korttia", kun asiakas on sulkenut kaikki pankkipalvelunsa alle viidessä minuutissa ja asiakaspalvelijat ovat useasti todenneet, että asiakas on tehnyt kaiken oikein. Asiakas on tutustunut kansainvälisiin käytänteisiin, ja yleistä on, että jos asiakas havahtuu huijaukseen kahden arkipäivän kuluessa, hänen omavastuunsa on vain 50 dollaria ja myöskään seuraavan kahden kuukauden aikana omavastuu ei nouse yli 500 dollarin.

Asiakas ei ole koskaan ostanut mitään Venäjältä. Netistä asiakas on ostanut vain EU-maista ja ostosumma ei ole ylittänyt 300 euroa. Jos yhtäkkiä yritetään maksaa venäläiselle "muotikaupalle" yli 8.000 euroa (vielä ruplilla), pankin olisi pitänyt pysäyttää tämä maksu välittömästi, kunnes olisi ottanut yhteyttä asiakkaaseen, vaikka asiakas olisi itse tehnyt maksun. Maksu oli niin suuri, että pankki olisi pitänyt huomata huijaus. Pankilla olisi pitänyt olla järjestelmä, joka tunnistaa helposti tunnistettavissa olevia huijauksia. Pankilla on ollut syitä hylätä Tsum Moskvan varmennuspyyntö, koska on ollut asiasta heti tietoinen ja asiakas on varma, että sama rikollisjärjestö on varastanut tietoja muiltakin pankin asiakkaista. Pankki mahdollistaa jatkuvasti huijareiden toimintaa, jos edes asiakkaan tapauksessa ei huomattu mitään outoa.

Pankin vastine

Ennen väärinkäytöstä

Väärinkäytösten estämiseksi pankki on varoittanut asiakkaitaan lukuisilla turvatiedotteilla verkkosivuillaan sekä sosiaalisen median kanavissa. Myös media ja viranomaiset ovat varoittaneet huijausviesteistä ja -puheluista. Sekä korttien että pankin tunnusten ja verkkopalveluiden yleisissä ehdoissa on ohjeistettu kortin ja pankkitunnusten turvallinen käyttö. On yleisesti tiedossa, että huijausyritysten vuoksi korttitietojen sekä verkkopalvelutunnusten käyttämisen suhteen tulee olla erityisen huolellinen.

Vaikka asiakas ei ole itse vahvistanut maksua, on asiakas antanut sekä maksukorttinsa tiedot että verkkopalvelutunnustensa kaikki osat (käyttäjätunnus, salasana ja vaihtuva avainluku) sopimusehtojen vastaisesti Whatsapp-viestillä saamansa linkin kautta avautuneelle sivustolle, joka ei ole ollut pankin sivusto. Koska asiakas on ollut myyjänä, asiakkaan olisi tullut ymmärtää, ettei maksun vastaanottaminen edellytä kaikkien edellä mainittujen tietojen luovuttamista. Jo "ostajan" tarjoama kuljetuspalvelu on ollut normaalista käytetyn tavaran kaupasta poikkeava ja sen olisi pitänyt herättää asiakkaan epäily.

"Ostaja" on saanut haltuunsa verkkopankkitunnusten kaikki osat, joilla hän on voinut aloittaa pankin mobiilisovelluksen aktivoinnin omalle laitteelleen. Väärinkäytösten estämiseksi pankki on lähettänyt asiakkaalle klo 20:50:14 tekstiviestin, joka on sisältänyt mobiilisovelluksen aktivointiin tarvittavan 5-numeroiden koodin. Viesti on ollut seuraavansisältöinen:

"Read this carefully! Your user ID is used on a new phone with the name lphone to enable [pankin mobiilisovellus]. To prevent fraud, continue only if you yourself have downloaded the [pankin mobiilisovellus] and are now enabling a new [pankin mobiilisovellus]. To confirm enabling on your new phone, enter code ##### on the [pankin mobiilisovellus]. Don't enter or give this code anywhere else. If you suspect fraud, call [pankki] Deactivation Service immediately. [pankki]"

Viestissä pankki on ilmoittanut, että pankin mobiilisovelluksia ollaan aktivoimassa uuteen puhelimeen ja viestissä painotetaan, että koodia ei saa syöttää muualle kuin siihen pankin mobiilisovellukseen, jonka asiakas on itse ladannut ja jota asiakas on itse aktivoimassa. Mobiilisovelluksen aktivointi ei ole mahdollista ilman tekstiviestillä toimitettua koodia. Koodi on toimitettu asiakkaan tunnuksiin liitettyyn puhelinnumeroon ja kyseinen koodi on syötetty klo 20:54:19 "ostajan" asentamaan pankin mobiilisovellukseen, joka on aktivoitu onnistuneesti. Näin ollen asiakkaan on täytynyt syöttää tuo 5-numeroinen koodi huijaussivustolle tai muualle "ostajan" saataville.

Pankin mobiilisovelluksen aktivointiviesti lähetetään sen laitteen, jolla mobiiliavainta ollaan aktivoimassa, kielikoodin mukaan. Mikäli laitteen kielikoodi on muu kuin suomi tai ruotsi, aktivointitekstiviesti lähetetään englannin kielellä. Sen, että viesti tuli muulla kielellä kuin asiakkaan asiointikielellä, olisi nimenomaan pitänyt kiinnittää asiakkaan huomion siihen, että jotain poikkeuksellista on tapahtumassa. Oman ilmoituksensa mukaan asiakas osaa englantia sujuvasti.

Pankki katsoo, että mikäli asiakas olisi toiminut huolellisemmin, ei vahinkoa olisi päässyt syntymään. Se, että asiakas on syöttänyt Whatsappilla saamansa linkin takaa avautuneelle sivustolle sekä korttitietonsa että verkkopalvelutunnuksensa kaikki osat, on pankin lakiin ja sopimusehtoihin pohjautuvan arvion mukaan vähintäänkin huolimatonta menettelyä. Kun asiakkaan on täytynyt vielä lisäksi syöttää erillisessä tekstiviestissä saamansa aktivointikoodi ulkopuolisen saataville, pankki katsoo, että kokonaisuutena arvioiden asiakas on menetellyt asiassa maksupalvelulain tarkoittamalla tavalla törkeän huolimattomasti, mistä syystä aiheutunut vahinko on jäänyt asiakkaan vastuulle.

Asiakkaan vastuu on määritelty maksupalvelulain sekä pankin yleisten korttiehtojen mukaan ja asian ratkaisu perustuu asiakkaan menettelyn huolellisuuden arviointiin kyseessä olevassa tapauksessa. Asiakkaan pankkihistoria ei vaikuta päätökseen. Asiakkaan viittaamiin kansainvälisiin käytäntöihin pankki ei voi ottaa kantaa.

Väärinkäytöksen jälkeen

Asiakkaan luovuttamilla korttitiedoilla "ostaja" on tehnyt 8.575,50 euron korttimaksun, jonka "ostaja" on vahvistanut omalle laitteelleen aktivoimallaan mobiiliavaimella klo 21:00:31. Maksun vastaanottaja Tsum Moskva on ollut Visa-järjestelmän hyväksymä kauppias. Pankilla ei ole ollut syytä hylätä Tsum Moskvan katevarauspyyntöä. Kun katevarauspyyntö on hyväksytty, ei pankilla, poliisilla tai muulla viranomaisella ole oikeutta estää varsinaisen korttimaksun veloittamista ja varojen siirtymistä kauppiaalle. Katevaraus voidaan purkaa, mutta purkaminen ei estä veloitusta. Mikäli katevaraus puretaan eikä tilillä ole riittävästi varoja veloitushetkellä, aiheuttaa myöhemmin tapahtuva veloitus tilin ylittymisen. Veloitus ei siis jää toteutumatta, vaikkei tilillä olisi katetta.

Asiakas on soittanut sulkupalveluun klo 21.05, kun on huomannut Pivo-sovelluksen ilmoituksen 8.575,50 euron maksusta. Asiakkaan nopea toiminta on estänyt seuraavat korttimaksuyritykset. Tässä vaiheessa 8.575,50 euron vahinko oli kuitenkin jo aiheutunut eikä maksua voitu estää. Poliisi tai muukaan viranomainen ei voi estää jo hyväksyttyä korttimaksua. Asiakas ohjataan tekemään rikosilmoitus, sillä hänellä on tieto mahdollisen rikoksen tapahtumien kulusta.

Asiakas on kertonut, että hänelle on puhelimessa annettu harhaanjohtavaa tietoa reklamaatiokäsittelystä. Pankki pahoittelee, että näin on tapahtunut. Asiakaspalvelun ei tule ottaa kantaa reklamaatioiden käsittelyyn, ja pankki on tämän heille uudelleen ohjeistaneet. Asiakkaan saama harhaanjohtava tieto ei ole kuitenkaan vaikuttanut asiakkaalle aiheutuneen vahingon määrään.

Tutkintapyynnön tekeminen poliisille on asiakkaan, ei pankin vastuulla. Pankki ei ole tässä tapauksessa rikosasian osapuolena, mistä syystä se ei ole tehnyt tutkintapyyntöä. Poliisille ilmoittaminen ei kuitenkaan olisi estänyt vahinkoa syntymästä. Visan sääntöjen mukaan sen jälkeen, kun kortinmyöntäjä on hyväksynyt kauppiaan tekemän varmennuspyynnön, ei korttimaksua voi enää estää. Siihen pankki ei voi ottaa kantaa, mitä poliisi on sanonut asiakkaalle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- kopio sähköisestä rikosilmoituksesta

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin yleisten korttiehtojen kohta, joka koskee kuluttajan asemassa olevan asiakkaan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin käyttötavat. Missä voi maksaa kortilla? -kohdan mukaan

Asiakas saa käyttää korttia ja luovuttaa hallussaan olevan Kortin tiedot vain näissä ehdoissa mainittuihin käyttötarkoituksiin.
Korttia voidaan käyttää käteisen nostoon, ostosten ja palveluiden maksamiseen tai rahan tallettamiseen korttiin liitetylle pankkitilille. Lisäksi Kortin tietoja voidaan käyttää ostosten ja palveluiden maksamiseen. Korttia saa käyttää vain pankki- tai luottotilillä olevien varojen tai myönnetyn luottorajan puitteissa.
[…]

Korttiehtojen Kortin käyttö maksukorttina -ehdon mukaan

Kortteja, joilla on credit- tai debit-omonaisuus, voidaan käyttää maksuvälineenä ja käteisen nostoon maksupäätteessä.
[..]

Korttiehtojen Kortin tietojen käyttö etämaksamisessa -kohdan mukaan

Asiakas voi Kortin tiedoilla maksaa etämyynnissä ostamiaan tuotteita ja palveluita.
[…]
Asiakkaan tulee antaa Kortin tiedot vain turvalliseksi tietämilleen kolmansille palveluntarjoajille. […]
Käyttäessään Kortin tietoja asiakas on velvollinen noudattamaan [pankin] antamia ohjeita. Maksa turvallisesti verkossa -ohje on saatavilla tilipankin toimipakoissa [pankin] osoitteessa www.[pankki].fi. […]

Korttiehtojen Asiakkaan velvollisuudet -kohdan Kortista ja Kortin tiedoista huolehtiminen -alakohdan mukaan

Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.
[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internet-kauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. […]

Korttiehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Kortin tai laitteen ja siihen tallennettujen Kortin tietojen katoamisesta, joutumisesta sivullisen haltuun, […] tai oikeudettomasta käytöstä on viipymättä ilmoitettava [pankille].
[…]

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:

Henkilöasiakkaalle luovutetut verkkopalvelutunnukset ovat henkilökohtaiset. Verkkopalvelutunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [Pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
Tunnuksilla ei saa tunnistautua palveluihin, joita tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho. Tunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten [pankin] julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
[…]
Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankki] Ryhmän yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankki]-verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Käyttäjätunnuksen ja salasanan sisältävä kalvo on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, Asiakkaan tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja että tiedot eivät jää ulkopuolisten saataville.
[…]
Asiakkaan on [pankki]-verkkopalveluihin kirjautuessaan suojattava laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla Tunnuksia käytetään siten, ettei kenelläkään ole mahdollisuutta saada Tunnuksia tietoonsa.[pankki]-verkkopalveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.

Pankkitunnusehtojen Ilmoitus Tunnusten katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan

Asiakkaan on välittömästi ilmoitettava Palveluntarjoajalle Tunnusten katoamisesta tai niiden joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka jos asiakas epäilee niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun. […]

Pankkitunnusehtojen Tunnusten käyttäminen -kohdan mukaan
 [pankki]-verkkopalveluiden käyttö –kohdan mukaan

Asiakas tunnistautuu [pankki]-verkkopalveluihin näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta.
Asiakas voi tunnistautua [pankki]-verkkopalveluihin myös muulla Palveluntarjoajan tarjoamalla tai Palveluntarjoajan hyväksymällä Kolmannen osapuolen myöntämällä varmenteella tai tunnistusvälineellä. Jos Kolmannen osapuolen tarjoamaa varmennetta tai tunnistusvälinettä koskeva sopimus on tunnistusvälineen tai varmenteen säilyttämisen ja / tai käyttämisen osalta ristiriidassa [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisten ehtojen kanssa, sovelletaan ensisijaisesti [pankin] tunnusten ja [pankki]-verkkopalveluiden yleisiä ehtoja.
[Pankki].fi-palveluun kirjaudutaan kirjoittamalla osoite [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun asiakas on velvollinen tarkistamaan, että [pankki].fi -verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. XXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Asiakas ei saa antaa [pankki]-verkkopalveluita käyttöön Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankki]-verkkopalveluissa. Edellä sanottu ei rajoita Asiakkaan oikeutta käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisen korttimaksun edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa korttimaksun, jonka toteuttaminen on edellyttänyt pankin mobiilisovelluksella tehtyä vahvistusta.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet ladata ja aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalainen korttimaksu on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön what-sappin kautta lähettämässä viestissä olleen linkin kautta avautuneilla postin sivuilta näyttäneillä rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo riidattomaksi, että tämän jälkeen asiakas käytti pankin sivuilta näyttävillä rikollisten luomilla valesivuilla verkkopankkitunnuksiaan tunnistautumistarkoituksessa.

Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin mobiilisovelluksen asentamisen omalle laitteelleen. Uuden mobiilisovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 21.2.2022 klo 20:50 mobiilisovelluksensa käyttöönottoa koskevan aktivointikoodin sisältäneen tekstiviestin:

"Read this carefully! Your user ID is used on a new phone with the name lphone to enable [pankin mobiilisovellus]. To prevent fraud, continue only if you yourself have downloaded the [pankin mobiilisovellus] and are now enabling a new [pankin mobiilisovellus]. To confirm enabling on your new phone, enter code ##### on the [pankin mobiilisovellus]. Don't enter or give this code anywhere else. If you suspect fraud, call [pankki] Deactivation Service immediately. [pankki]"

Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja ettei asiassa saadun selvityksen perusteella – ja asiakkaan asian kiistämisestä huolimatta – ole muuta mahdollisuutta kuin että tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja vahvistaa sovelluksella ko. korttimaksun.

Asiakkaan menettelyn arviointi

Korttiehtojen mukaan asiakas saa käyttää korttia ja luovuttaa hallussaan olevan kortin tiedot vain ehdoissa mainittuihin käyttötarkoituksiin. Edelleen korttiehtojen mukaan korttia voidaan käyttää käteisen nostoon, ostosten ja palveluiden maksamiseen tai rahan tallettamiseen korttiin liitetylle pankkitilille. Lisäksi kortin tietoja voidaan ehtojen mukaan käyttää ostosten ja palveluiden maksamiseen etämaksamisessa. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille. Pankkitunnusehdoissa puolestaan nimenomaisesti kielletään tunnusten käyttäminen kirjautumiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Asiakkaan syötettyä kortti- ja pankkitunnustietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka asiakkaan kertoman mukaan linkin kautta avautuneet sivut näyttivät aidoilta postin sivuilta ja korttitietojen syöttämisen jälkeen avautuneet sivut pankin sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista tai tunnistautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olleen sisällöltään informatiivinen, ja siinä ohjeistetun asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta varoitetun huijauksista ja kehotetun ottamaan yhteyttä pankkiin, jos asiakas ei ole itse aktivoimassa pankin mobiilisovellusta. Asiakkaan kertoman perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä aktivointikoodia sitä valesivuille laittaessaan. Pankkilautakunta kuitenkin katsoo, että tässä tapauksessa sillä, että kyseinen tekstiviesti on ollut englanninkielinen, ei ole olennaista merkitystä asiakkaan huolellisuuden arvioinnin kannalta, koska asiakkaan ilmoituksen mukaan hänen englannin kielen taitonsa on erinomainen.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella - ottaen huomioon ko. korttitapahtuman edellyttämien kaikkien tietojen syöttämisen linkin kautta avautuneille sivuille sekä erityisesti pankin lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin sisällön - Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankiltaan saaman pankin mobiilisovelluksen aktivointikoodin sisältämän tekstiviestin yksityiskohtaisen sisällön lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Atrila, Laine, Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia