Haku

FINE-051626

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-051626 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.03.2023

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin tunnistussovelluksella vahvistetuista maksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on ollut verkossa myymässä tavaraa, kun hän on joutunut petoksen uhriksi ja asiakkaan korttitiedoilla on tehty verkossa 16.8.2022 klo 15.37-15.45 kaksi korttimaksua yhteisarvoltaan 2.198,38 euroa.

Korttimaksut on vahvistettu pankin tunnistussovelluksella, jonka rikolliset ovat ladanneet ja aktivoineet käyttöönsä 16.8.2022 klo 15.23. Sovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus ja salasana) sekä pankin asiakkaalle klo 15.21 lähettämässä tekstiviestissä ollutta aktivointikoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"[Pankin tunnistussovellus] Activation Code
 If you´re not trying to activate [pankin tunnistussovellus], please contact us immediately.
Remember, we´ll never ask for you for this code, but a fraudster would, so stay safe and don´t share this code with anyone.
The code to complete your [pankin tunnistussovellus] activation is xxxxxx]
SMSID: 2504411794".

Tunnistussovelluksen aktivoinnin jälkeen pankki on lähettänyt asiakkaalle klo 15.23 vielä seuraavanlaisen viestin:
”Great news, you´ve succesfully activated [Pankin tunnistussovellus].
If you´re not the one trying to activate [pankin tunnistussovellus] and you have received this message, please contact us immediately.
Kind regards
[Pankki]
SMSID:7804411799”

Asiakas on sulkenut korttinsa 16.8.2021 klo 15.50 ja asiakkaan otettua pankkiin yhteyttä on hänen pankkitunnuksensa suljettu 16.8 klo 15.53.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan hänen menettämänsä 2.200 euron summan.

Asiakas joutui huijauksen uhriksi 16.8.2022 Tori.fi-sivuston kautta. Asiakas on käyttänyt Tori.fi-palveluita useita vuosia, eikä siis osannut epäillä huijausta tutun sivuston kautta. Asiakas uskoi asioineensa koko ajan oikean ja aidon Tori.fi:n kanssa.

Asiakkaaseen otti yhteyttä ostaja Torin viestit-osiossa. Hän halusi ostaa tuotteen, jonka hinta oli 120 euroa. Tämä ei ole tavallisesta poikkeavaa, koska myyjät ja ostajat lähettävät viestejä toisilleen Torin viestit-osion välityksellä. Ostaja pyysi asiakkaan puhelinnumeroa, koska oli tilannut Torista postin kuriiripalvelun ja hänen piti suorittaa tuo 120 euron osto loppuun. Asiakkaan toimittamassa kuvakaappauksessa näkyy Torin sivusto, jossa kerrotaan postin kuriiripalvelusta ja ostajaa pyydetään laittamaan myyjän numero, jotta myyjään voidaan olla yhteydessä. Asiakas antoi numeronsa ja sai pian Torista tekstiviestin. Älykännykkä mitä ilmeisimmin tunnistaa lähettäjän, vaikka numeroa ei olisi tallennettu kuten asiakkaan toimittamasta puhelimen tekstiviesti-valikosta näkyy. Näin ollen asiakas uskoi tekstiviestin ja sen sisällön olevan täysin aito ja Torin lähettämä.

Viestissä oli linkki, jonka kautta asiakas pääsi Torin sivuille sähköiseen tunnistautumiseen. Tässä vaiheessa näkymässä oli myös teksti, että tunnistautuminen vaaditaan, jotta asiakkaalle voidaan maksaa ostajan suorittama 120 euron summa. Näkymä näytti aivan samalta kuin mikä tahansa sähköinen tunnistautuminen, jonka asiakas on aikaisemmin tehnyt. Siinä näkyivät kaikkien pankkien pikkukuvakkeet ja logot, ja asiakas klikkasi oman pankkinsa kuvaketta ja antoi tietonsa.

Seuraavaksi asiakas sain pankilta englanninkielisen tekstiviestin koskien pankin tunnistussovellusta. Asiakas luki viestin, mutta koska se ei ollut suomeksi, ei hän heti ymmärtänyt, että miten hänen tulee toimia. Itse pankin tunnistussovellus ei toiminut (asiakas ei tuossa tilanteessa tiennyt syytä, miksi se ei toiminut). Sähköisessä tunnistautumisessa pyydettiin aktivointikoodia. Asiakas antoi koodin, koska pankin tunnistussovellus ei edelleenkään toiminut ja asiakas luuli, että juuri tämän vuoksi hän sai pankilta viestin siihen liittyen ja näin pitää tehdä. Asiakas ei olisi muuten päässyt tunnistautumisessa eteenpäin, jonka edelleen uskoi aidoksi.

Asiakkaalle ei ole aikaisemmin tullut eteen vastaavaa tilannetta, vaan asiakas on aina tehnyt sähköisen tunnistautumisen sovelluksen kautta, mutta koska tekstiviesti oli lähetetty pankista ja puhelimen sovellus ei toiminut, asiakas ei epäillyt sähköisen tunnistautumisen aitoutta. Siinä tilanteessa ei tullut mielenkään, että pankki ei lähettäisi tällaisia viestejä. Miten asiakas voisi kyetä tunnistamaan väärän tilanteen, kun ei tekniikka aina normaalissakaan prosessissa toimi? Jos asiakkaalle ei olisi tullut tuota pankin tekstiviestiä, olisi hän saattanut katkaista yhteyden sillä olettamuksella, että yhteydet eivät toimi tai sovellukseen on tullut joku tekninen häiriö ja tällöin huijauskin olisi jäänyt vain yritykseksi. Kun asiakas sai vielä toisen tekstiviestin pankin tunnistussovelluksen aktivoinnin onnistumisesta, uskoi hän, että kaikki oli mennyt oikein. Lisäksi asiakkaan tunnuksia ei kysytty sähköpostitse, puhelimessa tai edes tekstiviestillä, vaan asiakas oli tekemässä sähköistä tunnistautumista Tori.fi:n kautta netissä, joka näytti asiakkaan silmissä ihan normaalilta, eli aidolta.

Pankin lähettämässä tekstiviestissä oleva varoitus oli aivan liian riittämätön, jos sen tarkoituksena on varoittaa tilanteista, jollaiseen asiakas joutui. Viestissä oli varoitus vain sovelluksen aktivoimisesta ja koska asiakas ei ollut aktivoimassa sovellusta, miten hän olisin voinut ymmärtää varoa.

Tunnistautumisen aikana näkymään oli ilmestynyt suomenkielinen chatti. Chatista sanottiin, että sähköinen tunnistautuminen ei ollutkaan onnistunut ja että heidän piti saada varmuus, että asiakas on oikea henkilö, jotta voidaan edetä. Tunnistautumisen jälkeen avautui näkymä, johon pystyi lisäämään korttitiedot. Asiakas lisäsi pankkikorttinsa tiedot, mutta se herjasi sitä. Epäilys heräsi siinä vaiheessa, kun asiakkaalta pyydettiin lisää tietoja mm. luottokorttitietoja. Asiakas keskeytti tapahtuman välittömästi ja kirjautui heti verkkopankkiinsa, jolloin näki, että kaikilta tileiltä oli siirrelty rahaa. Asiakas sulki korttinsa ja soitti välittömästi pankkiin, jolloin myös verkkopankkitunnukset suljettiin.

Asiakas ei ole nähnyt mediassa juttuja vastaavanlaisista huijauksista eikä asiakkaan mielestä kansalaisvelvollisuuksiin kuulu seurata uutisia tai lööppejä, joissa varmasti silloin tällöin kerrotaan erilaisista huijauksista. Asiakas löysi jälkikäteen varoituksen torin sivuilta muutaman klikkauksen takaa, mutta tapahtumien hetkellä sitä ei ollut. Pankki itse varoittaa huijauksista liian yleisellä tasolla, koska esim. asiakkaan tapauksessa varoitus tekstiviestissä ei ollut täysin ymmärrettävä. Nopealla vilkaisulla ainakaan nyt pankin omilla sivuilla ei ole minkäänlaisia varoituksia ennen kirjautumista eikä kirjautumisen jälkeen. Asiakas on kuullut huijauksista, mutta tällaisesta ei ennen kuin se tapahtui omalle kohdalle.

Asiakas tarkistaa mm. laskunmaksun tai verkko-ostoksen yhteydessä saman asian useaan kertaan, ja siksi huijatuksi joutuminen on kova paikka. Asiakasta huijattiin ovelasti eikä asiakas siis tietoisesti, vapaaehtoisesti tai huolimattomuuttaan luovuttanut tietojaan vääriin käsiin, vaan hän oli koko ajan siinä uskossa, että asioi oikean palveluntarjoajan Tori.fi:n kanssa. Kaikki näytti asiakkaan silmissä täysin lailliselta ja aidolta eikä hän missään vaiheessa sähköisen tunnistautumisen aikana kuvitellut, että teki jotain väärin tai että häntä huijataan. Olisi eri asia, jos asiakas olisi luovuttanut tunnukset tuntemattomalle puhelimessa tai WhatsAppissa tmv. Kun asiakas alkoi epäillä, että jokin on pielessä, hän oli välittömästi yhteydessä pankkiin.

Pankin vastine

Molemmat korttitapahtumat ovat olleet etämaksuja ja ne on vahvistettu asiakkaan pankin tunnistussovelluksella. Pankin käsityksen mukaan on mahdollista, ettei asiakas ole itse hyväksynyt kyseisiä maksuja. Asiakas on ilmeisesti antanut pankkitunnuksensa kolmannen osapuolen käyttöön kirjautuessaan Tori-palvelun nimissä tulleen tekstiviestin kautta valesivulle. Huijarit ovat näin saaneet käyttöönsä asiakkaan pankkitunnukset. Asiakas on tämän lisäksi luovuttanut korttitietonsa.

Pankin tunnistussovelluksen lataamiseen ja aktivointiin tarvitaan sovellus puhelimen sovelluskaupasta sekä vahva sähköinen tunnistautuminen sovelluksen aktivoimiseksi. Tässä tapauksessa rikolliset ovat saaneet asiakkaalta käyttäjätunnuksen ja salasanan lisäksi tekstiviestillä tulleen aktivointikoodin, sillä se on lähetetty hänen puhelinnumeroonsa tekstiviestillä. Asiakas on myöntänyt itse antaneensa aktivointikoodin huijaussivulle ja liittänyt valitukseensa kuvan tekstiviestistä, jossa koodi on välitetty. Tekstiviestin kieli on ollut valitettavasti eri kuin asiakkaan asiointikieli. Asiakas on väittänyt, ettei hän ole ymmärtänyt viestin sisältöä. Sovellus on aktivoitu toiseen laitteeseen 16.8. klo 15.23. Asiakas on saanut tämän jälkeen vahvistusviestin sovelluksen aktivoinnin onnistumisesta.

Ottamatta kantaa siihen kuinka todennäköistä on, ettei asiakas ole ymmärtänyt tekstiviestin sisältöä, hänen olisi tullut keskeyttää toimensa viimeistään siinä vaiheessa, kun tunnistautuminen on vaikuttanut epätavanomaiselta ja varsinkin, jos hän ei ole ymmärtänyt mitä on tekemässä. Asiakas itse kuvaa, ettei hänelle ole koskaan aiemmin tullut vastaavanlaista tilannetta eteen, vaan on aina tehnyt tunnistautumisen eri tavalla. Asiakas vakuuttaa myös olevansa tottunut Tori.fi-palvelun käyttäjä, mutta on silti tunnistautunut "Tori.fi kautta netissä, joka näytti minun silmissäni ihan normaalilla, eli aidolta". Pankin käsityksen mukaan Tori.fi kautta ei ole mahdollista toteuttaa kauppoja siten, että Tori.fi välittää maksun ostajan puolesta myyjälle. Tori.fi-sivustolla on ollut jo pitkään nimenomaan varoituksia siitä, ettei palveluntarjoajalla ole omaa maksujärjestelmää tai kuriiripalvelua. Varoituksessa on myös kielletty maksutietoja tai vahvistamaan maksuja linkin tai Tori-maksusivuston kautta. Samoja varoituksia on ollut yleisesti julkisuudessa eri medioissa näkyvillä jo usean kuukauden ajan.

Asiakkaan mukaan hänen omassa puhelimessaan oleva pankin mobiilisovellus ei toiminut, kun hän yritti tunnistautua Tori-palvelussa, ja hän luuli pankin lähettäneen em. tekstiviestin juuri sen vuoksi, että sovellus ei toimi. Todennäköisesti huijaussivusto on näyttänyt siltä, että asiakas on kuvitellut tunnistautuvansa Tori.fi-sivulla ja jäänyt odottamaan tunnistustapahtuman ilmestymistä pankin mobiilisovellukseen tai sovelluksen pop up -ikkunan aukeamista, jos asiakas on käyttänyt puhelimen selainta. Tapahtuma ei ole kuitenkaan koskaan ilmestynyt sovellukseen, koska tunnistustapahtumaa ei ole tosiasiassa ollut olemassa. Aidossa tunnistustilanteessa asiakas hyväksyy käyttäjätunnuksen ja salasanan syöttämisen jälkeen tunnistuspyynnön lähettämisen mobiilisovellukseen, jonka jälkeen sovellus avataan, käyttäjä kirjautuu sinne salasanalla tai face-id:llä ja tunnistustapahtuma hyväksytään tämän jälkeen sovelluksessa.

Asiakas painottaa, ettei hän ollut aktivoimassa pankin tunnistussovellusta, vaan uskoi olevansa tunnistautumistilanteessa, johon oli saanut kirjautumiskoodin tekstiviestillä. Pankin tunnistussovelluksella tunnistautuminen ei edellytä koskaan tekstiviestillä lähetetyn koodin antamista palveluun eikä sellaista myöskään lähetetä asiakkaalle. Tunnistautumispyyntö hyväksytään sovelluksessa pyyhkäisemällä (swipe). Asiakas on ottanut pankin tunnistussovelluksen käyttöön ensimmäisen kerran 29.10.2020, joten hänen olisi tullut ymmärtää, ettei tekstiviestillä lähetty koodi kuulu tavanomaiseen prosessiin. Pankin näkemyksen mukaan maksupalvelun käyttäjältä voi edellyttää, että hän kiinnittää huomiota tavanomaisesta poikkeavaan menettelyyn ja selkeisiin varoitusviesteihin. Julkisuudessa ja pankin sivustoilla on varoitettu huijauksista jo ennen tapahtumahetkeä. Jos asiakas ei perehdy käyttämäänsä palveluun niin, että tietäisi millä tavalla se toimii, tai kiinnitä huomiota normaalista poikkeavaan prosessiin, vaikka kyse on pankkiasioinnista ja sähköisestä tunnistamisesta, pankki katsoo sen osoittavan selkeää piittaamattomuutta suhteessa pankkitunnusten turvalliseen käyttöön.

Asiakas on kertonut saaneensa suomenkielisen chatin "Tori" -sivuston kautta, jonka mukaan tunnistautuminen ei ole onnistunut ja siksi heidän tulisi saada varmuus siitä, että kyseessä on oikea henkilö. Sivulla on avautunut näkymä, johon korttitiedot on tullut lisätä. Asiakas on antanut debit-korttinsa tiedot, minkä jälkeen sivustolla on pyydetty luottokortin tietoja.

Asiakkaan antamien korttitietojen perusteella on asiakkaan nimissä olleella pankin tunnistussovelluksella hyväksytty 900,00 ja 1.298,38 euron maksut 16.8.2022 klo 15.37 ja klo 15.45. Pankkitunnukset on suljettu klo 15.53 asiakkaan otettua pankkiin yhteyttä ja kortit asiakas on itse sulkenut klo 15.50.

Pankki viittaa maksupalvelulain 53 ja 62 §Iin sekä kortti- ja pankkitunnusehtoihinsa. Pankki tarkastelee oikeudettomiin maksutapahtumiin liittyviä reklamaatioita kohtelemalla samankaltaisessa tilanteessa olevia asiakkaita yhdenvertaisesti. Reklamaation käsittely ja korvausvastuun määräytyminen perustuvat maksupalvelulakiin ja sen tulkintaan. Tulkinnassa korvausvastuun osalta määräävää on asiakkaan huolellisuus tai huolimattomuus liittyen maksuvälineen käyttöön ja maksuvälineeseen liittyvistä turvatunnuksista huolehtimiseen.

Pankilla ei ole mahdollisuutta viestinnässään ennakoida millä tavalla asiakas on mahdollisesti joutumassa huijauksen uhriksi. Huijausten toteutustavat muuttuvat jatkuvasti. Vain asiakas itse voi kontrolloida sitä, minne hän syöttää käyttäjätunnuksen, salasanan tai mahdollisen aktivointikoodin. Tätä pankki pyrkii viestinnällään ohjaamaan, eli jos et ole aktivoimassa pankin mobiilisovellusta, ei koodia tule antaa kenellekään. Pankin verkkosivuilla olevassa turvallisuusohjeessa on varoitettu mm. seuraavasti: "Älä koskaan luovuta pankkitunnuksiasi kenellekään tai syötä niiden tietoja tekstiviestillä, puhelinsoitolla tai sähköpostilla tulleen pyynnön perusteella."

Pankki ottaa huomioon tulkinnassaan FINEn ratkaisukäytännön, jonka perusteella näyttää siltä, että törkeän huolimattomuuden raja on ylittynyt silloin, kun asiakkaalle on lähetetty selkeä varoittava viesti, jonka perusteella asiakkaan olisi tullut ymmärtää olla syöttämättä aktivointikoodia huijaussivulle.

Tässä tapauksessa asiakas on saanut tekstiviestin liittyen pankin mobiilisovelluksen aktivointiin, jossa on varoitettu huijausmahdollisuudesta ja nimenomaisesti kielletty jakamasta koodia ulkopuolisille. Asiakas on selvästi ymmärtänyt viestin sisällön, vaikka on kertonut erehtyneensä viestin tarkoittamasta tilanteesta. Aktivoinnin jälkeen asiakas on saanut toisen viestin, jossa on myös pyydetty ottamaan yhteyttä pankkiin, jos asiakas ei ole itse aktivoimassa sovellusta. Pankki katsoo, että asiakkaalla on käyttäessään pankin palveluita velvollisuus reagoida pankin lähettämiin viesteihin, sillä niiden avulla pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista. Jos asiakas ei ole täysin ymmärtänyt viestin sisältöä, olisi hänen siinä vaiheessa tullut keskeyttää kirjautuminen ja varmistua tekemiensä toimien asianmukaisuudesta. Sen sijaan asiakas on antanut korttitietonsa, millä ei ole objektiivisesti arvioiden voinut olla mitään järkevää käyttötarkoitusta kyseisessä tilanteessa. Pankilla ei ole tietoa siitä, miltä tunnistautumissivu on näyttänyt, mutta korttitietojen luovuttaminen chatissa tapahtuneen pyynnön perusteella osoittaa pankin mielestä piittaamattomuutta kortin turvalliseen käyttöön. Pankin näkemyksen mukaan asiakkaan menettely on tässä tapauksessa ollut kokonaisuutena arvioiden törkeän huolimatonta, minkä takia hän vastaa itse aiheutuneesta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus rikollisen viestistä asiakkaalle tori-palvelussa
- Kuvakaappaus asiakkaan saamasta Torin nimissä lähetetystä tekstiviestistä klo 16.8.2022 klo 15.12
- Kuvakaappaus asiakkaan tekstiviesti-ketjuista
- Kuvakaappaus pankin mobiilisovelluksen aktivointikoodin sisältävästä tekstiviestistä asiakkaalle 16.8.2021 klo 15.21
- Kuvakaappaus pankin mobiilisovelluksen aktivoinnin jälkeisestä tekstiviestistä asiakkaalle 16.8.2021 klo 15.23
- Ote pankin verkkosivuilta - ”Ole tarkkana verkossa”
- Sähköisen asioinnin ehdot - Onlinepalvelut
- Yleiset korttiehdot henkilöasiakkaille

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Määritelmät-kohdan mukaan:
näissä korttiehdoissa tarkoitetaan:
[…]
Tunnisteella sähköisessä asioinnissa henkilön tunnistamisen ja allekirjoituksen välinettä, joka on pankin hyväksymä (esimerkiksi verkkopankkitunnukset tai kortin tunnusluku)

Korttiehtojen Kortin omistus- ja käyttöoikeus -kohdan mukaan
[…] Korttia saa käyttää vain luottotilissä olevan luottorajan tai pankkitilillä olevien varojen ja muiden sopimusehtojen puitteissa. […]

Korttiehtojen Korttien pääominaisuuksia ja käyttötapoja -kohdan MasterCard -kortit -alakohdan mukaan
Debit Mastercard-korttia ja Mastercard -luottokorttia voidaan käyttää maksuvälineenä niissä Suomessa ja ulkomailla sijaitsevissa maksunsaajan palvelupisteissä, jotka vastaanottavat kyseisellä Mastercard-kortilla tehtäviä maksuja. […]
Kortilla voi Suomessa nostaa käteistä rahaa käteisautomaateista ja ulkomailla Mastercard-järjestelmään kuuluvista automaateista.
Lisäksi kortilla voi nostaa rajoitetusti käteistä kauppojen kassalta. […]

Korttiehtojen Kortin käyttö -kohdan Kortin, tunnusluvun ja muun tunnisteen käyttö -alakohdan mukaan
[…] Maksamisen yhteydessä kortinhaltijan on luovutettava kortista tietoja
· joko asettamalla kortti fyysisesti maksupäätteen tai muun vastaavan kortinlukijan taikka laitteen luettavaksi tai
· antamalla etämaksamisen [esimerkiksi verkkomaksut, puhelinmyynti ja postimyynti) yhteydessä kortista tarkistetietoina sen numero, voimassaoloaika ja sitä kysyttäessä kortin kääntöpuolella oleva kolminumeroinen turvaluku. Etämaksamisessa ei välttämättä vaadita tunnusluvun käyttöä tai kortinhaltijan allekirjoitusta, vaan tunnisteella ja korttiin liitettyjä tarkisteita tai muita vastaavia menettelyjä käyttämällä tehty korttitapahtuma sitoo kortin haltijaa.
Pankki voi kortinhaltijan tunnistamiseksi edellyttää lisäksi erillistä vahvistamismenettelyä, joka saattaa vaihdella maksamistavasta riippuen.
[…]
Kortinhaltija hyväksyy tekemänsä sopimukset ja sitoutuu maksamaan korttitapahtumista ja varojen siirroista syntyneet saatavat pankille
· allekirjoittamalla maksu- tai myyntitositteen, joka vastaa tunnusluvun käyttöä,
· käyttämällä korttia yhdessä tunnusluvun tai muun tunnisteen kanssa,
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua [esimerkiksi paikoitusautomaatti tai käyttämällä lähimaksuominaisuutta) tai
· luovuttamalla kortin maksamis- ja/tai tarkistetiedot muulla vastaavalla tavalla (esimerkiksi etämaksamisessa).

Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltija voi käyttää Verified by Visa -palvelua ja Mastercard-kortinhaltija Mastercard Secure Code -palvelua Internetin välityksellä tehtävien ostojen maksamiseen. […]

Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortinhaltija sitoutuu säilyttämään ja käsittelemään korttia, siihen liittyvää tunnuslukua ja kortin käyttöön liittyvää muuta tunnistetta huolellisesti ja turvallisesti siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. […]

Korttiehtojen Ilmoitusvelvollisuus -kohdan mukaan
Kortinhaltijan ja/tai tilinomistajan on viipymättä ilmoitettava pankille, jos
· kortti tai siihen liittyvä tunnusluku tai muu tunniste katoaa tai
· on syytä epäillä, että jokin niistä on joutunut tai saattanut joutua sivullisen tietoon tai haltuun tai
· korttia on saatettu käyttää oikeudettomasti taikka
· kortti on esimerkiksi jäänyt automaattiin.
[…]

Pankin onlinepalveluja koskevien sähköisen asioinnin ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Sähköinen tunnistaminen ja sähköinen allekirjoitus -kohdan mukaan:
Online-palvelua voi käyttää Pankin hyväksymillä tunnisteilla, kuten pankkitunnuksilla. Tunniste on luonnollisen henkilön ja sähköisen allekirjoittamisen väline.
Kun asiakas tai käyttäjä ottaa yhteyttä Pankkiin, Pankki tunnistaa tunnisteella asiakkaan ja käyttäjän ja asiakas ja käyttäjä tunnistavat Pankin. Tunnisteen käyttö vastaa asiakkaan ja käyttäjän tunnistamista perinteisestä henkilöllisyyttä osoittavasta asiakirjasta (sähköinen tunnistaminen). […]

Pankkitunnusehtojen Tunnisteen säilyttäminen ja katoamisvastuu -kohdan mukaan
Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. […]
Asiakas ja käyttäjä sitoutuvat säilyttämään Pankin hyväksymät tunnisteet niiden käyttöohjeiden mukaan huolellisesti ja siten, ettei sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. Pankkitunnusten salaista salasanaa on aina säilytettävä erillään muista tunnistautumisvälineistä, mieluiten vain muistissa. Kun asiakas tai käyttäjä saa uudet pankkitunnukset, Pankin antama salasana on heti vaihdettava.
Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä. Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
Asiakkaan tai käyttäjän on heti ilmoitettava Pankille, jos hän tietää tai epäilee, että pankkitunnusten salainen salasana, tunnistussovelluksella varustettu puhelin tai muu mobiililaite, tunnuslukulaite, pikatunnistuksella varustettu puhelin tai muu vastaava tunnistetieto, jota voi käyttää väärin, on joutunut sivullisen tietoon tai haltuun. […]

Pankkitunnusehtojen Turvallisuus ja tietoturva -kohdan mukaan:
"Pankin verkkosivuilla on tietoa online-asioinnin turvallisuudesta. Tietoja kulloinkin vallitsevien tietoturvauhkien edellyttämistä tarpeellisista laite- ja ohjelmistovaatimuksista löytyy myös Viestintäviraston Internet-sivuilta.
[…]
Turvallisen asioinnin varmistamiseksi Pankki suosittelee, että asiakas ja käyttäjä
- lukevat säännöllisesti Pankin ja Viestintäviraston Internet-sivujen turvallisuusohjeita
- pyrkivät kaikin kohtuullisin keinoin varmistamaan, että heidän käyttämänsä laitteet, ohjelmat, järjestelmät ja tarpeelliset tietoliikenneyhteydet ovat riittävät turvalliset sekä ne ja tarpeelliset tietoturvaohjelmat on päivitetty säännöllisesti.
Pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista joko asiakkaan tai käyttäjän antamien yhteystietojen perusteella asiakkaalle tai käyttäjälle tai yleisesti pankin sähköisissä kanavissa.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
[…]Pankkitunnukset = pankin tarjoamat tunnisteet, jotka koostuvat tunnistautumisvälineistä ja yksilöivistä tiedoista tai ominaisuuksista, ja jotka yhdessä käytettyinä muodostavat palvelussa tunnistautumiseen tarvittavat tunnisteet sekä tunnistamisen ja todentamisen välineet. Pankin eri jakelukanavissa voidaan käyttää kanavakohtaisia tunnistautumisvälineitä.[…]
Tunniste = pankkitunnukset tai muu Pankin hyväksymä tunniste, jolla asiakas tai käyttäjä tunnistetaan sähköisesti ja jolla voi tehdä sähköisen allekirjoituksen.[…]
Tunnistuspalvelu = palvelu, jossa asiakas tai käyttäjä voi tunnisteella tunnistautua sähköisesti ja tehdä sähköisiä allekirjoituksia asioidessaan kolmannen osapuolen kanssa, kuten tunnistussovellus.[…]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kaksi korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin tunnistussovelluksella tehtyä vahvistusta.

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas avannut hänelle Tori:n nimissä klo 15.12 lähetetyssä tekstiviestissä olleen linkin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
”Ostaja on ostanut tuotteesi! Klikkaa vahvistaaksesi: www.eeso.info/ibzJ (Kuriiri ottaa sinuun yhteyttä vahvistuksen jälkeen)”

Asiakas on linkin kautta avautuneilla Tori.fi:n sivuilta näyttäneillä rikollisten luomilla valesivuilla syöttänyt tunnistautumistarkoituksessa pankkitunnustensa käyttäjätunnuksen ja salasanan. Rikolliset ovat nämä tiedot valesivujen kautta saatuaan syöttäneet ne omalle laitteelleen lataamalleen pankin tunnistussovellukseen, minkä seurauksena pankki on lähettänyt asiakkaalle tekstiviestitse 16.8.2022 klo 15.21 tunnistussovelluksen aktivointikoodin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"[Pankin mobiilisovellus] Activation Code
If you´re not trying to activate [pankin mobiilisovellus], please contact us immediately.
Remember, we´ll never ask for you for this code, but a fraudster would, so stay safe and don´t share this code with anyone.
The code to complete your [pankin mobiilisovellus] activation is xxxxxx]
SMSID: 2504411794".

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt valesivuille myös aktivointikoodin, jonka saatuaan rikolliset ovat voineet aktivoida käyttöönsä pankin mobiilisovelluksen. Pankki on ilmoittanut tunnistussovelluksen aktivoimisesta asiakkaalle tekstiviestillään klo 15.23:
”Great news, you´ve succesfully activated [pankin tunnistussovellus].
If you´re not the one trying to activate [pankin tunnistussovellus] and you have received this message, please contact us immediately.
Kind regards
[Pankki]
SMSID:7804411799”

Valesivuilla on tämän jälkeen pyydetty asiakkaan korttitietoja, jotka asiakas on syöttänyt sivuille. Pankkilautakunta katsoo asiassa jääneen asiakkaan kertoman perusteella epäselväksi, missä tarkoituksessa hän on ymmärtänyt korttitietojaan tarvittavan, mutta lautakunta pitää todennäköisenä, että asiakas on ymmärtänyt korttitietojaan tarvittavan maksun vastaanottamista varten. Korttitiedot saatuaan rikolliset ovat voineet tehdä ko. korttimaksut pankin mobiilisovelluksella vahvistaen ennen asiakkaan korttien ja pankkitunnusten sulkua.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä, eikä tunnistetietoja saa koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes pankille.

Asiakas on käyttänyt pankkitunnuksiaan Torin nimissä lähetetyssä tekstiviestissä olleen linkin kautta avautuneilla Torin sivuilta näyttäneillä valesivuilla tunnistautumiseen sivujen näkymän näyttäessä asiakkaan mukaan aivan samalta kuin mikä tahansa sähköinen tunnistautuminen.

Pankkilautakunta kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen Torilta, jonka palvelun kautta asiakas on juuri ollut asioimassa ostajaehdokkaan kanssa. Pankkilautakunta katsoo, ettei asiakkaan voida tässä asiayhteydessä edellyttää ymmärtäneen tekstiviestin muotoilun tai sisällön perusteella, ettei tekstiviesti ollut Torin lähettämä. Lautakunnalla ei ole myöskään syytä epäillä, etteivätkö linkin kautta avautuneet valesivut ja niistä edelleen avautuneet tunnistautumista koskeneet valesivut olisi näyttäneet aitoja vastaavilta. Kokonaisselvityksen perusteella lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä Torin nimissä tekstiviestin muodossa tulleen yhteydenoton ja sitä seurannutta valesivuilla tapahtuneen ja asiakkaan käsityksen mukaan kaupanteon edellyttämän tunnistautumistilanteen asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen heidän asiointiaan koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa hänelle entuudestaan tutun palveluntarjoajan nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa asiakas on verkkosivujen näkymän perusteella luullut käyttävänsä tunnuksiaan tavanomaisella pankkitunnusehtojen mukaisella tavalla tunnistautumistarkoituksessa eikä pankin ehdoissakaan kielletä tunnusten käyttämistä tekstiviestitse tai muutoin sähköisesti lähetetyn linkin kautta avautuneilla sivuilla, Pankkilautakunta katsoo, ettei asiakkaan voida katsoa huolimattomuudestaan laiminlyöneen ehtojen mukaisia velvollisuuksiaan syöttäessään käyttäjätunnustaan ja salasanaansa valesivuilla.

Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Lautakunta katsoo, että em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta varoitetaan huijauksista.  Mikäli asiakas olisi tuossa tilanteessa ottanut viestissä olleen ohjeen mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Lautakunta katsoo myös, että vaikka asiakas ei olisi ymmärtänyt englanninkielisen tekstiviestin sisältöä ja siinä olleen koodin tarkoitusta, olisi hänen siinäkin tapauksessa tullut ymmärtää keskeyttää asiointinsa.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa asiakkaan ensin syötettyä pankkitunnustietojaan hänelle uudenlaisessa asiointitilanteessa ja hänelle tekstiviestitse lähetetyn linkin kautta avautuneilla sivuilla asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää.

Asiakkaan syötettyä tekstiviestitse saamansa pankin tunnistussovelluksen aktivointikoodin linkin kautta avautuneilla sivuilla tunnistautumistarkoituksessa ja siten vastoin viestissä olleita ohjeita Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.

Saadun selvityksen jälkeen asiakas on tämän jälkeen vielä syöttänyt korttitietonsa valesivuilla avautuneeseen uuteen näkymään. Pankin korttiehtojen mukaan korttia saa käyttää vain sopimusehtojen puitteissa. Edelleen korttiehtojen mukaan korttia voi käyttää maksuvälineenä maksunsaajan palvelupisteissä ja internetin välityksellä tehtävien ostojen maksamiseen. Lisäksi kortilla voi nostaa käteistä automaateista ja rajoitetusti kauppojen kassalta. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.

Asiakkaan syötettyä korttitietojaan hänelle tekstiviestitse lähetetyn linkin kautta avautuneilla sivuilla mitä ilmeisimmin maksun vastaanottamista varten - tai mahdollisesti ilman käsitystä siitä, missä tarkoituksessa korttitietoja pyydetään - Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen pankkitunnusehtojen lisäksi myös korttiehtojen mukaisia velvollisuuksiaan. Ottaen huomioon asiakkaan asioinnin vaiheet kokonaisuutena Pankkilautakunta katsoo asiakkaan laiminlyöneen huolimattomuudestaan maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan tavalla, joka poikkeaa selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia