Haku

FINE-049618

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-049618 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 10.10.2022

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin mobiilisovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on myynyt verkossa sänkyä, kun hän on joutunut petoksen uhriksi ja rikolliset ovat asiakkaan verkkopankkitunnuksilla (käyttäjätunnus, salasana ja tunnusluku tunnuslukutaulukosta) ja pankin asiakkaan puhelinnumeroon 20.4.2022 klo 16:39 lähettämässä tekstiviestissä olleella vahvistuskoodilla aktivoineet käyttöönsä pankin mobiilisovelluksen Samsung SM-A505FN -laitteelle. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Vahvistuskoodisi on 1554. Terveisin [Pankki]".

Asiakkaan korttitietoja käyttäen ja em. pankin mobiilisovelluksella vahvistaen rikolliset ovat tehneet verkossa 20.4.2022 klo 16.42-17.00 välisenä aikana kolme oikeudetonta korttimaksua yhteisarvoltaan 2.965,89 euroa.

Asiakas on sulkenut korttinsa soittamalla sulkupalveluun 20.4.2022 klo 17.11. Pankin mobiilisovellus on poistettu laitteelta SM-A505FN 20.4.2022 klo 17.23.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan hänen tililtään oikeudettomasti tehdyt 2.965,89 euron korttiostot.

Asiakas myi Tori.fi-sivustolla tuotetta. Asiakkaaseen otettiin yhteyttä Whatsapp-viestillä, jossa tuote maksettiin ja toimitettiin ns. kuriiripalvelun kautta. Tähän viestiin asiakas tyhmyyttään vastasi ja laittoi pankkikortistaan numeron, voimassaolopäivän ja takaa 3-numeroisen luvun. Tämän jälkeen tapahtuma jäi pyörittämään mustaa ympyrää, joka vain jatkui, eikä missään vaiheessa edennyt pankin tunnistautumisvaiheeseen. Tämä tapahtui Whatsappissa, joka asiakkaalla on ladattuna tablettiin. Pankin mobiilisovellus asiakkaalla on ladattuna puhelimeen eikä sovellus ollut käytössä eikä auki huijauksen aikana. Kun tämä toiminto vain pyöritti, asiakas tajusi tehneensä tyhmyyden ja otti puhelimen, jossa on pankin mobiilisovellus ladattuna ja aukaisi sen niillä neljällä numerolla, jotka oli asennusvaiheessa itselleen luonut ja jotka vain avaa etusivun. Asiakas näki heti etunäytössä, että luottotilin saldo oli noin 390 euroa, vaikka asiakas ei ollut luottoa käyttänyt ja sen olisi pitänyt olla 3.000 euroa. Asiakas meni luottotietoihin ja näki, että luotolla oli katevarauksessa 2 x 1.300 euroa ja 236,89 euroa. Asiakas sulki välittömästi mobiilisovelluksen ja kuoletti pankkikorttinsa. Asiakas soitti ensin väärään numeroon, josta annettiin oikea numero, jossa kortti suljetaan. Sulkupalvelusta lähetettiin hetken päästä tekstiviestillä tieto, että kortti on suljettu. Asiakkaan omaa pankin mobiilisovellusta ei katkaistu missään vaiheessa.

Asiakasta ihmetyttää, miksi nämä maksut olivat pankilla katevarauksessa liki 3 viikkoa, ja kaikkien maksujen edessä oli kärkikolmio, jonka sisällä oli huutomerkki eikä maksuja oltu veloitettu. Tässä vaiheessa asiakas ei uskaltanut maksuja edes klikata auki, koska hän oletti pankin huomioineen ne näiksi huijausnostoiksi ja ne poistuisivat katevarauksesta.

Näitä maksuja asiakas ei ole missään vaiheessa itse hyväksynyt - ei verkkopankkitunnuksilla, jotka asiakkaalla oli koko tämän tapahtuman ajan turvallisesti laatikossa vain asiakkaan tietämässä paikassa, eikä myöskään pankin mobiilisovelluksen kautta. Asiakas ei ole myöskään antanut kenellekään ulkopuoliselle kaikkia verkkopankin tunnistautumis- ja tunnuslukutaulukon tietoja. Eli huijarit pääsivät luottotilille tilinumeron, voimassaolopäivän ja kortin takana olevalla 3-numeroisella luvulla.

Asiakas on useastikin käyttänyt isommissa maksuissa luottokorttia ja tietää, miten maksun tulisi normaalisti edetä pankin tunnistusvaiheeseen. Asiakkaan mielestä rikollisliiga on päässyt suoraan pankin luottotietojärjestelmään jo näillä pankkikortin tiedoilla ja voinut veloittaa korttia siellä olevan käyttämättömän luoton verran.

Pankki väittää lähettäneensä vahvistuskoodin tekstiviestinä. Tätä viestiä asiakas ei ole siinä paniikissa nähnyt eikä sitä käyttänyt, eikä löytänyt sitä roskaposteistakaan, vain ilmoitusviestin että kortti on kuoletettu.

Pankin tarina ja vastaukset muuttuvat ihan yhtenään. Nyt on lehdistä luettu, kuinka ihmiset, joilla ei edes ole pankin mobiilisovellusta käytössä, ovat niillä pankin mukaan nostonsa tehneet ja hyväksyneet. Eikä kukaan näköjään pysty näitä valheita kumoamaan.

Asiakas on tehnyt asiassa rikosilmoituksen poliisille ja myös reklamaation Toriin. Poliisilta tullut myös päätös, ettei rikostutkintaa suoriteta, koska kyseessä kansainvälinen huijausliiga.

Pankin vastine

Tapahtumat ovat korttiostoja ja ne on vahvistettu pankin mobiilisovelluksella laitteella Samsung SM-A505FN. Roisto on aloittanut pankin mobiilisovelluksen lataamisen ko. laitteelle syöttämällä asiakkaan käyttäjätunnuksen ja salasanan 20.4.2022 klo 16:38:31. Tämän jälkeen asiakkaan puhelinnumeroon on lähetetty vahvistuskoodin sisältämä tekstiviesti 20.4.2022 klo 16:39:00. Viestin sisältö on ollut: "Vahvistuskoodisi on 1554. Terveisin [Pankki]". Jotta pankin mobiilisovellus on saatu otettua käyttöön edellä mainitulla Samsung-laitteella, on roiston täytynyt saada asiakkaan omaan puhelinnumeroon toimitettu vahvistuskoodi ja syöttää se käyttöönoton yhteydessä.

Tekstiviestien lähettämiseen pankki käyttää Elisa Dialogi -palvelua, josta pankki on tarkistanut lähetetyn tekstiviestin sisällön ja lähetysajan. Dialogi -palvelussa on esimerkiksi seuraavia palautekoodeja:

  • "toimitettu" = viesti toimitettu onnistuneesti matkapuhelimeen.
  • "epäonnistunut"
  • "lähetetty" = viesti on lähetetty viestikeskukseen, mutta sanomakeskuksesta ei ole saapunut vielä lisätietoa.

Elisan Dialogi -palvelun tarkistettujen palautteiden mukaan viesti on toimitettu onnistuneesti asiakkaan matkapuhelimeen.

Pankin mobiilisovelluksen lataamiseen toiseen laitteeseen on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset, eli verkkopankin käyttäjätunnus, salasana, tunnuslukutaulukon satunnaisesti valittu tunnusluku sekä tekstiviestitse toimitettu vahvistuskoodi.

Pankin mobiilisovellus on poistettu laitteelta SM-A505FN 20.4.2022 klo 17:23. Asiakas on sulkenut kortin soittamalla sulkupalveluun 20.4.2022 klo 17:11. Verkkopankkitunnukset on uusittu 8.9.2022.

Verkkopankkitunnuksia ei suljettu tapahtumien tekoaikaan, koska asiakas kiisti, että pankkitunnukset olisivat joutuneet kenenkään ulkopuolisen haltuun tai tietoon. Tällä ei kuitenkaan ole itse tapauksen kannalta merkitystä, sillä väärinkäytökset loppuivat, kun pankin mobiilisovellus poistettiin Samsung -laitteelta.

Lisäksi pankki toteaa, että pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi kesällä järjestelmähäiriö. Pankki on ollut yhteydessä kaikkiin niihin asiakkaisiin, joita häiriö on koskettanut. Jos pankki ei ole lähettänyt asiakkaalle verkkoviestiä tai kirjettä, niin kyseinen häiriö ei ole vaikuttanut asiakkaaseen.

Asiakkaan reklamoimassa tilanteessa rikollinen on saanut haltuunsa asiakkaan verkkopankkitunnuksien kaikki osat: käyttäjätunnuksen, salasanan ja tekstiviestillä lähetetyn vahvistuskoodin ja niiden avulla ottanut käyttöön mobiilisovelluksen omassa laitteessaan. Väärinkäyttö on tapahtunut tällä rikollisen laitteessa olevalla pankin mobiilisovelluksella. Järjestelmähäiriössä asiakkaan verkkopankkitunnukset eivät joutuneet ulkopuolisen tietoon.

Lopuksi

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakkaan henkilökohtaisten verkkopankkitunnusten osista käyttäjätunnuksen ja salasanan rikollinen olisi saattanut saada tietoonsa jonkin aikaisemman huijauksen yhteydessä, mutta järjestelmä valitsee tunnuslukutaulukon tunnusluvun sattumanvaraisesti. Pankin mobiilisovellusta ei ole voitu ottaa käyttöön ilman tätä sattumanvaraisesti valikoituvaa tunnuslukutaulukon tunnuslukua.

Jos asiakas ei itse erehdyksessä ole antanut avainlukulistan koodia ja tekstiviestitse hänelle toimitettua vahvistuskoodia, on rikollisella täytynyt olla hallussaan asiakkaan koko avainlukulista tai sen kopio sekä asiakkaan puhelin.

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hyväksytyistä korttiostoista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momentin mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Määritelmät -kohdan mukaan

Katevaraus on korttitapahtumille tehtävä varaus tulevaa veloitusta tai hyvitystä varten. Katevaraus tehdään korttiin liitetyllä tilillä tai luottotilillä käytettävissä olevasta summasta. Tehty katevaraus pienentää tai kasvattaa tilillä käytettävissä olevaa summaa. Katevaraus poistuu, kun sitä vastaava summa veloitetaan tililtä tai hyvitetään sille, tai viimeistään seitsemän (7) päivän kuluessa varauksen päivämäärästä.

Korttiehtojen Kortin käyttötavat -kohdan mukaan

Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.

Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan

Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.

Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan

Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.

Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan

Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]

Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan

Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kolme korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön whatsappin kautta lähettämässä viestissä olleen linkin kautta avautuneilla rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole - asiakkaan asian kiistämisestä huolimatta - muuta mahdollisuutta kuin että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille esimerkiksi tunnistautumistarkoituksessa taikka vahvistaakseen antamansa tiedot tai maksun vastaanottamisen.

Asiakkaan menettelyn arviointi

Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan ollessaan myymässä tuotetta ja mitä ilmeisimmin maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan.

Asiakkaan kertoman perusteella on jäänyt epäselväksi, minkä näköiset sivut whatsapp-viestin linkistä on auennut. Joka tapauksessa Pankkilautakunta katsoo, että vaikka asiakas olisi kokenut ostajaehdokkaan uskottavaksi ja linkin kautta avautuneet olisivat näyttäneet esimerkiksi aidoilta kuriiripalvelun sivuilta tai pankin kirjautumissivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta kiinnittää tapauksessa kuitenkin erityistä huomiota siihen, että pankin asiakkaalle lähettämässä pankin mobiilisovelluksen aktivoinnin edellyttämän vahvistuskoodin sisältävässä tekstiviestissä pankki ei millään tavoin tuo esiin, mitä toimenpidettä varten ja mihin viestissä ollut koodi tulisi syöttää. Näin ollen Pankkilautakunta pitää osittain ymmärrettävänä, että uskottuaan mitä ilmeisimmin olevansa vastaanottamassa kortilleen maksua verkossa myymästään tuotteesta ja syötettyään jo tässä tarkoituksessa ja valesivujen edellyttämällä tavalla kortti- ja pankkitunnustietojaan, on asiakas voinut ymmärtää vastaanottamansa vahvistuskoodin liittyneen vaadittuun prosessiin ja esimerkiksi maksun vastaanottamisen vahvistamiseen, eikä asiakas ole ainakaan tekstiviestin sisällön perusteella voinut ymmärtää viestissä olleen vahvistuskoodin liittyvän uuden pankin mobiilisovelluksen käyttöön ottoon uudelle laitteelle.

Edelleen todettuun viitaten Pankkilautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta osoita hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin ja ettei hänen menettelynsä näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan menetelleen korttitietojensa ja pankkitunnustensa käyttämisen suhteen huolimattomasti vakavaa varomattomuuttaan osoittavalla tavalla. Asiassa saatu kokonaisselvitys huomioiden lautakunta kuitenkin katsoo, ettei asiakkaan menettely osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Ahlroth, Atrila, Piilo, Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia