Haku

FINE-049807

Tulosta

Asianumero: FINE-049807 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 30.11.2022

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Pankkitunnusten haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on joutunut verkkourkinnan uhriksi. Asiakkaan verkkopankkitunnustiedoilla ja pankin asiakkaan puhelinnumeroon 18.10.2021 klo 19:59 lähettämässä tekstiviestissä ollutta koodia käyttäen on aktivoitu käyttöön pankin mobiilisovellus. Em. tekstiviestissä on lukenut seuraavasti:
"Käytä kertakäyttökoodia A-076911 viimeistelläksesi [pankin mobiilisovel-luksen] käyttöönotto. Koodi on voimassa 3 minuuttia."

Pankki ilmoittanut mobiilisovelluksen aktivoimisesta asiakkaalla tekstiviestitse klo 20.00:
"[Pankin mobiilisovellus] on aktivoitu laitteessa iPhone 6s. Jos et ole itse aktivoinut laitetta, ole heti yhteydessä Sulkupalveluun +358 20 333."

Em. pankin mobiilisovellusta käyttäen on asiakkaan tililtä tehty oikeudettomasti 18.10.2021 klo 23.00-23.48 viisi tilisiirtoa yhteisarvoltaan 63.950,00 euroa. Palautuspyynnöillä on saatu takaisin yhdeltä vastaanottajapankilta yksi 9.450,00 euron tilisiirto asiassa aiheutuneen kokonaisvahingon ollessa siten 54.500,00 euroa.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan kaikki oikeudettomat tilitapahtumat.

Asiakas avasi pankissa tilin vuokranmaksua varten ja sopi pankin kanssa lokakuussa 2016 säännöllisestä kerran kuukaudessa maksettavasta vuokrasta. Kaikki meni sovitusti alkuvuoteen 2021. Vuokranantaja ilmoitti 18.10.2021 saaneensa vuokramaksuja kaksinkertaisesti 8 kuukauden ajalta. Pankki ei tiennyt asiasta mitään. Asiakas yritti ottaa heti yhteyttä pankin asiakaspalveluun, mutta se oli siltä päivältä suljettu kellon ollessa yli klo 18. Tämän takia asiakas yritti mennä verkkopankkiin katsoakseen, mitä oli tapahtunut.

Kello oli noin 19.30 ja pankin verkkosivu näytti asiakkaan mielestä normaalilta. Sivulla oli kuitenkin jotakin outoa. Yrityssivulle olisi päässyt, mutta yksityissivulle asiakas ei päässyt. Jostain syystä kirjautuminen näytti punaista yksityisasiakkaille, mutta vihreää yritysasiakkaille. Kirjautuminen tapahtui aivan samalla tavalla kuin aina ennenkin, mutta pankin sivuilla oli samoihin aikoihin kirjautumisjärjestelmässä vikaa. Kokeiltuaan pari kertaa onnistumatta asiakas sulki tietokoneen. Asiakas ei käytä verkkopankkia usein, mutta ajatteli pankin järjestelmävikaa, josta oli siihen aikaan mediassa lukenut. Kello oli noin 20.00.

Asiakas sai yhteyden pankin asiakaspalveluun 19.10.2021 aamupäivällä. Asiakas keskusteli ainakin 4 eri henkilön kanssa vuokramaksuongelmasta ja vihdoin viimeinen heistä lupasi korjata asian. Mitään selitystä tuplamaksusta asiakas saanut. Kukaan heistä ei huomannut asiakkaan tilillä outoja tapahtumia. Iltapäivällä noin klo 15.30 pankista soitettiin ja ilmoitettiin, että asiakkaan tililtä oli nostettu 18.10.2021 illalla klo 22.30-24.00 yhteensä yli 63.000 euroa.

Eikö pankkien automatiikka estä epäilyttäviä tilisiirtoja tai pankilla ole mitään kontrollia suurten siirtojen tarkistamisessa? Mediassa kerrottiin lokakuussa 2021 pankilla olleen useita ongelmia. Tuttavat kertoivat vastaavanlaisista ongelmista omissa verkkopankeissaan lokakuussa 2021. Oliko silloin Suomen pankkimaailmassa laajempiakin hyökkäyksiä?

Asiakasta syytetään pykälien ja momenttien tietämättömyydestä. Asiakas on päätellyt niin, että asiakkaan halu jatkaa asian käsittelyä halutaan vaientaa ja että asiakkaalta salataan jotakin.

Pankin vastine

Asiakas on valittanut pankille vuokramaksuihin liittyvistä epäselvyyksistä ja hakenut korvausta oikeudettomista maksutapahtumista, jotka on tehty hänen tililtään lokakuussa 2021. Vuokramaksuasiasta asiakas on saanut erillisen selvityksen.

Pankin selvityksessä on tullut esiin, että oikeudettomia maksutapahtumia on tehty osana verkkourkintahyökkäystä, joka on kohdistunut pankin asiakkaisiin. Hakukoneiden hakutuloksissa on esiintynyt väärennettyjä verkkosivuja pankin verkkosivun sijaan. Klikkaamalla haun yhteydessä olevaa väärennettyä ilmoitusta asiakkaat ovat päässeet pankin ulkonäön kopioineelle epäaidolle sivustolle, jonka tarkoituksena on ollut kalastella asiakkaiden verkkopankkitunnuksia.

Asiakas on kirjautuessaan valesivustolle alkuillasta 18.10.2021 antanut verkkopankkisopimuksen käyttäjätunnuksen, henkilökohtaisen salasanan ja avaintunnusluvun. Asiakas on saanut yhteensä neljä tekstiviestiä illan aikana:
Klo 17:13:19 SMS:
"Olet kirjautumassa [pankin] Verkkopankkiin. Ole hyvä ja syötä vahvistuskoodi 88268 verkkopankissa sille varattuun kenttään."
klo 17:17:58 SMS:
"Olet hakemassa tapahtumatietoja verkkopankissa. Ole hyvä ja syötä vahvistuskoodi 92791 verkkopankissa sille varattuun kenttään."
klo 19:59:11 SMS:
"Käytä kertakäyttökoodia A-076911 viimeistelläksesi [pankin mobiilisovelluksen] käyttöönotto. Koodi on voimassa 3 minuuttia."

Asiakas on käyttänyt näitä kertatunnuksia ja kolmannessa viestissä olleella kertatunnuksella asiakas on hyväksynyt mobiilipankin käyttöönoton. Tällä tavalla petosten tekijät ovat siis onnistuneet ottamaan käyttöön asiakkaan nimissä mobiilipankin, jolla oikeudettomat maksutapahtumat on ollut mahdollista tehdä.

Tämän jälkeen asiakas on vielä saanut neljännen tekstiviestin, jossa on varoitettu asiakasta siitä, että pankin mobiilipankki on otettu käyttöön uudella laitteella (iPhone 6s) ja että asiakkaan tulisi heti olla yhteydessä Sulkupalveluun, jollei hän itse ole aktivoinut laitetta. Viestin sisältö:
"[Pankin mobiilisovellus] on aktivoitu laitteessa iPhone 6s. Jos et ole itse aktivoinut laitetta, ole heti yhteydessä Sulkupalveluun +358 20 333."

Asiakkaalle lähetetyt viestit ja niiden tarkat kellonajat ilmenevät pankin lähettämistä lokitiedoista.

Pankin käsitys on ollut, että pankkitunnusten oikeudeton käyttö on johtunut siitä, että asiakas on törkeästä huolimattomuudesta laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja verkkopankkiehtojen mukaisia velvollisuuksia. Asiakas on käyttänyt kertakäyttöisiä koodeja lukematta, mihin tarkoitukseen ne on hänelle lähetetty. Asiakas ei ole reagoinut, vaikka varoitusviestissä on kerrottu, että mobiilipankki on otettu käyttöön ja millaiseen mobiililaitteeseen se on asennettu. Tämän viestin olisi pitänyt herättää hänessä epäilyjä.

Verkkopankkiehtojen mukaan asiakas on velvollinen ilmoittamaan välittömästi pankille, jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua sivullisen haltuun tai tietoon. Asiakkaan olisi pitänyt ottaa yhteyttä sulkupalveluun tai pankin asiakaspalveluun välittömästi sulkeakseen verkkopankkitunnuksiaan, kun hän oli saanut edellä mainitut viestit. Jos asiakas olisi toiminut näin, oikeudettomien maksujen tekemistä olisi voitu estää. Mobiilipankin käyttöönoton ja ensimmäisen maksun tekemisen välillä asiakkaalla on ollut kolme tuntia aikaa reagoida. Mikäli verkkopankkitunnuksia olisi suljettu välittömästi, tämän jälkeen ei olisi ollut mahdollista tehdä maksuja myöskään rikollisten käyttöön otetulla mobiilipankilla.

Pankki on säännöllisesti tiedottanut asiakkaita turvallisesta asioinnista verkkopalveluissa ja ajankohtaisista huijausyrityksistä. Tiedotteet on julkaistu pankin kotisivuilla ja lähetetty asiakkaille mobiili- ja/tai verkkopankin kautta. Pankki on esimerkiksi tiedottanut siitä, että pankin nimissä on kalasteltu verkkopankkitunnuksia väärennettyjen sivustojen kautta, jonne asiakkaat ovat päätyneet hakukoneiden kautta. Pankki on informoinut asiakkaita siitä, että turvallisin tapa kirjautua pankin verkkopankkiin on itse kirjoittaa selaimen osoitekenttään pankin verkkosivuosoite www.[pankki].fi tai käyttää mobiilisovellusta.

Asiakkaan tapauksessa rikolliset ovat saatuaan vahvan sähköisen tunnistusvälineen käyttöönsä asiakkaan puolesta, onnistuneet vaihtamaan asiakkaan puhelinnumeron, jonka jälkeen yhden maksun vahvistusviesti on mennyt rikollisten puhelinnumeroon. Heillä on kuitenkin siinä vaiheessa jo ollut mobiilipankki käytössä ja maksujen teko sillä ei sääntelyn mukaan ole edellyttänyt lisävahvistusviestien käyttöä. Pankki painottaa tässä sitä, että sähköisen tunnistusvälineen käyttöönottoon tarvittava viesti kertatunnuksella on mennyt asiakkaan käytössä olevan puhelinnumeroon, kuten myös sen jälkeen lähetetty varoitusviesti.

Pankki on omasta aloitteestaan sulkenut asiakkaan verkkopankkitunnukset estääkseen maksuvälineen oikeudettoman käytön, kun pankki on huomannut epäilyttävät maksut, jotka ovat menneet asiakkaan tililtä. Pankki on tämän jälkeen informoinut asiakasta siitä, että verkkopankkitunnukset on lukittu ja pyytänyt selvitystä asiakkaalta maksutapahtumista.

Vuokramaksujen osalta pankki toteaa, etteivät ne liity edellä mainittuihin tapahtumiin muutoin kuin että asiakas ilmeisesti on mennyt verkkopankkiin tarkistaakseen niiden tilanteen, kun hän sitten on päätynyt valesivustolle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Verkkopankin lokitiedot
- Verkkopankin yleiset sopimusehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin verkkopankin ja verkkopankkitunnusten yleisten ehtojen (pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä verkkopankkiin liittyvissä maksupalveluissa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Sopimuksen soveltamisala -kohdan mukaan
"[…] Asiakas sitoutuu noudattamaan näiden yleisten ehtojen lisäksi palvelussa tai sovelluksen yhteydessä julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita. Asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään Verkkopankkia, Tunnistuspalvelua tai tunnuksia. […]"

Pankkitunnusehtojen Tunnusten käyttäminen ja säilyttäminen -kohdan mukaan
Pankki antaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu palvelussa edellytetyllä tavalla. […] Asiakas sitoutuu säilyttämään Verkkopankkitunnuksiin kuuluvat yksittäiset tunnisteet erillään toisistaan ja huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon. […] Jos tunnukset ovat kadonneet tai ne ovat joutuneet tai ovat saattaneet joutua sivullisen haltuun tai tietoon, asiakas on velvollinen ilmoittamaan tästä välittömästi pankille. […]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo asiassa selvitetyksi, että kun asiakkaan tarkoituksena on ollut mennä verkkopankkiinsa, on hän asiaa itse huomaamatta ja hakukoneen kautta päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille, joilla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiin.

Rikolliset ovat em. valesivujen kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin 18.10.2021 19.59. Viestissä on lukenut seuraavasti:
"Käytä kertakäyttökoodia A-076911 viimeistelläksesi [pankin mobiilisovelluksen] käyttöönotto. Koodi on voimassa 3 minuuttia."

Pankkilautakunta katsoo, että myös em. viestissä olleen aktivointikoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Pankkilautakunta katsoo ilmeiseksi, että luullessaan olevansa kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin.

Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Pankki on ilmoittanut mobiilisovelluksen aktivoimisesta asiakkaalle tekstiviestitse klo 20.00:
"[Pankin mobiilisovellus] on aktivoitu laitteessa iPhone 6s. Jos et ole itse aktivoinut laitetta, ole heti yhteydessä Sulkupalveluun +358 20 333."

Mobiilisovellusta käyttäen rikolliset ovat tehneet ko. oikeudettomat tilisiirrot klo 23.00-23.48.

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin asiakkaalleen aiemmin kyseisenä päivänä 18.10.2021 klo 17.13 ja klo 17.17 lähettämät tekstiviestit ovat koskeneet pankin lokitietojen mukaan Suomesta käsin tapahtunutta verkkopankissa asiointia. Lautakunta katsookin todennäköiseksi, että nämä viestit ovat koskeneet asiakkaan onnistunutta asiointia verkkopankissa, johon hän on kirjautunut mitä ilmeisimmin kuultuaan vuokranantajaltaan kahteen kertaan maksetuista vuokrista, eikä tämä asiointi liity myöhemmin ko. iltana tapahtuneeseen pankkitunnusten oikeudettomaan käyttöön. Em. valesivuille asiakas on päätynyt hakukoneen kautta noin kaksi tuntia myöhemmin.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki antaa asiakkaalle henkilökohtaiset tunnukset, joiden avulla asiakas tunnistautuu palvelussa edellytetyllä tavalla. Ehdoissa asiakas sitoutuu noudattamaan yleisten ehtojen lisäksi palvelussa tai sovelluksen yhteydessä julkaistuja kulloinkin voimassa olevia käyttöehtoja sekä käyttö-, turvallisuus-, aikataulu- ja muita ohjeita, ja asiakas hyväksyy käyttöehdot ja ohjeet itseään sitoviksi ryhtyessään käyttämään tunnuksia.

Pankkitunnusehdoissa ei tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan taikka sinne kirjautuessaan eikä lautakunnalle ole myöskään toimitettu muita asiakasta velvoittavia käyttö- tai turvallisuusohjeita. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Pankkilautakunta katsoo selvitetyksi, että asiakas on tässä tapauksessa päätynyt rikollisten luomille pankin aidoilta verkkosivuilta näyttäville valesivuille hakukoneen kautta. Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan pankin sivuille hakukoneen kautta ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa ja ehtojen mukaisessa käyttötarkoituksessa kirjautuakseen verkkopankkiin.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta pankkitunnuksilla verkossa tehtävästä kirjautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin 18.10.2021 19:59:11 asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi syöttämättä verkkosivuille. Mikäli asiakas olisi esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Näin ollen Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.

Pankkilautakunta kiinnittää kuitenkin erityistä huomiota pankin asiakkaalle lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja vähäiseen informaatioarvoon. Pankkilautakunta katsoo myös ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Ottaen vielä huomioon, että asiakkaan pankilta saama tekstiviesti on ollut pituudeltaan tavanomaisen verkkopankkiin kirjautumista koskevan viestin pituinen, lautakunta pitää ymmärrettävänä, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakkaan huomio ei rutiininomaisessa kirjautumistilanteessa ole kiinnittynyt tekstiviestin sanalliseen sisältöön hänen syöttäessään viestissä ollutta koodia pankin verkkosivuilta näyttäville valesivuille.

Pankki on alle kaksi minuuttia em. tekstiviestin jälkeen lähettänyt asiakkaalle vielä klo 20:00:57 uuden tekstiviestin, jossa pankki kertoo pankin mobiilisovelluksen aktivoimisesta laitteelle iPhone 6s ja kehottaa asiakasta olemaan heti yhteydessä sulkupalveluun, jos asiakas ei ole itse aktivoinut laitetta.

Pankkilautakunta toteaa, että em. viimeisin pankin tekstiviesti asiakkaalle on lähetetty noin kolme tuntia ennen ensimmäistä riidanalaista korttimaksua ja näin ollen, mikäli asiakas olisi viestissä olleen ohjeen mukaisesti ollut yhteydessä sulkupalveluun, olisi tapahtuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta kuitenkin katsoo, ettei huolellisenkaan pankkitunnustenhaltijan voida edellyttää seuraavan jatkuvasti puhelintaan ja lukevan kaikki vastaanottamansa pankin viestit välittömästi, mikäli hän ei ole tunnuksiaan juuri käyttämässä.

Tässä tapauksessa saadun selvityksen perusteella Pankkilautakunta katsoo todennäköiseksi, että asiakas oli - olettamansa epäonnistuneen kirjautumisyrityksensä jälkeen - jo ehtinyt lopettaa tietokoneellaan asiointinsa siinä vaiheessa, kun pankki on lähettänyt hänelle jälkimmäisen viestinsä, ja tämän vuoksi asiakkaalla on myös jäänyt pankin lähettämä viimeisin viesti huomaamatta ja siihen reagoimatta. Näin ollen lautakunta katsoo, ettei pankin lähettämällä jälkimmäisellä tekstiviestillä ole tässä tapauksessa merkitystä asiakkaan menettelyn huolimattomuutta arvioitaessa.

Asiassa saadun kokonaisselvityksen perusteella Pankkilautakunta katsoo, että asiakkaan huolimattomuus on ollut tapauksessa yksinomaan siinä, että hän on rutiininomaisessa asioinnissaan sekoittanut pankiltaan tekstiviestitse saamansa mobiilisovellusta koskevan koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Erityisesti edellä kyseisestä tekstiviestistä todetun huomioiden lautakunta katsoo, ettei asiakkaan menettely kokonaisuutena osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin, ja ettei asiakkaan menettely näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta