Haku

FINE-051471

Tulosta

Asianumero: FINE-051471 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 30.11.2022

Miten vastuu asiakkaan tililtä tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Tunnusten haltijan huolimattomuus.

Tapahtumatiedot                                                      

Asiakas on joutunut verkkourkinnan uhriksi 18.7.2022. Hän on saanut aamulla kello 8.29 pankin nimissä lähetetyn tekstiviestin, jossa on kehotettu menemään pankin sivuille viestissä olleen linkin kautta. Asiakas on avannut linkin ja käyttänyt avautuneella sivustolla pankkitietojaan. Pankki on lähettänyt asiakkaan puhelinnumeroon 18.7.2022 kello 8.33.12 tunnistussovelluksen käyttöönottoa koskevan aktivointikoodin sisältäneen tekstiviestin. Rikolliset ovat aktivoineet käyttöönsä pankin tunnistussovelluksen asiakkaan verkkopankkitunnuksilla ja tekstiviestissä olleella aktivointikoodilla, ja saaneet sillä käyttöönsä myös mobiilipankkisovelluksen.

Mobiilipankkisovelluksella on tehty riidanalaisia tilisiirtoja 18.7.2022 kello 8.36.49 - 8.40.55. Asiakkaan hallitsemilla tilileillä on edellä mainittuna ajankohtana tehty omia tilisiirtoja, visatilisiirtoja sekä lopuksi siirretty 6 950 euroa ulkomaiselle pankkitilille. Tilisiirto ulkomaiselle pankkitilille on vahvistettu tunnistussovelluksella.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan menetetyt 6 950 euroa.

Aamulla 18.7.2022 kello 8.29 asiakas sai tekstiviestin, jossa luki sen tulleen pankilta. Asiakas hermostui ja ihmetteli, mitä on tapahtunut. Asiakas ei reagoinut eikä osannut edes ajatella, että pankki ei lähetä tekstiviestiä.  Hän ei ollut saanut aiemmin viestejä pankilta.

Kun asiakas luki viestin, hän hermostui entisestään, ja avasi liitteessä olevan linkin. Hän ei huomannut mitään erikoista ja oli koko ajan siinä uskossa, että viesti oli tullut pankilta. Asiakas ymmärsi tulleensa huijatuksi vasta poliisiasemalla rikosilmoitusta tehdessään. Asiakas ei osannut kuvitella, että juuri hän tulee huijatuksi.

Pankkilautakunta on kysynyt asiakkaan näkemystä siitä, miten hänen verkkopankkitunnuksensa ovat joutuneet ulkopuolisten haltuun. Asiakas on myöntänyt syöttäneensä pankkitunnuksensa valesivustolle. 

Pankin vastine

Pankki kiistää asiakkaan vaatimuksen.

Asiakas on 18.7.2022 joutunut rikoksen uhriksi. Tuntematon taho on lähettänyt hänelle tekstiviestin, jossa on pyydetty kirjautumaan verkkopankkiin tekstiviestin mukana tulleen huijausosoitteen/-linkin kautta.

Asiakas on tehnyt juuri sen, mistä pankki on vuosien aikana usein varoittanut - ei pidä kirjautua verkkopankkiin tekstiviestillä tulleen linkin kautta. Rikollinen on saanut selville asiakkaan käyttäjätunnuksen ja salasanan asiakkaan kirjauduttua huijauslinkin kautta. Tämän jälkeen rikollinen on asentanut pankin tunnistussovelluksen omalle puhelimelleen. Pankki on tässä vaiheessa lähettänyt asiakkaalle viestin, jossa kerrotaan, että uutta tunnistussovellusta ollaan ottamassa käyttöön ja jos asiakas ei ole tekemässä kyseistä toimintoa, hänen pitää ottaa yhteyttä viestissä näkyvään numeroon ja sulkea pankkitunnuksensa. Varoituksesta huolimatta asiakas on hyväksynyt, että tunnistussovellus otetaan käyttöön. Tämän jälkeen rikollisella on ollut tarvittavat välineet pystyäkseen siirtämään rahaa asiakkaan hallinnoimilta tileiltä.

Pankki on viime vuonna viesteillä varoittanut asiakasta kirjautumasta verkkopankkiin tekstiviestitse tulleen linkin kautta ja ainakin kahdesti asiakas on lukenut pankin lähettämät varoitusviestit. Asiasta on varoitettu myös pankin verkkosivuilla useaan otteeseen tämän vuoden aikana muun muassa kesäkuun lopussa. Lisäksi vastaavanlaiset varoitukset ovat olleet aika yleisesti esillä mediassa sekä viime että tämän vuoden aikana.

Tunnistussovelluksen käyttöönottoa koskevan selvityksen mukaan sovelluksen käyttöönotto vaatii, että käyttöönottajalla on tiedossa verkkopankin käyttäjätunnus, henkilökohtainen salasana, avaintunnuskortin kertakäyttöinen turvaluku sekä tekstiviestinä saapuva tunnistussovelluksen aktivointikoodi.

Tunnistussovelluksen aktivoinnin jälkeen rikollinen on voinut ottaa pankin mobiilipankkisovelluksen käyttöön ja tehnyt sillä maksusuorituksia. Kaikki väärinkäytökseen liittyvät maksusuoritukset ulospäin on vahvistettu käyttöönotetulla tunnistussovelluksella. Asiakkaan pankkitunnuksia on epäillyn väärinkäytöksen aikana käytetty verkkopankissa laitteella, jonka IP:n sijainti poikkeaa tunnistussovelluksen ja mobiilipankin käyttöön hyödynnettyjen laitteiden IP:n sijanneista.

Asiakas on toiminut törkeän huolimattomasti, kun ei ole noudattanut pankin antamia ohjeita ja vastaa itse aiheutuneesta vahingosta. Asiakas on myöntänyt olleensa sinisilmäinen, kun on kirjautunut verkkopankkiin tekstiviestitse tulleen huijauslinkin kautta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu
- kuvakaappaus asiakkaan 18.7.2022 kello 8.29 saamasta tekstiviestistä
- kuvakaappaus asiakkaan 18.7.2022 kello 8.33.12 pankilta saamasta tekstiviestistä
- kuvakaappaus asiakkaan 18.7.2022 kello 08.36.52 pankilta saamasta tekstiviestistä
- maksutapahtumalista 18.7.2022 päivältä
- pankin asiakkailleen lähettämä varoitusviesti, päivätty 17.6.2021, luettu 18.6.2021
- pankin asiakkailleen lähettämä varoitusviesti, päivätty 13.9.2021, luettu 13.9.2021
- kuvakaappaus pankin kotisivuilta, päivätty 29.6.2022.

Ratkaisusuositus

Kysymyksenasettelu

Pankkilautakunnan on arvioitava, onko pankkitunnusten oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Asian arviointi

Tapahtumien kulku

Asiakas on saanut pankin nimissä lähetetyn tekstiviestin 18.7.2022 kello 8.29. Asiakas on toimittanut Pankkilautakunnalle kuvakaappauksen saamastaan viestistä. Viestissä todetaan:

Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa:
[pankki]-fi.info

Pankkilautakunta pitää tapauksessa selvitettynä, että asiakas on saamansa linkin kautta avautuneilla rikollisten luomilla valesivuilla syöttänyt verkkopankkitunnuksensa luullessaan asioivansa pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen.

Pankki on esittänyt asiassa teknisen selvityksen tunnistussovelluksen käyttöönotosta ja siitä, miten asiakkaan verkkopankkiin on kirjauduttu ja riidanalaiset maksut vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Uuden tunnistussovelluksen asentamisen aloittamisen seurauksena pankki on lähettänyt asiakkaalle 18.7.2022 kello 8.33.12 sovelluksen käyttöönottoa koskevan aktivointikoodin sisältäneen tekstiviestin:

Hej! [Pankin] identifieringsapplikation har tagits i bruk med dina bankkoder. Om du skall ta i bruk applikationen med din telefon eller tablett, vänligen granska meddelande ID xxxx och mata in registreringskoden xxxx i [Pankin] identifieringsapplikation. Om du inte har tagit i bruk applikationen, vänligen ring xxx xxx och stäng dina bankkoder.

Pankkilautakunta katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen aktivointikoodin on täytynyt päätyä rikollisten tietoon. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen. Tunnistussovelluksella rikolliset ovat saaneet käyttöönsä myös mobiilipankkisovelluksen.

Saadun selvityksen mukaan mobiilipankkisovelluksella on tehty tilisiirtoja kello 8.36.49 - 8.38.24 asiakkaan hallitsemilla tileillä. Kello 8.40.55 on tehty 6 950 euron tilisiirto asiakkaan tililtä Saksaan, joka on vahvistettu käyttöönotetulla tunnistussovelluksella.

Asiakkaan menettelyn arviointi

Pankki on katsonut asiakkaan toimineen törkeän huolimattomasti, koska hän ei ole noudattanut pankin antamia ohjeita. Pankin antaman selvityksen perusteella pankki on vuonna 2021 varoittanut asiakkaitaan kirjautumasta verkkopankkiin tekstiviestitse tulleen linkin kautta. Asiakas on pankin lokitietojen perusteella lukenut kaksi pankin lähettämää varoitusviestiä. Pankki on vedonnut myös siihen, että asiasta on varoitettu pankin verkkosivuilla useaan otteeseen - muun muassa kesäkuun 2022 lopussa -, ja että vastaavanlaiset varoitukset ovat olleet yleisesti esillä mediassa. Pankki ei ole asiassa vedonnut eikä esittänyt maksuvälineen myöntämistä ja käyttöä koskevia ehtojaan.

Pankkilautakunta toteaa pankin vetoamiin varoitusviesteihin liittyen, että kyse on pankin yksipuolisista ohjeista, jotka on lokitietojen perusteella luettu jo noin vuosi ennen arvioitavana olevaa tapahtumaa. Lisäksi tapauksessa on jäänyt selvittämättä, onko asiakas vieraillut pankin verkkosivuilla kesäkuussa 2022 ja nähnyt tietojenkalastelua koskevan varoituksen. Tämän vuoksi Pankkilautakunta arvio ohjeiden laiminlyöntiä sitovien pankkitunnusehtojen laiminlyöntiä lievemmin perustein.

Huijausviestin osalta Pankkilautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen yksinomaan hänelle lähetetyn tekstiviestin muotoilun, sisällön tai viestissä olleen linkin osoitteen perusteella, ettei tekstiviesti ollut pankin lähettämä. Asiassa ei ole toimitettu selvitystä linkin kautta avautuneesta valesivustosta, mutta asiassa on riidatonta, että asiakas on asiointinsa ajan luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan.

Yllä mainitun perusteella Pankkilautakunta katsoo, että vaikka asiakas on huolimattomuudestaan laiminlyönyt noudattaa pankin antamia ohjeita käyttämällä pankkitunnuksiaan tekstiviestitse tulleen linkin kautta, asiakkaan toiminta ei tältä osin osoita tavallista suurempaa huolimattomuutta.

Pankkilautakunta katsoo kuitenkin, että saatuaan pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin kesken pankkiasioinnin, asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi syöttämättä valesivustolle. Tekstiviesti on ollut sisällöltään informatiivinen, ja siinä on ohjeistettu asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta kehotettu ottamaan yhteyttä pankkiin, jos ei ole itse aktivoimassa pankin mobiilisovellusta. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja sulkenut tunnuksensa soittamalla viestissä olleeseen pankin numeroon, olisi asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu tässä tapauksessa välttyä.

Aiemman ratkaisukäytäntönsä mukaisesti Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään asiakas lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Nyt arvioitavassa asiassa on jäänyt epäselväksi, onko asiakas lukenut pankilta saamansa tekstiviestin sisältöä, ja missä tarkoituksessa hän on tämän jälkeen ymmärtänyt käyttävänsä aktivointikoodia sitä valesivuille laittaessaan.

Tapauksessa saadun selvityksen perusteella, ja erityisesti huomioiden pankin lähettämän pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin sisältö, Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankiltaan saaman pankin tunnistussovelluksen aktivointikoodin sisältämän tekstiviestin sisällön lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Asiakkaan ja pankin välisessä suhteessa asiakas vastaa näin ollen täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Tykkä

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta