Haku

FINE-050579

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-050579 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.03.2023

Miten vastuu asiakkaan tililtä tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Pankkitunnusten haltijan huolimattomuus.

Tapahtumatiedot

Asiakkaan mukaan Facebookissa on ollut pankin nimissä mainos asiakasetuhintaisesta puhelimesta ja asiakas mainoksen kautta avautuneella verkkopankilta näyttäneellä sivustolla yrittänyt kirjautua saadakseen lisätietoja tarjouksesta, mutta ei ole päässyt eteenpäin.

Rikolliset ovat ladanneet ja aktivoineet käyttöönsä pankin mobiilisovelluksen laitteelle Samsung SM-A325F 1.6.2022 klo 17.37. Tämä on edellyttänyt asiakkaan verkkopankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä lukua tunnuslukutaulukosta sekä pankin asiakkaalle 1.6.2022 klo 17.37 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

"Käytä vahvistuskoodia 4997 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]."

Pankin mobiilisovellusta käyttäen on asiakkaan luottokortilta tehty 1.6.2022 kello 17.55 5.000 euron siirto asiakkaan käyttötilille, minkä jälkeen ko. varat on siirretty klo 18.03-20.41 22 tilisiirrolla pois asiakkaan käyttötililtä.

Asiakkaan nimissä on haettu pankista lainaa ja hänen tililleen on nostettu kaksi 5.000 euron lainaa 6.6.2022 klo 07.01. Tämän jälkeen asiakkaan tililtä on tehty kymmenittäin tilisiirtoja 6.6.2022 klo 12.42 - 8.6.2022 klo 17.21.

Asiakas otti yhteyttä pankin asiakaspalveluun 20.6.2022, jolloin verkkopankkitunnukset suljettiin.

Asiakkaan saatettua asian Pankkilautakunnan käsiteltäväksi pankki on asian kirjelmöintivaiheessa ilmoittanut luopuvansa kohtuusyistä rikollisten ottamien yhteensä 10.000 euron luottojen perinnästä asiakkaalta ja hyvittäneensä myös niistä aiheutuneet kulut ja korot. Luottokortilta tehdyn siirron pankki katsoo olevan asiakkaan vastuulla.

Asiakkaan valitus

Asiakas vaatii, että pankki ottaa vastuulleen asiakkaan nimissä otetun 5.000 euron Visa-luoton ja että pankki palauttaa asiakkaan maksamat korkokulut täysimääräisenä takaisin.

Asiakas huomasi 19.6.2022 tiliotteessaan tuntemattomia tilisiirtoja. Luottokortin Visa-puolelta oli siirretty 1.6.2022 asiakkaan tilille 5.000 euroa hänen tietämättään ja tämä 5.000 euroa oli tämän jälkeen pienissä erin siirretty toisille tileille.

Asiakas otti yhteyttä pankin asiakaspalveluun 20.6.2022, jolloin pankkitunnukset suljettiin. Asiakaspalveluja kertoi, että asiakkaan nimissä oli lisäksi nostettu kaksi 5.000 euron lainaa ja samaan aikaan yritetty kymmeniä kertoja nostaa erikokoisia (5.000-10.000€) lisälainoja. Asiakas teki asiasta välittömästi rikosilmoituksen sekä pankille korttireklamaation.

Verkkotunnukset ovat olleet koko ajan asiakkaan kotona eikä kenelläkään ulkopuolisella ole ollut mahdollisuutta päästä niihin käsiksi. Lisäksi verkkopankin salasanaa ei tiedä kukaan muu kuin asiakas itse, eikä hän ole sitä mihinkään kirjoittanut ylös.

Asiakas muisti, että kesäkuun alkupäivinä hän oli klikannut Facebookissa pankin mainosta, jossa tarjottiin pankin asiakkaille iPhone 13 pro -puhelinta asiakasetuhintaan. Tarjouksessa oli kohta "lue lisää". Asiakas halusi lisäinfoa tarjouksesta ja klikkauksen jälkeen asiakkaalle avautui täysin identtinen pankin verkkopankin kirjautumissivu. Pankki lähetti asiakkaalle vahvistustekstiviestin, jossa kerrottiin, että olet kirjautumassa verkkopankkiin ja anna tämä lähettämämme salasana. Siinä tilanteessa tekstiviestivahvistuksen antaminen tuntui täysin relevantilta ja aiheeseen kuuluvalta, koska kyseessä olisi ollut henkilökohtainen tarjous. Tunnusten antamisen jälkeen ei tapahtunut mitään eikä asiakas päässyt pankkiin sisälle, joten hölmöyttään hän teki saman uudelleen. Myös tällöin tuli vahvistustekstiviesti, johon asiakas vastasi.

Asiakas korostaa, ettei ole missään tilanteessa syöttänyt pankkitunnuksia tai salasanaa, saati tunnuslukuja avainlukulistasta. Asiakas on käyttänyt ainoastaan pankin mobiilisovellusta ja siihen kirjautumisessa ei tarvitse edellä mainittuja tunnuksia edes syöttää, vaan ainoastaan sisäänkirjautumiseen tarvitaan mobiiliavain. Pankki ei ole asiakkaan päivittäisissä raha-asioissa käyttämä pankki eikä asiakas edes muista ulkoa pankin käyttäjätunnuksia tai salasanaa. Myöskään asiakas ei ole ikinä kantanut mukanaan pankin avainlukulistaa vaan se on tallessa kotona. Asiakkaalla ei ole tuolloin ollut edes mahdollisuutta syöttää pankin pankkitunnuksia, salasanoja ja avainlukulistan koodeja.

Ensimmäistä vastinetta kirjoittaessaan asiakkaan on täytynyt sekoittaa pankin ja pankin mobiilisovelluksen toiminnot, koska yleensä kun asiakas kirjautuu (toisten pankkien) verkkopankkiin, joutuu hän kirjoittamaan käyttäjätunnuksen ja salasanan sisäänkirjautumisen yhteydessä. Luottokortin väärinkäyttö sekä rikollisten asiakkaan nimissä nostamien lainojen huomaaminen oli erittäin pelottava, stressaava ja kaikin puoli järkyttävä kokemus. Tuota vastinetta kirjoittaessa asiakas oli joutunut rikoksen uhriksi ja hänellä oli suuri hätä siitä, kuinka saa oikaistua tällaisen rikoksen ja osaako kertoa asiat oikein. Tämän vuoksi ensimmäinen vastine ei ollut johdonmukainen. 

Asiakas ymmärtää toimineensa huolimattomasti, mutta ei törkeän huolimattomasti vastoin pankin tietoturvakäytänteitä. On kohtuutonta, että pankki ei olisi vastuussa rikollisin keinoin menetetyistä rahoista. Kuinka on edes mahdollista, että kahden vahvistustekstiviestin avulla asiakkaan tililtä voidaan toteuttaa kymmeniä tilisiirtoja, asiakkaan tietämättä.

Asiakas katsoo pankin toimineen koko rikollisen aiheuttaman reklamaatioprosessin ajan epäammattimaisesti ja epäjohdonmukaisesti. Pankki tulkitsee virheellisesti, että 6.6.2022 klo 14.27 lähetetyt useat tekstiviestit ”kiitos luottokorttisi korotushakemuksesta!” olisivat saapuneet asiakkaalle ja asiakkaan olisi pitänyt niihin reagoida. Viestinnän on täytynyt toteutua pankin ja rikollisen välillä, koska asiakas ei itse ole koskaan tällaisia viestejä saanut/lukenut. Mikään pankin ja Samsung-puhelimen välinen viestiliikenne ei ole asiakasta tavoittanut missään tilanteessa.

Asiakas ei mielestään voi olla vastuussa, että sosiaalisessa mediassa liikkuu pankin / pankin mobiilisovelluksen kanssa täysin identtisiä huijaussivustoja.  Asiakkaan pankilta saamat viestit sekä avaamat sivustot näyttivät täysin aidoilta ja identtisiltä pankin mobiilisovelluksen sivustoilta, eikä sosiaalisessa mediassa esitetty pankin tarjous asiakkailleen herättänyt minkäänlaista epäilyä vilpillisestä toiminnasta. Asiakas ei ole toiminut missään tilanteessa edes huolimattomasti, eikä oikeasti tiennyt tai olisi pitänytkään tietää niiden vievän huijaussivustolle.

Koko pankin edustaman ryhmän verkkotoiminta on hyvin harhaanjohtavaa ja muita kaupallisia toimintoja/mainoksia on vaikea erottaa pankkipalveluiden toiminnoista ja mainoksista. Asiakas ei päivittäin eikä edes kuukausittain käytä ryhmän mobiilipalveluita.  Vahvistuskoodin syöttämisen hetkellä asiakkaan on täytynyt olla kirjautumassa mobiiliin, aivan kuten varmistustekstiviesti väitti asiakkaan tekevän. Tuossa hetkessä asiakkaan tulee tunnistautua henkilökohtaisella sanasanalla. Pankin vastauksessa on virheellisesti tulkittu asiakkaan käyttäneen verkkopankkitunnuksia, salasanaa sekä tunnuslukutaulukkoa. Näitä asiakas ei ole missään tilanteessa käyttänyt, vaan kaikki toiminta on tapahtunut mobiilin kautta.

Pankin vastauksen perusteella asiakkaan olisi pitänyt huomata tilitapahtumat. Asiakas ihmettelee suuresti, kuinka asiakas olisi ne voinut huomata, kun ei aktiivisesti pankin palveluita käytä. Asiakas kiistää olleensa missään prosessin vaiheessa passiivinen tai välinpitämätön. Asiakas on reagoinut välittömästi, kun siihen on ilmennyt aihetta.

Pankin vastine

Asiakas on syöttänyt verkkopankkitunnuksensa eli käyttäjätunnuksen, henkilökohtaisen salanansa ja tunnuslukutaulukon vaihtuvan tunnusluvun sivustolle, joka aukesi Facebook-mainoksen takaa. Mainoksessa tarjottiin iPhone 13 Pro puhelinta asiakasomistajahintaan pankin asiakkaille.

1.6.2022 klo 17.37 asiakkaalle on lähetetty tekstiviesti "Käytä vahvistuskoodia 4997 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]." Asiakkaan yrittäessä kirjautua uudestaan huijaussivustolle on vastaava viesti toimitettu 1.6.2022 klo 18.01. Asiakas kertoo syöttäneensä myös vahvistuskoodit huijaussivustolle. Pankin mobiilisovellus on ladattu laitteelle Samsung SM-A325F 1.6.2022 kello 17.37.

Pankki katsoo, että asiakkaan olisi tullut kiinnittää huomiota tekstiviestiin, jossa korostetaan, että asiakas on ottamassa pankin mobiilisovellusta käyttöön, eikä tunnuksella voi kirjautua verkkopankkiin. Asiakas käyttää itse mobiilisovellusta, joten sovelluksen käyttöönotosta kertovan viestin olisi tullut herättää asiakkaan epäilyt. Asiakkaan olisi myös tullut kiinnittää huomiota siihen, että miksi tarjouksen lisätietojen avaamiseen vaadittiin verkkopankkitunnuksia, joita ei koskaan käytetä tällaisiin tarkoituksiin.

Lisäksi asiakkaan kertomukset vaihtelevat siitä, mitkä tiedot hän on sivustolle syöttänyt. FINElle antamassaan lisäselvityksessä asiakas kertoo, että klikattuaan Facebookissa pankin nimissä olleesta mainoksesta, avautui aidoilta pankin sivuilta näyttävät sivut. Asiakkaan mukaan hän kirjautui sivuille käyttäen omaa pankin mobiilisovellustaan eikä hän siis käyttänyt paperista tunnuslukutaulukkoa. Tämä poikkeaa asiakkaan aiemmin antamasta tiedosta, jonka mukaan hän syötti sivustolle käyttäjätunnuksensa ja salasanansa. Pankin mobiilisovelluksen lataaminen toiselle laitteelle edellyttää pankin verkkopankkitunnuksia käytettäessä aina tunnuslukutaulukon koodin. Näin ollen asiakkaan uusin kertomus ei ole mahdollinen.

Asiakas on kertomansa mukaan ymmärtänyt pankin 1.6.2022 klo 17.37 ja klo 18.01 lähettämien tekstiviestien koskeneen niiden muotoilun perusteella nimenomaan pankin mobiilisovelluksella tehtävää kirjautumista, jota asiakas oli käsityksensä mukaan juuri tekemässä. Asiakas käyttää itse säännöllisesti pankin mobiilisovellusta, joten hänen olisi kuitenkin tullut ymmärtää aikaisemmasta käyttökokemuksesta, että normaalisti koodia ei tarvita. Myöskin sen tulisi olla selvää, ettei koodia tule syöttää kuin pankin mobiilisovellukseen.

Asiakkaan syötettyä pankkitunnuksensa ja pankin mobiilisovelluksen aktivoimiseksi tarvittavan, tekstiviestille asiakkaalle lähetetyn vahvistuskoodin huijaussivustolle, on rikollinen ladannut ja aktivoinut pankin mobiilisovelluksen laitteelle Samsung SM-A325F 1.6.2022 kello 17.37. Tätä seurasi 1.6.2022 kello 17.55.13 luotolta siirto 5.000 euroa. Varat siirrettiin kyseisen vuorokauden aikana pois asiakkaan tililtä. Asiakkaan olisi tullut tarkistaa tilitapahtumansa, kun ymmärsi syöttäneensä pankkitunnuksensa epäilyttävään sivustoon.

Tämän lisäksi asiakkaan tunnuksilla on nostettu 2 kpl 5.000 euron lainaa, 6.6.2022 kello 7.01.23 lainan nosto 5.000 euroa ja 6.6.2022 kello 07.01.23 lainan nosto 5.000 euroa. Lisäksi on tehty useita luotonkorotusyrityksiä ja lainahakemuksia. Näistä on lähtenyt asiakkaalle useampia ilmoituksia tekstiviestitse esimerkiksi 6.6.2022 14.27 "Kiitos luottokorttisi korotushakemuksesta! Emme valitettavasti ole voineet myöntää hakemaasi luotonkorotusta. Terveisin [Pankki.]”

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen kaikesta oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi on päätynyt rikollisille ja pankki katsoo, että asiakkaan on täytynyt toimia törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan. Asiakas vastaa täysimääräisesti tunnistuslain 27 §:n mukaisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hänen tileiltään tehdyistä tilisiirroista ja luottohakemuksista. Tulkintaa puoltaa myös asiakkaan passiivisuus, huolimatta useasta hälyttävästä seikasta, joiden olisi tullut kiinnittää keskivertokuluttajan huomio.

Pankki katsoo asiakkaan vastaavan myös pankin mobiilisovelluksella otetusta luotosta ja sen takaisinmaksusta. Pankki on kuitenkin valmis tulemaan vastaan tässä ikävässä tilanteessa, ja kohtuusyistä pankki on päättänyt luopua rikollisen ottaman luoton perinnästä asiakkaalta. Lainat sekä niiden kulut ja korot (yhteensä 255,24 euroa) on hyvitetty asiakkaalle. Koska asian käsittelyssä oli viivettä, on hyvitystä korotettu 282,10 euroon.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (Tunnistuslaki) 1 §:n (Soveltamisala) 4 momentin mukaan

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Lakia ei sovelleta myöskään yhteisöön, joka käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseen omissa palveluissaan.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)käyttää maksutiliään tietoverkon välityksellä;
2)käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan

Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan

Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on mennyt Facebookissa pankin nimissä olleen mainoksen kautta rikollisten luomille valesivuille, joilla hän on klikannut ”Lue lisää” -kohtaa, josta on avautunut pankin verkkopankin kirjautumissivuilta näyttänyt valesivu. Edelleen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole - asiakkaan asian kiistämisestä huolimatta - muuta mahdollisuutta kuin että asiakas on kirjautumistarkoituksessa syöttänyt em. valesivuille pankkitunnuksiaan (käyttäjätunnus, salasana ja pyydetty luku tunnuslukutaulukosta), jotka ovat sitä kautta päätyneet rikollisten tietoon. Rikolliset ovat ladanneet Samsung SM-A325F -laitteella pankin mobiilisovelluksen ja aloittaneet sen käyttöön ottamisen asiakkaan pankkitunnuksia käyttäen. Pankki on tämän johdosta lähettänyt 1.6.2022 klo 17.37 asiakkaalle tekstiviestitse mobiilisovelluksen käyttöön ottamisen edellyttämän vahvistuskoodin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 4997 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]."

Lautakunta katsoo asiassa riidattomaksi, että myös viestissä ollut vahvistuskoodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt sen valesivuille. Rikolliset ovat koodin saatua voineet aktivoida käyttöönsä pankin mobiilisovelluksen, jolla riidanalaiset maksutapahtumat on tämän jälkeen tehty.

Sovellettavasta laista

Selvyyden vuoksi Pankkilautakunta toteaa, että pankin viittaamaa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia ei sen soveltamissäännöksen mukaan sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Edelleen lautakunta toteaa tässä tapauksessa olevan kyse asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta ja näin ollen asiakkaan ja pankin välinen vastuu vahingosta ratkeaa maksupalvelulain vastuunjakosäännöksiä soveltamalla.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta toteaa, että ehdoissa ei kielletä verkkopankkitunnusten käyttämistä verkkomainoksen kautta avautuneilla sivuilla. Ehdoissa ei myöskään tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan tai sinne kirjautuessaan taikka hakeutuessaan kolmansien osapuolien palveluihin, joiden käyttäminen edellyttää tunnistautumista esimerkiksi pankkitunnuksilla.

Edelleen lautakunta toteaa, että asiassa ei ole esitettykään, että asiakkaan sosiaalisessa mediassa kohtaama pankin - tai yhtiöryhmän, johon pankki kuuluu – nimissä ollut mainos ei olisi näyttänyt aidolta tai että asiakas ei olisi mainoksesta avautuneella sivustolla päätynyt aidolta verkkopankin kirjautumissivulta näyttäneille sivuille.

Edellä todettuun viitaten Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan päädyttyään verkkomainoksen kautta pankin verkkosivuilta näyttäneille sivuille ja käytettyään pankkitunnuksiaan asioidessaan käsityksensä mukaan pankin kanssa ja tunnistautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Vaikka em. pankin tekstiviestissä ei esimerkiksi varoiteta väärinkäytöksistä eikä kerrota uuden pankin mobiilisovelluksen lataamisesta uudelle laitteelle, todetaan viestissä kuitenkin, että viestissä ollutta vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon ja ettei koodilla voi kirjautua verkkopankkiin. Asiakkaan syötettyä pankin tekstiviestitse lähettämän koodin linkin kautta avautuneille sivuille huomioimatta tekstiviestin sisältöä Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.

Pankkilautakunta kiinnittää tapauksessa kuitenkin erityistä huomiota pankin asiakkaalle lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin suppeaan muotoiluun ja verraten vähäiseen informaatioarvoon. Pankkilautakunta katsoo myös ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on sekoittanut pankiltaan tekstiviestitse saamansa koodin tavanomaiseen pankin tekstiviestitse lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Ottaen vielä huomioon, että asiakkaan pankilta saama tekstiviesti ei ole pituudeltaan merkittävästi poikennut tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä ja siinä ollut koodi on myös ollut saman pituinen kuin verkkopankkiin kirjautuessa, lautakunta pitää ymmärrettävänä, että ollessaan käsityksensä mukaisesti kirjautumassa verkkopankkiinsa asiakkaan huomio ei rutiininomaisessa kirjautumistilanteessa ole kiinnittynyt tekstiviestin sanalliseen sisältöön hänen syöttäessään viestissä ollutta koodia pankin verkkosivuilta näyttäville valesivuille.

Asiassa saadun kokonaisselvityksen perusteella ja erityisesti viimeksi todettu huomioiden Pankkilautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta osoita hänen suhtautuvan selvästi piittaamattomasti pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin ja ettei hänen menettelynsä näin ollen myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittavalla tavalla. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Pankkilautakunta suosittaa, että pankki ottaa vastattavakseen asiassa aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet: Ahlroth, Atrila, Piilo, Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia