Haku

FINE-049778

Tulosta

Asianumero: FINE-049778 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 30.11.2022

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin mobiilisovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on ollut myymässä verkossa päiväkirjaa, kun hän on joutunut petoksen uhriksi. Asiakkaan verkkopankkitunnuksilla (käyttäjätunnus, salasana ja tunnusluku tunnuslukutaulukosta) ja pankin asiakkaan puhelinnumeroon 25.5.2022 klo 17:03 lähettämässä tekstiviestissä olleella vahvistuskoodilla on aktivoitu käyttöön uusi pankin mobiilisovellus Samsung SM-A217F -laitteelle. Em. tekstiviestissä on lukenut seuraavaa:

”Käytä vahvistuskoodia 3737 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]”

Asiakkaan korttitietoja käyttäen ja em. pankin mobiilisovelluksella vahvistaen on 25.5.2022 klo 17.15-17.52 välisenä aikana tehty kolme oikeudetonta korttimaksua yhteismäärältään 672,92 euroa.

Asiakkaan pankkitunnukset ja kortti on suljettu 25.5.2022 klo 19.02.

Asiakkaan valitus

Asiakas vaatii pankilta korvausta menettämästään summasta viivästyskorkoineen.

Missään vaiheessa tunnukset tai pankkikortti eivät ole olleet kenenkään toisen hallussa. Asiakas oli myymässä lapsensa päiväkirjaa tori.fi:ssä, mikä kertoo kuinka törkeää toiminta voi olla. Pankkitunnuksen ja pin-koodin asiakas ilmoitti pankin logoon, joka oli täysin identtinen mikä kirjautuessa pankkiin yleensäkin on. Ei voida olettaa tavallisen ihmisen osaavan epäillä pankin tunnusten logoa, johon tiedot annetaan. Tekstiviestinä tullut koodi oli asiakkaan ymmärryksen mukaan varmistuskoodi tapahtumalle. Ei voida olettaa asiakkaan olevan pankkiasiantuntija ja että asiakas erottaa oikean ja väärän täysin identtiset maksualustat toisistaan.

Outoa on, että pankki ei keskeytä tai tiedustele asiakkaalta näinkin ison summan siirtoa, mikäli kyse on mahdollisesta epäilyttävästä toiminnasta. Pankin ensisijainen tehtävä on suojata asiakkaan tiliä ja siellä olevia varoja ja asiakkaan on voitava luottaa aitoihin alustoihin. On ilmeistä, että pankki olisi kyennyt estämään rahansiirrot rikolliselle.

Pankissa on ilmennyt myös tilanteita, joissa ihmisten tileihin on päässyt ulkopuolisia tahoja. Tämäkin kertoo, että asiakkaan tapauksessa pankki on turvannut asiakkaan tilin ja pankkiturvan heikosti, jolloin on selvää, että asiakkaan varat on palautettava kokonaisuudessaan.

Pankin vastine

Tapahtumien kulku

Asiakas kertoo myyneensä Tori.fi-palvelussa lapsensa päiväkirjaa. Hän kertoo saaneensa yhteydenoton mahdolliselta ostajaehdokkaalta Whatsapp-viestin välityksellä. Ostaja ehdotti, että osapuolet käyttäisivät Postin kuriiripalvelua, koska ostaja asuu Porissa. Ostaja välitti myyjälle linkin huijaussivulle, joka oli muotoa https://posti-fi.msrack...

Asiakas avasi kyseisen linkin, jolta aukesi pankin logoilla varustettu huijaussivusto. Asiakas syötti sivustolle verkkopankkitunnuksensa eli käyttäjätunnuksen, salasanan, tunnuslukutaulukon tunnuskoodin sekä pankkikorttinsa maksutiedot, koska sivusto oli asiakkaan mukaan aidon näköinen "aidoilla [pankin] logoilla". Asiakkaan mukaan: "Tapahtumien jälkeen rahat katosivat tililtäni, jonka jälkeen "ostaja" katosi.".

Tapahtumien kulku pankin lokitietojen mukaan

25.5.2022 klo 17:03           Pankin mobiilisovelluksen käyttöönottoon tarvittavan vahvistuskoodi lähetetty tekstiviestillä. Mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle Samsung SM-A217F 25.5.2022 klo 17:03.

25.5.2022 klo 17:15           MONEY TRANSFER UAH 636,67 euroa

25.5.2022 klo 17:47           STREAMFLOW EAD 12,08 euroa

25.5.2022 klo 17:52           STREAMFLOW EAD 24,17 euroa.

25.5.2022 klo 19:02           Pankkitunnukset ja kortti suljettu.

Pankin vastaus

Asiakas myöntää syöttäneensä korttitietonsa ja pankin mobiilisovelluksen lataamiseen vaaditut tiedot huijaussivustolle. Kyseessä ei ole pankin oma sivu, vaan asiakas on siirtynyt sivustolle WhatsAppissa saamastaan epäilyttävästä linkistä https://posti-fi.msrack. Näin ollen sillä, että sivusto on mahdollisesti muistuttanut pankin kirjautumissivustoa, ei ole lopputuloksen kannalta merkitystä. Pankki katsoo asiakkaan luovuttaneen korttinsa maksutiedot ja verkkopankkitunnuksensa ulkopuoliselle ja täten toimineen varsinkin verkkopankkitunnusten säilytyksessä törkeän huolimattomasti.

Tori.fi muistuttaa sivuillaan:

"Hyvä torittaja! Varo tekstiviestitse/whatsappilla tulevia huijauksia! Torilla ei ole omaa maksujärjestelmää tai kuriiri- tai kuljetuspalvelua. Jos sinua kaupanteon yhteydessä pyydetään vahvistamaan maksu linkin kautta, antamaan maksutietosi tai sinut ohjataan Torin maksusivustolle, älä suorita maksua vaan ota yhteys Tori-tukeen."

Lisäksi verkkohuijauksista on uutisoitu varsin laajasti kevään 2022 aikana.

Tästä huolimatta asiakas aloitti keskustelun ostajan kanssa WhatsApp-sovelluksessa vaikka Tori.fi:n sivuilla varoitetaan erikseen tekstiviestitse ja WhatsAppilla tulevista huijauksista. Asiakas antoi tuntemattomalta henkilöltä saadun linkin kautta avautuneille huijaussivuille verkkopankkitunnuksensa, ja korttinsa maksutiedot, vaikka ei ollut maksamassa mitään. Kyseessä oli vain kuriiripalvelulle noutopaikan ilmoittamista, koska asiakas oli siinä uskossa, että vastaanottaa maksun käteisellä kuriirilta.

Oudon tilanteen olisi pitänyt herättää asiakkaan epäluulot. Viimeistään pankin lähettämän tekstiviestin saatuaan asiakkaan olisi tullut ymmärtää, että kyseessä on huijaus. Asiakas kuitenkin vahvisti tapahtuman, vaikka tekstiviestissä todettiin kyseessä olevan pankin mobiilisovelluksen käyttöönotto ja kerrottiin, että kyseisellä tunnuksella ei voi kirjautua verkkopankkiin.

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen korttinsa tiedoilla tehdystä ja hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hyväksytyistä korttimaksuista.

Lisäksi pankki toteaa, että pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi kesällä järjestelmähäiriö. Pankki on ollut yhteydessä kaikkiin niihin asiakkaisiin, joita häiriö on koskettanut. Jos pankki ei ole lähettänyt asiakkaalle verkkoviestiä tai kirjettä, niin kyseinen häiriö ei ole vaikuttanut asiakkaaseen.

Asiakkaan reklamoimassa tilanteessa rikollinen on saanut haltuunsa asiakkaan verkkopankkitunnuksien kaikki osat: käyttäjätunnuksen, salasanan ja tekstiviestillä lähetetyn vahvistuskoodin ja niiden avulla ottanut käyttöön pankin mobiilisovelluksen omassa laitteessaan. Väärinkäyttö on tapahtunut tällä rikollisen laitteessa olevalla pankin mobiilisovelluksella. Järjestelmähäiriössä asiakkaan verkkopankkitunnukset eivät joutuneet ulkopuolisen tietoon. Näin ollen julkisuudessakin esillä olleella järjestelmähäiriöllä ei ole minkäänlaista yhteyttä tähän tapaukseen.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Kuva asiakkaan pankilta saamasta tekstiviestistä 25.5.2022 klo 17.03
  • Kaksi kuvaa asiakkaan käymästä whatsapp-keskustelusta
  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
  • Pankin korttiehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin käyttötavat -kohdan mukaan
Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.

Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.

Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan
Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.

Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]

Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan
Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kolme korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön whatsappin kautta lähettämässä viestissä olleen linkin kautta avautuneilla postin tai pankin sivuilta näyttäneillä rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo riidattomaksi, että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille.

Asiakkaan menettelyn arviointi

Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan mitä ilmeisimmin maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka asiakkaan kertoman mukaan linkin kautta avautuneilla sivuilla on näkynyt aidolta näyttänyt pankin logo, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Mikäli asiakas olisi tuossa tilanteessa esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakkaan kertoman mukaan tekstiviestinä tullut koodi oli hänen ymmärryksensä mukaan varmistuskoodi tapahtumalle. Asiakkaan kertoman perusteella lautakunta katsoo kuitenkin jääneen epäselväksi, onko asiakas lukenut pankilta saamansa tekstiviestin sisältöä.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että vaikka em. tekstiviestissä ei esimerkiksi varoiteta väärinkäytöksistä, todetaan viestissä kuitenkin, että viestissä ollutta vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon ja ettei koodilla voi kirjautua verkkopankkiin.

Tässä tapauksessa – asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta – asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon kortti- ja pankkitunnusten syöttämisen sovellettavien ehtojen vastaisesti linkin kautta avautuneille sivuille sekä erityisesti pankin tekstiviestitse lähettämän vahvistuskoodin syöttämisen tekstiviestin sisältöä huomioimatta lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Ahlroth, Atrila, Piilo, Tervonen

Tulosta