Haku

FINE-050985

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-050985 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 16.01.2023

Hur fördelar sig ansvaret mellan kunden och banken för en utlandsbetalning som gjordes i kundens nätbank? Nätfiske. Obehörig användning av betalningsinstrument. Vårdslöshet som innehavaren av betalningsinstrumentet visat. Förenklat förfarande.

Uppgifter om händelseförloppet

Kunden fick 8.8.2021 kl. 02.06 följande textmeddelande som hade sänts i bankens namn:
"Petos on havaittu. Tilisi on estetty turvallisuussyist{. Siirry osoitteeseen: [banken]-peruutus.com vahvistaaksesi henkillllisyytesi ja peruuttaaksesi maksun."
Kunden använde sina bankkoder för att logga in i bankens tjänst på en webbplats som öppnades via länken och såg ut som bankens webbplats.

Brottslingar loggade in i kundens nätbank och från kundens brukskonto där överförde de 9 300,00 euro till Litauen. Inloggningen i nätbanken och utlandsbetalningen bekräftades med vissa engångsnyckeltal i en nyckeltalslista som ingår i kundens nätbankskoder. Banken meddelade ordningstalen för nyckeltalen i textmeddelanden som den sände till kunden kl. 2.18 och 2.21.

Kunden ringde spärrtjänsten 8.8.2021 kl. 2.57 och kundens koder spärrades kl. 2.58. 

Kundens klagomål

Kunden yrkar på att banken ska ersätta den förlorade egendomen, 9300 euro.

Den 8.8.2021 kl 02:06 fick kunden ett sms från avsändaren Bank. Han skulle precis gå och lägga sig när meddelandet kom och han upplevde att innehållet i det var för allvarligt för att bara låta saken vara. Kunden är ny nätbanksanvändare (per den 18.6.2021) och ovan med det sätt banken kontaktar eller inte kontaktar sina kunder.

Meddelandet innehöll en varning, kunden blev skärrad och klickade på den länk som medföljde, genom vilken han skulle återställa betalningen. Via länken kom han till bankens inloggningssida (en identisk kopia av den). Efter inloggningen fick han ett nytt sms, från telefonnummer +35840xxxxx80, som innehöll begäran om en kod från nyckeltalslistan. Då avsändaren nu var en annan, blev han på sin vakt och började forska i meddelandehistoriken i sin mobil, för att försäkra sig om att meddelandena kom från banken. Han såg att banken sänt sms från två avsändare tidigare; Bank och nämnda nummer. Från avsändaren Bank har han tidigare fått sms med länkar som leder till bankens nätsidor. Detta övertygade honom om att situationen var äkta och han upplevde att det var tryggt att gå vidare. Den falska sidan var skickligt gjord och kunden kunde inte se att det var fråga om en kopia. På sidan skulle han bekräfta sin identitet för att återställa betalningen, tryckte "JATKA" och fick ett nytt verifieringsmeddelande med nyckeltal från banken. Eftersom nyckeltalen fungerade stärktes övertygelsen om att det var banken som låg bakom kommunikationen. För att bekräfta annulleringen tryckte han på "PERU MAKSU". Därefter snurrade meddelandet "odota" i displayen en stund. Fördröjningen oroade honom. När han loggade in på sitt konto via mobilapplikationen insåg han att där har skett en obehörig transaktion på 9300 euro. Då spärrade han alla konton.

Pengarna på kundens konton var hans besparingar sedan dagen han föddes. Han kunde inte förbise varningen, utan kände att han måste förhindra bedrägeriet. Bankens sms med bekräftelsekoden innehöll inte tydlig information om att det var fråga om en betalning. Normalt inleds de med orden "Olet maksamassa". Så skedde inte nu.

Banken gör en felaktig tolkning av händelsen. Kunden har inte gett samtycke till transaktionen på 9.300 euro som gjordes obehörigen från hans konto. Han försökte förhindra den, genom att följa de direktiv han fick av banken, på vad han trodde var en uppmaning från hans egen bank. Kunden har inte heller handlat grovt vårdslöst. Han gjorde vad han kunde för att skydda betalningsinstrumentet.  Det fanns inget övermodigt eller likgiltigt i hans agerande, tvärtom var han angelägen om att göra det han trodde var rätt i övertygelsen om att han uträttade ärendet i den riktiga nätbanken. Han har inte överlåtit sina koder till utomstående. När han använde koderna för att logga in på nätbanken var han övertygad om att det var bankens egen sida han kom till. Banken sänder själv meddelanden med länkar till kundernas mobiltelefon, vilket i det här fallet var avgörande för att bedrägeriet kunde genomföras. Banken, som känner till att bedragare är i farten, bör ta sitt ansvar för säkerheten. Det känns orimligt att banken skjuter över ansvaret på kunderna bara genom att gå ut med varningar.

Banken hävdar att den i det sista meddelandet ”uttryckligen” sagt att nyckeltalet ska användas till en betalning till ett utländskt konto”. Detta är inte sant. I meddelandet saknas anvisningar om att det var fråga om en betalning till ett utländskt konto. Ingenstans i meddelandet står det att läsa till exempel ULKOMAAN MAKSU eller OLET MAKSAMASSA. Utöver detta borde mottagarens namn alltid framgå av bankens bekräftelsemeddelanden. För en bankkund är det inte självklart att begynnelsebokstäverna FI i sifferserien antyder att det är fråga om ett inhemskt kontonummer. Vice versa är det inte självklart att ett kontonummer som INTE inleds med FI anger att det är ett utländskt nummer. Kontonumret som sådant ger ingen signal om att det är fråga om en bluff. Bankens bekräftelseutskick är inte skrivna i realtid utan de är förhandsprogrammerade och använder ett begränsat språk. Till sin natur och till sitt syfte är dessa meddelanden en bekräftelse (vahvistaminen) på en åtgärd. I detta fall en återbetalning, enligt händelsekedjan som kunden följde. Inte heller i detta förfarande finns något som anger att det är fråga om en bluff.

Den enda verkligheten för kunden var att meddelandet och nyckeltalet hörde ihop med kommandot ”peru maksu”. Han hade inte möjlighet att notera att det var fråga om en betalning till ett utländskt konto. Kunden agerade i övertygelsen att det var banken, som hade uppmanat honom att agera.

Banken påtalar att bedragarnas meddelande innehöll flera skrivfel, men bortser från sina egna språkliga brister i det sista bekräftelsemeddelandet, där meningen och satsbyggnaden är ofullständig, vilket leder till att begripligheten blir diffus i ett utsatt läge. Banken borde under alla omständigheter ge tydlig information till kunden om att det är fråga om en betalning.

Kunden ifrågasätter att det över huvud taget är möjligt att en transaktion av den omfattningen kan ske vid den tidpunkten på dyget, i synnerhet när det skiljer sig så markant från kundens tidigare beteende. I sammanhanget kan det vara skäl att påminna om det avtal som bank och kunden har gjort upp om en uttagsgräns på 1000 euro för det aktuella kontot. Även om gränsen gäller kontokortuttag och nätköp har kunden i och med avtalet markerat att han inte är redo att göra större överföringar än 1000 euro.

Det är dock beklagligt att notera att dessa bruksgränser inte utgör någon trygghet för kunden. Kunden (eller en obehörig som trängt sig in i kundens konto) kan fritt justera gränserna, varpå de nya bruksgränserna träder i kraft utan dröjsmål. En ändring av bruksgränserna för kontot måste sannolikt ha gjorts den 8.8.2021 i samband med bedrägeriet. Om sådana ändringarna skulle träda i kraft med ett dygns, eller några timmars fördröjning, skulle dylika bedrägerier avsevärt försvåras.

Kunden gjorde sitt yttersta för att rädda sina pengar, och vidtog flera försiktighetsåtgärder under händelseförloppet. Kunden agerade således i högsta grad aktsamt i enlighet med vad som stipuleras i betaltjänstlagens 53 § och 62 §. Kunden vidtog försiktighetsåtgärder bland annat genom att kontrollera meddelandehistoriken vad gäller kommunikationen från Banken. Han sökte specifikt meddelanden som innehöll länkar. Banken hade sänt honom textmeddelanden från två olika avsändare tidigare, varav en avsändare (Bank) hade sänt meddelanden med länkar. Han letade efter telefonnummer bakom avsändaren (Bank) för att den vägen kunna få reda på om detta varningsmeddelande skulle innehålla avvikelser. Han fann inget nummer bakom någotdera av de meddelanden som hade Bank som avsändare, varken de tidigare eller det som kom på natten den 8.8.2021. Eftersom han inte kunde se några avvikelser blev han övertygad om att det är bankens normala förfarande, att de sänder sms från flera olika avsändare, och dessutom meddelanden som innehåller länkar till bankens webbsidor. Detta vilseledde honom till övertygelsen om att det var tryggt att fortsätta. Det enda raka vore att banken inte alls sänder meddelanden som innehåller länkar.

Bankens bemötande

Händelseförloppet

Gireringen ifråga har enligt Bankens uppgifter gjorts till kontonummer LT68 xxxx xxxx xxxx xxxx, summa 9300 euro. Till Kundens telefonnummer har det av säkerhetsskäl skickats från banken
följande textmeddelanden 8.8.2021
klo 2.10.46: "Olet kirjautumassa tunnuksillasi [pankki]-verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa 160 vastaavalla avainluvulla. [pankki]"
klo 2.18.11: "Olet kirjautumassa tunnuksillasi [pankki]-Verkkopalveluun. Vahvista kirjautuminen avainlukulistan järjestysnumeroa 57 vastaavalla avainluvulla. [pankki]"
klo 2.21.09: "9 300,00 EUR tilille LT68 xxxx xxxx xxxx xxxx. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 171 vastaavalla avainluvulla. [pankki]"

Ett textmeddelande har skickats till telefonnumret som är kopplat till kundens nättjänst och transaktionen bekräftades med det nyckeltal som motsvarade det ordningsnummer nämnt i textmeddelandet. Banken har i det sista meddelandet uttryckligen sagt vad nyckeltalet skall användas till - en betalning på 9300 euro till ett utländskt konto. Kunden har själv bekräftat betalningen och därmed givit sitt samtycke till betalningstransaktionen i enlighet med betal-tjänstlagens 38§. Därmed anser Banken, att transaktionen kunden reklamerar inte är obehörig enligt betaltjänstlagen och Banken är inte ansvarig för uppkommen skada.

Utvärdering

Det är ostridigt att den som genomfört transaktionen har haft tillgång till kundens nättjänstkoder. Då kunden själv bekräftat transaktionen behöver inte aktsamheten bedömas.

Ifall det skulle anses att kunden inte givit sitt samtycke till transaktionen, bör det anses att kunden agerat grovt vårdslöst genom att ha uppgett sina nyckeltal både vid inloggning och utförande av transaktionen. Betaltjänstlagen förutsätter att kunden agerar aktsamt då denne använder betalningsinstrument. Med beaktande av detaljerna i fallet, anser banken som en helhetsbedömning att kunden agerat grovt vårdslöst.

Kunden svarar för skadan då obehörig användning av betalningsinstrumentet beror på att kunden av vårdslöshet försummat sina förpliktelser enligt betaltjänstlagens 53§:s 1 moment och de allmänna villkoren för bankens koder och nättjänsten och då vårdslösheten anses vara grov. Kunden ansvarar för att förvara sina koder omsorgsfullt då det slutligen är endast betaltjänstanvändaren som kan påverka, hur och i vilka omständigheter denne förvarar sitt betalningsinstrument.

Banken har flera gånger under våren och sommaren 2021 varnat sina kunder för nätfiske. Det har i media getts information om och varnats för olika textmeddelande- och e-postbedrägerier samt nätfiske. Banken anser, att på basen av allmän kännedom och tack vare bankens varningar, borde det vara allmänt känt hur man borde använda sina nättjänstkoder på ett säkert sätt.

Motivering

För att förhindra missbruk har banken aktivt varnat kunder beträffande nätfiske och bluffmeddelanden bl. a. på [banken].fi:s sidor:
8.2.2021 Brottslingar fiskar efter nätbankskoder med sökmotorer och falska meddelanden
2.3.2021 Brottslingar fiskar efter nätbankskoder med sökmotorer och falska meddelanden
23.3.2021 Falska meddelanden i bankens namn
16.4.2021 Se upp för bedragare - lämna aldrig ut dina koder till någon
27.5.2021 Falska poliser i farten
22.7.2021 Brottslingar fiskar efter nätbankskoder med sökmotorer och falska meddelanden
6.8.2021 Bedragare fiskar efter nättjänstkoder genom att skicka falska meddelanden i anslutning till användning av kort

Banken har instruerat kunder att inte lämna ut sina koder ifall någon frågar per telefon eller e-post och gett anvisning om att man inte får logga in på nätbanken via en länk. Banken har instruerat, att då man loggar in på nätbanken, bör man skriva in nätbankens adress (www.[banken].fi) i webbläsaren själy eller använda ett bokmärke som man själy sparat. Om möjligt, rekommenderas användning av [banken]-mobilen.

I ärendet är det ostridigt att den som gjort betalningen har haft i sin användning kundens nättjänstkoder. I första hand åberopar Banken att kunden själv gett samtycke till betalningen i fråga. I andra hand; den som loggat in på nätbanken måste ha känt till alla delar av kundens nättjänstkoder: användarkod, lösenord och nyckeltal från nyckeltalslistan och då kunden själv bekräftat betalningen på 9300 euro, att handlingen som en helhet bör bedömas åtminstone som grov vårdslöshet.

Enligt kundens egen utsago, fick kunden ett meddeIande 8.8.2021 på natten med flera stavfel. Han klickade på Iänken i meddelandet och kom in på en nätsida som liknade [banken].fi. På den sidan har han enligt polisanmälan även gett följande information: namn, bankkortets nummer och telefonnummer. Oberoende vad som skedde på den faIska nätsidan, borde kunden ha reagerat senast då han fick det tredje sms-meddelandet från Banken där det stod: "9 300,00 EUR tilille LT68 xxxx xxxx xxxx 3164. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 171 vastaavalla avainluvalla. [Banken]"

Kunden borde ha läst meddelandet noggrannare. Han berättar att hans avsikt då han klickade på den kl. 2.06 mottagna länken var att inhibera en betalning ("PERU MAKSU"). Det framkom i sms-meddelandet som kunden fick, att kontot var utländskt då det började med andra bokstäver än Fl. Dessutom stod det "vahvista maksu", dvs. bekräfta betalning, inte "peru maksu". Hade kunden reagerat i detta skede och inte slagit in nyckeltalet enligt uppmaningen i detta tredje sms-meddelande kl. 2.21, hade överföringen på 9300 euro inte kunnat ske.

Banken har upprepade gånger informerat och varnat för dylika bluffmeddelanden. Dessutom har saken förts fram vid ingående av nättjänstavtalet i villkoren samt i dokumentet "Viktig information om dina koder". På dessa grunder anser banken, att banken inte är skyldig att ersätta den uppkomna skadan och att kunden själv ansvarar för den obehöriga användning som skett i detta fall.

Banken vidtar kontinuerligt olika åtgärder för att trygga kundernas banksäkerhet. Kunderna själva har även de ett ansvar att använda och förvara sina nättjänstkoder, då det är kunderna i sista hand som innehavare av betalningsinstrumentet som kan påverka hur och under vilka förhållanden de använder och förvarar sina nättjänstkoder. Det är ej heller skäligt, att Banken automatiskt skulle ansvara för de skador som sker på grund av brottslingars agerande.

Avtalet kunden bifogar gäller ett Visa Debit -kort. I detta kortavtal har gränsen för användning av kortet via nätbetalning begränsats tili 1000 euro/dygn. I ifrå-gavarande fall har betalningen inte gått via kortet, utan rakt från kontot. Användningsbegränsning för överföringar från kontot är en skild begränsning. Banken begränsar inte sina kunders transaktioner beroende på tidpunkt på dygnet. Däremot kan kunder själva begränsa kort- och kontoanvändning dygnsvis.

Banken vidhåller att kunden själv har bekräftat betalningen i fråga och därmed givit sitt samtycke tili betalningstransaktionen i enlighet med betaltjänstlagens 38§. Ifall det anses att kunden inte givit sitt samtycke tili transaktionen, bör det anses att kunden handlat grovt vårdslöst så som avses i betaltjänstlagen och att kunden försummat sina förpliktelser enligt betaltjänstlagens 53§:s 1 mom. och de allmänna villkoren för bankens koder och nättjänsten.

Utsredningar

Utöver parternas skrivelser angående klagomålet har följande handlingar getts in till nämnden:
- Undersökningsanmälan (inlämnad 8.8.2021)
- Skärmdump av textmeddelande som kunden fått 8.8.2021 kl. 2.06
- Skärmdump av textmeddelanden som banken 24.6 och 7.7.2021 sänt till kunden och som innehållit länkar
- Skärmdump av textmeddelanden som banken sänt till kunden från numret +35840xxxxx80
- Skärmdumpar av bankens inloggningssidor och av bluffsidan [pankki]-peruutus.com som liknar bankens inloggningssida
- Kortavtalet 18.6.2021
- Allmänna villkor för bankens koder och nättjänsterna

Beslutsrekommendation

Frågeställning

För att kunna avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden först avgöra om det kan anses att kunden har gett sitt i 38 § i betaltjänstlagen avsedda samtycke till gireringen i fråga eller om gireringen bör anses vara obehörig. Om det i fallet anses vara fråga om obehörig användning av betalningsinstrument, gäller det för Banknämnden att bedöma om det kan anses att kunden på det sätt som avses i 62 § 1 mom. 1 punkten i betaltjänst-lagen har överlåtit sitt betalningsinstrument till någon som inte är behörig att använda det, eller om det kan anses att den obehöriga användningen av bankkoderna har berott på att kunden av vårdslöshet har försummat sina skyldigheter enligt lagens 53 § 1 mom. och enligt villkoren för bankkoderna, samt graden av kundens eventuella vårdslöshet.

Tillämpliga lagrum och avtalsvillkor

I 38 § (Betalarens samtycke till att en betalningstransaktion genomförs.) i betaltjänstlagen föreskrivs följande i 1 mom.:
En betalningstransaktion får genomföras endast om betalaren har gett sitt samtycke. En betalningstransaktion som betalaren inte har samtyckt till på avtalat sätt anses vara obehörig.

I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1–2 mom.:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande. Innehavarens skyldighet att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter inträder när han eller hon tar emot dem.

I lagens 54 § (Anmälan om att betalningsinstrument förlorats) föreskrivs följande  i 1 mom.:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.

I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1)har överlåtit det till någon som inte är behörig att använda det,
2)av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3)har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings-   instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalningsinstrumentet
1)till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2)om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3)om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4)om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.

I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) föreskrivs följande i 1 mom.:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.
Den punkt i de allmänna villkoren för bankens koder och nättjänster (Villkor för bankkoderna) som gäller konsumentkunders ansvar för obehörig användning av koder som betalningsinstrument i bankens nättjänster motsvarar de tvingande bestämmelser till förmån för konsumenter som finns i 62 § i betaltjänstlagen.

I avsnittet Hur koder ska förvaras och hur de får användas i de allmänna villkoren för bankens koder och nättjänster (Villkor för bankkoderna) sägs följande:
Koder som överlåtits till en privatkund är alltid personliga. Koderna får inte överlåtas åt någon annan person, inte ens åt en medlem av samma familj och heller inte åt en separat tillämpning eller tjänst, om tillämpningen eller tjänsten inte är godkänd av [banken]. De tillämpningar och tjänster som är godkända av [banken] anges på adressen [banken].fi. Om kunden överlåter sina Koder åt tredjeman, ansvarar kunden för handlingar som tredjeman vidtar i kundens namn.
[…]
Koder eller en del av dem får inte:
- uppges muntligt för en utomstående som frågar efter dem per telefon eller på något annat sätt. Då Kunden ringer [bankens] telefontjänst matar Kunden in Koder i telefonen. Tjänsteleverantören eller andra företag i [bank] Gruppen ringer aldrig till Kunden och ber att Kunden ska yppa eller mata in Koder;
- lämnas ut till följd av en begäran som kommit med ett textmeddelande, per e-post eller från någon annan tillämpning, om det inte är en tjänst eller tillämpning som godkänts av [banken];
- användas för att logga in i [bank]-nättjänsterna, om länken till inloggningssidan har sänts till Kunden per e-post eller på något annat elektroniskt sätt.
[…]
Då Kunden loggar in i [banken]-nättjänstema måste Kunden skydda utrustningen, t.ex. den dator, den telefon eller det separata tangentbord som Kodema används med så att ingen kan få Koderna i besittning.
[Banken]-nättjänstema får inte användas med en dator eller med annan utrustning där man upptäckt eller som man misstänker att har ett skadligt program.

I underavsnittet Hur [bank]-nättjänsterna kan användas i avsnittet Hur Koderna kan användas sägs följande:
Kunden ska identifiera sig till exempel i [bank]-nättjänsterna genom att mata in sin användarkod och sitt lösenord samt vid behov talet från sitt bekräftelseverktyg. Olika elektroniska kanaler kan till innehållet och funktionerna avvika från varandra i fråga om identifieringsmetoden.
[…]
Inloggningen i tjänsten [bank].fi sker genom att skriva adressen [bank].fi på webbläsarens adressrad. Före inloggningen i tjänsten [bank].fi är Kunden skyldig att kontrollera att webbsidan [bank].fi är skyddad med SSL-kryptering.
Vid SSL-kryptering ska vid låssymbolen på webbläsarens adressrad stå att certifikatet har beviljats ett bolag som hör till [bank] Gruppen (t.ex. XXX). SSL-  krypteringen syns också i olika webbläsare till exempel som att adressfältet är grönt.
Kunden får inte ge tillträde till [bank]-nättjänsterna för Tredje part, t.ex. personer, tillämpningar eller tjänster. Det är förbjudet att använda t.ex. tjänster som tar över kontrollen av kundens session i [bank]-nättjänsterna. […]

I avsnittet Anmälan om att Koder försvunnit eller kommit i tredjemans kännedom eller besittning i Villkor för bankkoderna sägs följande:
Kunden ska omedelbart anmäla till Tjänsteleverantören om Koderna försvinner eller kommer obehörigt i någon annans kännedom eller besittning eller om Kunden misstänker att de kommit i någon annans kännedom eller besittning obehörigt. Anmälan ska ske också ifall endast en del av Koderna har försvunnit eller kommit i någon annans kännedom eller besittning obehörigt. […]

I avsnittet Betallningsuppdrag i Villkor för bankkoderna sägs följande:
Kunden kan ge banken betalningsuppdrag via [banken]-nättjänsterna. […]
Betalningar förmedlas i enlighet med Allmänna villkor för förmedling av eurobetalningar inom eurobetalningsområdet eller Allmänna villkor för avgående och ankommande valutabetalningar (Allmänna villkor för betalningsförmedling). Tjänsteleverantören kan fastställa en övre eller undre gräns för betalningar som förmedlas via tjänsten.
Då Kunden har loggat in i OP-nättjänsterna ger Kunden sitt samtycke till att ett betalningsuppdrag genomförs genom att godkänna uppdraget. Det här gäller också Nätbetalningsknappen.
[…]

Bedömning

Händelseförloppet

Banken har i ärendet lagt fram teknisk utredning om händelserna och om hur inloggningen i kundens nätbank skedde och hur utlandsbetalningen bekräftades. Banknämnden har inte anledning att tvivla på att den av banken framlagda utredningen, som baserar sig på bankens logguppgifter, stämmer.

Banknämnden anser att det i fallet är ostridigt att kunden har fått ett textmeddelande som skickats i bankens namn och att kunden, när han via en länk i textmeddelandet öppnade en bluffsida som brottslingarna skapat, har trott sig kommunicera med banken när han matat in sina nätbankskoder.

Med hjälp av kundens bankkodsuppgifter som brottslingarna på så sätt fått tillgång till har brottslingarna via sin egen apparat börjat logga in i kundens nätbank. Med anledning av detta har banken sänt kunden ett meddelande som gällt inloggningen i nätbanken.

Banknämnden anser att det i ärendet är ostridigt att kunden matade in det i meddelandet angivna nyckeltalet på bluffsidan i den tron att han var på bankens genuina webbplats och i färd med att logga in i sin nätbank. Brottslingarna fick på så sätt kännedom om det nyckeltal som krävdes för inloggning i kundens nätbank, och de lyckades logga in i kundens nätbank.

Efter det gav brottslingarna i nätbanken banken i uppdrag att göra en utlandsbetalning, och till följd av det sände banken kl. 2.21 följande textmeddelande till kunden:
"9 300,00 EUR tilille LT68 xxxx xxxx xxxx xxxx. Vahvista maksu palvelussamme avainlukulistan järjestysnumeroa 171 vastaavalla avainluvulla. [Pankki]"

Banknämnden anser att det i ärendet är ostridigt att det i meddelandet angivna nyckeltalet som krävdes för att genomföra gireringen har kommit brottslingarna till handa på så sätt att kunden har matat in nyckeltalet på bluffsidan, varefter brottslingarna har kunnat bekräfta betalningsuppdraget i kundens nätbank.

Kundens samtycke till genomförande av betalningstransaktionen

Även om uppgifterna om betalningen har kunnat ses i det textmeddelande från banken som kunden tog emot, har kunden ändå inte själv matat in det i meddelandet angivna nyckeltalet i sin nätbank utan på den bluffsida som brottslingarna skapat. Utlandsbetalningsuppdraget har på det sätt som anges ovan skapats och bekräftats av brottslingar som tagit sig in i kundens nätbank via sin egen apparat, och därmed anser Banknämnden att kunden inte själv har bekräftat gireringen och alltså inte heller gett sitt i 38 § i betaltjänstlagen eller i villkoren för bankkoderna avsedda samtycke till genomförande av betalningsuppdraget. Därmed är gireringen att betrakta som obehörig i den bemärkelse som avses i betaltjänstlagen.

Överlåtelse av bankkoder och betalningsinstrument

Banknämnden konstaterar att enligt den regeringsproposition som ledde till att betaltjänstlagen stiftades (RP 169/2009 rd) avses med det i lagens 62 § 1 mom. 1 punkt använda uttrycket överlåtelse av ett betalningsinstrument till någon som inte är behörig att använda det att överlåtelsen av betalningsinstrumentet är frivillig och medveten.

I detta fall har kunden medan han skötte bankärendet och när han använde sina bankkoder på en bluffsida som såg ut att vara nätbankens webbplats trott sig kommunicera med banken, och därmed anser Banknämnden att kunden inte medvetet har överlåtit sina bankkodsuppgifter till en obehörig person och att det i fallet därmed inte är fråga om sådan överlåtelse av koder som avses i be-taltjänstlagen eller i villkoren för bankkoderna.

För Banknämnden återstår därmed att bedöma om kunden ska ansvara för den obehöriga användningen av sina bankkoder enligt 62 § 1 mom. 2 punkten i be-taltjänstlagen. Nämnden ska med andra ord bedöma om den obehöriga användningen av bankkoderna beror på att kunden av vårdslöshet har försummat sina skyldigheter enligt lagens 53 § 1 mom. och enligt villkoren för bankkoderna samt graden av kundens eventuella vårdslöshet.

Bedömning av kundens förfarande

Enligt villkoren för bankkoderna får koderna aldrig användas för att logga in i [bank]-nättjänsterna, om länken till inloggningssidan har sänts till kunden per e-post eller på något annat elektroniskt sätt. I villkoren sägs också att inloggningen i tjänsten [bank].fi sker genom att skriva adressen [bank].fi på webbläsarens adressrad och att kunden före inloggningen i tjänsten [bank].fi är skyldig att kontrollera att webbplatsen [bank].fi är skyddad med SSL-kryptering.

Banknämnden anser att kunden försummade sina i villkoren för bankkoderna angivna skyldigheter i och med att han använde sina bankkoder på den webbplats som hade öppnats via en länk i textmeddelandet och inte kontrollerade att webbplatsen var skyddad.

Banknämnden anser emellertid att det inte kan förutsättas på basis av formuleringen och innehållet i textmeddelandet som kunden fick eller på basis av domännamnet i länken i meddelandet att kunden förstod att textmeddelandet inte kom från banken. Nämnden anser ytterligare att kunden utifrån den utredning som lagts fram i ärendet inte heller kan anses ha haft någon annan anledning att tvivla på att kontakten var i sin ordning.

Banknämnden fäster här särskild uppmärksamhet vid att även om det i bankens villkor för bankkoderna sägs att koderna aldrig får användas för att logga in i bankens nättjänster via en länk som sänts till kunden elektroniskt har, enligt Banknämndens uppgifter, banken emellertid själv i vissa situationer kunnat sända till sina kunder textmeddelanden som innehållit länkar till bankens egen webbplats. I detta fall har kunden till nämnden också sänt skärmdumpar av textmeddelanden som banken sänt i andra sammanhang (24.6 och 7.7.2021) och som innehållit länkar till bankens webbplats.

Detta förfarande från bankens sida, som står i strid med bankens egna villkor för bankkoderna, kan bidra till att bankens kunder inte förstår att ifrågasätta kontakter av detta slag som tas i bankens namn, så att de blir utsatta för brottslighet av den här typen. Vidare fäster nämnden uppmärksamhet vid att många olika aktörer nu för tiden, inom allt från transporttjänster till tjänster inom hälso- och sjukvården, till sina kunder skickar textmeddelanden som gäller uträttande av ärenden och som innehåller länkar. Det har gjort kontakter av den här typen vardagliga och kunnat bidra till att inte ens en omsorgsfull bankkund förmår ifrågasätta textmeddelanden som kommer i bankens namn.

När man dessutom beaktar att länken i textmeddelandet i det här fallet har gått till något som sett ut att vara bankens webbplats och kunden utgående från webbplatsens utseende alltjämt har trott att han kommunicerar med banken och han i detta syfte använt sina bankkoder – enligt vad han trott för att hindra att han förlorar sina pengar – anser Banknämnden att kundens försummelser beträffande iakttagandet av villkoren för bankkoderna inte till ovannämnda delar visar på en vårdslöshet som är större än vanlig vårdslöshet.

Banknämnden anser emellertid att kunden efter att han från banken fått ett textmeddelande om bekräftelse av en betalning, med uppgifter om den betalning som bekräftelsen gällde, borde ha förstått att på webbplatsen inte mata in det nyckeltal vars ordningstal nämndes i textmeddelandet. Kunden har berättat att han blev skärrad av varningen i det textmeddelande som han fick kl. 02.06 och som enligt vad han trodde hade sänts från banken – men som efteråt visade sig komma från brottslingarna – och att han agerade omedelbart för att inte förlora pengarna. För att inhibera betalningen klickade han bl.a. på knappen ”PERU MAKSU” på en webbplats som såg ut att vara bankens.  Med beaktande av att textmeddelandet till kunden från banken var bankens sedvanliga utskick om betalningsbekräftelse där kunden kunde se uppgifter om den betalning som skulle bekräftas anser nämnden att även om det på den bluffsida som såg ut att vara bankens webbplats hade angetts att nyckeltalet behövdes för att återkalla en betalning av den storlek som angavs i meddelandet borde kunden ha förstått att avbryta kommunikationen.  Om kunden i det skedet till exempel hade kontaktat sin bank för att fråga om tillvägagångssättet var korrekt skulle den skada som den obehöriga användningen av kundens bankkoder orsakade ha kunnat undvikas.

Eftersom kunden utan att ifrågasätta saken matade in på webbplatsen det begärda nyckeltalet för bekräftelse av gireringen anser Banknämnden att kundens förfarande som helhet visar att kunden var allvarligt oförsiktig. Utgående från den samlade utredningen i ärendet och särskilt med beaktande av att informationen i det textmeddelande om bekräftelse av betalningen som kunden fick från banken var knapphändig och kunden har uppfattat det som att han använde nyckeltalet uttryckligen för att inte förlora sina pengar och för att en bedräglig betalning som banken hade varnat för i ett tidigare textmeddelande inte skulle slutföras anser nämnden att kundens förfarande som helhet dock inte kan anses visa att kunden ställer sig klart likgiltig till de säkerhetsrisker som hänför sig till innehavet och användningen av betalningsinstrument, och att kundens förfarande därmed inte heller visar på sådan grov vårdslöshet som avses i betaltjänstlagen.

Det som konstateras ovan är i linje med det som Banknämnden redan i fem tidigare avgöranden har ansett i fall med ett likartat händelseförlopp som gällt obehörig användning av nätbankskoder i augusti 2021.

Slutsatser

Banknämnden anser att kunden inte gett sitt i betaltjänstlagen avsedda samtycke till gireringen i fråga och att det därmed är fråga om obehörig användning av bankkoder som betalningsinstrument. Nämnden anser att den obehöriga användningen berott på att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen på ett sätt som visar på allvarlig oförsiktighet, men enligt en samlad bedömning dock inte på ett sätt som visar på i betaltjänstlagen avsedd grov vårdslöshet. Således ska kundens ansvar för den skada som den obehöriga användningen av bankkoderna medfört begränsas till 50 euro.

Med hänvisning till vad som sägs ovan rekommenderar Banknämnden att banken åtar sig att svara för den skada som den obehöriga användningen av bankkoderna medfört, till den del den överstiger 50 euro.

Det här beslutet fattades av ordförande Sillanpää på föredragning av sekreteraren.

BANKNÄMNDEN

Ordförande Sillanpää
Sekreterare Hidén                                                                          

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia