Tapahtumatiedot
Asiakas on ollut verkossa myymässä sänkyä, kun hän on joutunut petoksen uhriksi ja asiakkaan korttitiedoilla on tehty verkossa 1.6.2022 klo 16.57 ja 17.15 kaksi oikeudetonta korttimaksua yhteisarvoltaan 2.803,59 euroa. Korttimaksut on vahvistettu pankin mobiilisovelluksella, joka aktivoitu käyttöön 1.6.2022 klo 16.39 Samsung SM-A217F -laitteella. Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 16.38 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 8615 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]."
Asiakkaan tekemän sulkuilmoituksen johdosta asiakkaan kortti on suljettu klo 17.18 ja pankkitunnukset klo 17.14. Pankin mobiilisovellukseen kytketyt laitteet jäivät kuitenkin poistamatta pankissa tehdyn virheen vuoksi ja 9.6.2022 asiakkaan tililtä tehtiin vielä 5.000,00 ja 6.000,00 euron siirrot. Pankki havaitsi tapahtuneen 10.6.2022 ja palautti asiakkaan tilille ko. tapahtumat, yhteensä 11.000,00 euroa.
Asiakkaan valitus
Asiakas vaatii pankkia korvaamaan luottokortilta varastetun 2.803,59 euroa.
Asiakkaalla oli sänky myytävänä tori.fi:ssä. Joku halusi 1.6.2022 ostaa sen, vetosi työkiireisiinsä ja sanoi järjestävänsä kuljetuksen postin kautta. Heti kun maksu 240 euroa olisi tullut asiakkaan tilille, niin sängyn hakija olisi sopinut asiakkaan kanssa jatkon. Asiakas sai linkin postin sivuille, tarkisti netistä, että postilla on tällainen kuljetuspalvelu, ja antoi pankkikorttinsa tiedot. Sivut näyttivät täysin luotettavilta. Maksua odotellessaan (puhelimessa oleva linkki rupesi kellottamaan) asiakas hoiti omia pankkiasioitaan, tilisiirtoja ja laskuja. Sitten asiakas huomasi, että hänen luottokortillaan oli käyty, hätääntyi ja sulki heti pankkitunnuksensa ja korttinsa ja kävi pankissa.
Pankki hylkäsi asiakkaan reklamaation väittäen, että asiakas olisi antanut verkkopankkitunnuksensa ulkopuolisille. Näin hän ei ole koskaan tehnyt eikä kukaan ole edes yrittänyt kysyä niitä asiakkaalta. Asiakkaalla ei ole Samsung-merkkistä puhelinta eikä asiakas tiedä, kenen puhelimeen pankki on lähettänyt vahvistuskoodin. Asiakas ei ole sitä käyttänyt eikä syöttänyt huijaussivustolle rikollisten käyttämää vahvistuskoodia.
Asiakas ei voi ymmärtää tilannetta muuten kuin että hänen puhelimensa ja tietokoneensa kaapattiin ja hänen tiedoillaan rikolliset saivat tehtyä credit-siirrot. Poliisikin sanoi, että tämä on mahdollista. Julkisuudessakin on ollut tietoa, että pankin tietojärjestelmässä on ollut isoja tietoturva-aukkoja, joita pankki ei ole huomannut vielä kesäkuussa.
Lehdessä oli myös tieto, että tori.fin kautta on huijattu isoa määrää ihmisiä. Asiakas ei siis ole ainut, eikä asiakasta sen vuoksi voida pitää erityisen huolimattomana. Sivut olivat aidonnäköiset ja huijausvaroitukset tulivat www-sivuille ja julkisuuteen jälkikäteen. Lisäksi pankki pitää raskauttavana asiana sitä, että asiakas oli myymässä tavaraa eikä ostamassa, mutta molemmat kuuluvat normaaliin kaupankäyntiin. Vaikka asiakas on antanut kortin maksutiedot samalla tavalla kuin nettiostoksia tehdessään, ei asiakas ole antanut pankkitunnuksiaan huijaussivustolle.
Asiakas on ollut huolellinen. Kortti, avainlukulista, puhelin ja tietokone ovat olleet aina vain asiakkaan omassa käytössä. Myös luottamustehtävien vuoksi asiakas on erittäin tarkka pankkitunnuksien kanssa. Asiakas on todella järkyttynyt tästä rikoksesta ja erityisesti pankin suhtautumisesta asiaan. Pankki yrittää nyt tehdä asiakkaasta syyllisen, vaikka kyse on pankin omista tietoturvaheikkouksista.
Kaikki asiakkaan pankkitunnuksiin liittyvät tunnukset suljettiin 1.6.2022. Vielä tämän jälkeen asiakkaan tilille tehtiin 9.6.2022 hyökkäys, jossa pankki oli estänyt 6.000 ja 5.000 euron siirrot. Asiakkaan mielestä tämä osoittaa, että pankin tietoturvallisuudessa on isoja aukkoja. Tapahtuma säikäytti asiakkaan niin, että hän on siirtänyt säästönsä pois pankista.
Pankin vastine
Pankin mobiilisovellus, jolla tapahtumat on vahvistettu, on otettu käyttöön laitteelle Samsung SM-A217F 01.06.2022 klo 16:39. Mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja yksi sattumanvaraisesti arvottu tunnuslukutaulukon tunnusluku sekä tekstiviestitse asiakkaan omaan puhelimeen 1.6.2022 kello 16:38 lähetetty vahvistuskoodi.
Asiakas kertoo pankille syöttäneensä huijaussivustolle maksukorttinsa tiedot "samalla tavalla kuin esim. nettiostoksia tehdessäni". Nettiostoksia tehtäessä maksu edellyttää kortin maksutietojen lisäksi maksun vahvistamista verkkopankkitunnuksilla tai pankin mobiilisovelluksen tunnistamisella. Pankki pitää todennäköisenä, että asiakas on syöttänyt myös muut pankin mobiilisovelluksen lataamista varten tarvittavat tiedot huijaussivustolle, koska samaan aikaan rikollinen otti käyttöön pankin mobiilisovelluksen käyttäen asiakkaan henkilökohtaisia verkkopankkitunnuksia.
Pankin pyynnöistä huolimatta asiakas ei ole kertonut mitään hänen puhelimeensa pankin lähettämästä tekstiviestistä ja siinä olleen vahvistuskoodin käytöstä. Joku kuitenkin luki koodin asiakkaan puhelimesta ja palautti sen pankille 1.6.2022 klo 16:39.
Pankki ei pidä muuta mahdollisena kuin sen, että asiakas antoi myös tekstiviestin vahvistuskoodin Postin sivuja muistuttavalle huijaussivustolle. Tekstiviestissä todettiin "Käytä vahvistuskoodia 8615 ottaaksesi käyttöön [pankin mobiilisovelluksen].” Tästä huolimatta asiakas käytti koodia, vaikka oli vain vastaanottamassa maksua tori.fi kaupastaan.
Asiakas on luovuttanut korttinsa maksutiedot huijaussivustolle, vaikka on itse ollut vastaanottamassa maksua. Huolellisesti toimivan keskivertokuluttajan voidaan olettaa ymmärtävän, että korttitietoja ei tarvita maksun vastaanottamiseen. Näin ollen asiakkaan toimintaa voidaan pitää huolimattomana.
Torin.fi asiakaspalvelun etusivulla on varoitus:
"Hyvä torittaja! Varo tekstiviestitse/WhatsAppilla tulevia huijauksia! Torilla ei ole omaa maksujärjestelmää tai kuriiri- tai kuljetuspalvelua. Jos sinua kaupanteon yhteydessä pyydetään vahvistamaan maksu linkin kautta, antamaan maksutietosi tai sinut ohjataan Torin maksusivustolle, älä suorita maksua vaan ota yhteys Tori-tukeen."
Lisäksi todettakoon, että tori.fi-huijauksista on ollut uutisointia mediassa jo pidemmän aikaan. Näin ollen voidaan todeta, että asiakkaan olisi tullut olla tietoinen tori.fi-palvelun käyttöön liittyvistä riskeistä.
Asiakkaan lisäkirjelmään todettakoon, että pankin mobiilisovellus toimii bonustietojen tarkastelun lisäksi myös pankkipalveluiden käyttämiseen. Rikollisen tekemät korttimaksut on hyväksytty rikollisen omaan laitteeseensa lataamalla pankin mobiilisovelluksella eikä asiakkaan omassa laitteessa ja omassa käytössä olevalla pankin mobiilisovelluksella.
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Pankki katsoo asiakkaan toimineen törkeän huolimattomasti käyttäessään pankin lähettämän tekstiviestin koodia, vaikka ei ollut ottamassa käyttöön pankin mobiilisovellusta, ja vastaavan täysimääräisesti hänen korttinsa tiedoilla tehdystä ja hänen pankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hyväksytyistä korttimaksuista.
9.6.2022 tapahtumista
Asiakas on reklamoinut tileillään tehtyjä tilisiirtoja 9.6.2022. Pankki havaitsi 10.6.2022 asiakkaan tilillä väärinkäyttöä ja pankki on palauttanut tilisiirrot takaisin tileille, yhteensä 11.000 euroa. Väärinkäytösepäilyn vuoksi pankki sulki verkkopankkitunnukset ja kaikki asiakkaan puhelinnumeroon liitetyt laiteet suljettiin pois käytöstä 10.06. kello 8:35.
Pankin mobiilisovelluksen kytketyt laitteet olivat jääneet poistamatta asiakkaan sulkiessa verkkopankkitunnuksensa 1.6.2022 pankissa tehdyn inhimillisen virheen vuoksi. Näin 9.6.2022 tapahtumaketju siis valitettavasti mahdollinen. Kyseiset tapahtumat on hyvitetty asiakkaalle.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin käyttötavat -kohdan mukaan
Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.
Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.
Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan
Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.
Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]
Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan
Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kaksi korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön lähettämässä viestissä olleen linkin kautta avautuneilla postin sivuilta näyttäneillä rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille todennäköisesti tunnistautumistarkoituksessa taikka vahvistaakseen antamansa tiedot tai maksun vastaanottamisen.
Asiakkaan menettelyn arviointi
Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka asiakkaan kertoman mukaan linkin kautta avautuneet sivut näyttivät täysin luotettavilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.
Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen vahvistuskoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Mikäli asiakas olisi tuossa tilanteessa esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että vaikka em. tekstiviestissä ei esimerkiksi varoiteta väärinkäytöksistä, todetaan viestissä kuitenkin, että viestissä ollutta vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon ja ettei koodilla voi kirjautua verkkopankkiin.
Pankkilautakunta on antanut 30.11.2022 tapahtumatiedoiltaan vastaavanlaisessa tapauksessa FINE-049778 ratkaisun, jossa lautakunta ei suosittanut hyvitystä. Vastaavalla tavalla kuin em. tapauksessa Pankkilautakunta katsoo myös tässä tapauksessa, että asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Lopputulos
Pankkilautakunta ei suosita asiassa hyvitystä.
Tämän päätöksen antoi puheenjohtaja Sillanpää sihteerin esittelystä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén