Tapahtumatiedot
Asiakas on ollut verkossa myymässä tuolia, kun hän on joutunut petoksen uhriksi ja asiakkaan korttitiedoilla on tehty verkossa 20.4.2022 klo 13:29 ja 13:47 kaksi korttimaksua yhteisarvoltaan 1.527,30 euroa. Korttimaksut on vahvistettu pankin mobiilisovelluksella, joka aktivoitu käyttöön 20.4.2022 klo 13.17 Samsung SM -laitteelle. Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle klo 13:16 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 9758 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]”
Asiakas soitti pankin asiakaspalveluun klo 13.47, asiakaspalvelussa vastattiin asiakkaan sulkupuheluun klo 13.54, asiakkaan kortti suljettiin klo 13.56 ja asiakkaan pankkitunnukset suljettiin klo 14.08.
Asiakkaan valitus
Asiakas vaati pankkia korvaamaan 1.527,60 euroa.
Asiakas oli myymässä tori.fi:ssä tuolia 80 euron hintaan. Nainen otti yhteyttä ja sanoi ostavansa tuolin. Tuolloin tuli tori.fi-linkki, jossa oli ehdot; turvalukkokuva ja muut tiedot sekä naisen osoitteenkin asiakas vielä tarkisti, että oli ok. Tämän jälkeen asiakas meni linkistä, missä luki hyväksy maksu. Tämä vei sivulle, jossa luki mille kortille haluat rahan. Asiakas ajatteli, että Visa on turvallisin ja täytti siihen Visa-korttinsa numerot ja päivämäärän. Asiakas ei missään vaiheessa antanut kortin takana olevaa koodia. Tämän jälkeen luki, että mene pankkiin hyväksymään maksu. Tämä vei lukolla olevaan pankkiin, jossa asiakas kirjautui pankkiin sormijärjestelmällä sisään. Ruutuun tuli, että hyväksytkö tilille +80€ henkilöltä, johon asiakas laittoi että hyväksy +80€ visa-kortin tilille. Tätä varten asiakas laittoi ainoan koodin, joka oli taulukosta pyydetty numero. Tämän jälkeen pankin sivu tilttasi error tilaan (503 temporary unavailable) ja asiakas tajusi jotain olevan väärin.
Asiakas soitti pankkiin, avasi oman tilinsä auki äppistä ja huomasi että rahaa vietiin. Asiakkaan puhelimen tietojen mukaan pankki vastasi vasta klo 13.47. Asiakas kertoi tilanteen virkailijalle, joka kysyi, että onko pankista tullut vahvistuskoodi puhelimeen ja asiakas näki vasta silloin, että jotain oli lähetetty pankista. Eli ryöstäjä on saanut vietyä rahoja tililtä ilman vahvistuskoodeja. Asiakas ei käyttänyt eikä antanut muita koodeja paitsi sen, joka taulukosta kysyttiin hyväksynnästä +80€ tilille tulossa olevasta rahasta, mikä valitettavasti sekään ei ikinä tullut asiakkaan tilille.
Asiakkaan puhelin on Moto G 9, ryöstäjän puhelin Samsung sm 505fn. Ryöstäjä oli pankin sisällä siirtänyt säästötililtä 1.300 euroa visa-tilille ja tehnyt kortilta maksuja. Tämä tapahtui, kun asiakas jonotti 15 minuuttia pankin asiakaspalvelua ennen kuin sai suljettua tilinsä.
Pankin vastine
Tapahtumat pankin järjestelmien mukaan
Asiakas oli mielestään vahvistamassa maksun vastaanottamista Tori.fi tai Postin palvelussa, mutta tosiasiassa hän antoi korttinsa maksutiedot ja verkkopankkitunnuksensa huijaussivulle.
Samaan aikaan 20.4.2022
klo 13:14 Rikolliset latasivat taustalla pankin mobiilisovelluksen omalle laitteelleen Samsung SM käyttäen huijaussivuilta saamiaan asiakkaan verkkopankkitunnuksia eli asiakkaan verkkopankin käyttäjätunnusta, salasanaa ja tunnuslukutaulukon yhtä sattumanvaraisesti valittua tunnuslukua.
klo 13:16 Pankki lähetti asiakkaalle puhelinnumeroon tekstiviestin. Asiakkaan pankille toimittaman kuvan mukaan viesti myös saapui asiakkaan puhelimeen klo 13:16. Viestin sisältö oli:
”Käytä vahvistuskoodia 9758 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [Pankki]”
klo 13:17 Rikolliset antoivat vahvistuskoodin "9758" pankin järjestelmiin ja pankin mobiilisovellus oli käyttövalmis rikollisten omassa laitteessaan. Rikolliset tekivät kortin tiedoilla reklamoidut kaksi korttimaksua.
klo 13:29 ja 13:47 maksut hyväksyttiin rikollisten lataamalla pankin mobiilisovelluksella
klo 13:47 Asiakas soitti pankin asiakaspalveluun
klo 13:54 Pankin asiakaspalvelussa vastattiin asiakkaan sulkupuheluun
klo 13:56 Asiakkaan kortti suljetaan
klo 14:08 Asiakkaan verkkopankkitunnukset suljetaan.
Molemmat reklamoidut korttimaksut on hyväksytty rikollisen käytössä olleella pankin mobiilisovelluksella. Mobiilisovellustapahtumista ei lähetetä tekstiviestivarmistuksia kuin erityisissä poikkeustilanteissa. Tämän vuoksi asiakas sai tekstiviestivahvistuksen vain pankin mobiilisovelluksen käyttöönotosta, mutta ei enää korttimaksujen vahvistuksista.
Selvitykset
Asiakas kertoo, ettei hän koskaan antanut huijaussivulle maksukortin kääntöpuolella olevaa kolminumeroista CVC turvakoodia. Korttijärjestelmä ei edellytä turvakoodin käyttöä verkkomaksuissa, joten tavallisesti rikolliset eivät edes kysy sitä. Turvaluvun merkitys etämaksuissa on nykyisin pienentynyt merkittävästi, kun etämyyntitapahtumat edellyttävät asiakkaan vahvaa tunnistamista.
Pankin lähettämästä vahvistustekstiviestistä asiakas kertoo ensin 2.5.2022 antamassa selvityksessään, että "Suht samaan aikaan sain [pankista] viestin vahvistuskoodista sekä huomasin, että annettu linkki sivusto meni error tilaan. En kuitenkaan kerennyt tuota vahvistuskoodia laittaa mihinkään."
27.7. pankille antamassaan uudessa selvityksessä ja 7.9.2022 FINE valituksessaan asiakas kertoo "Kun virkailija vastasi puhelimeen kerroin tilanteen hän kysyi, että onko pankista tullut vahvistuskoodi puhelimeen ja näin vasta silloin, että jotain oli lähetetty minulle [pankista] kun virkailija sitä kysyi."
Tältä osin asiakkaan kertomus on muuttunut ja pankki uskoo 2.5. kertomusta vastaavan totuutta, koska tässä vaiheessa tapahtumista oli kulunut vasta vähän aikaa.
Asiakas kiistää antaneensa tekstiviestillä lähetettyä vahvistuskoodia minnekään. Joku kuitenkin palautti sen pankin järjestelmiin klo 13:17 eli minuutin kuluessa siitä, kun se saapui asiakkaan puhelimeen. Jos asiakas ei erehdyksessä käyttänyt koodia, niin ulkopuolisella on täytynyt olla asiakkaan puhelin ja pankin lähettämä tekstiviesti käytössään, mutta pankki ei pidä tätä todennäköisenä.
Pankki pitää todennäköisempänä sitä, että asiakas hätääntyi ymmärrettyään joutuneensa huijauksen kohteeksi ja stressaavassa tilanteessa hän muistaa tapahtumat väärin. Hyvin suunniteltu huijaussivusto kaatuu vasta kun rikollinen on saanut kaikki tarvitsemansa tiedot.
Valituksessaan 7.9. asiakas kirjoittaa "Tämän jälkeen luki että mene pankkiin hyväksymään maksu. Tämä vei minut lukolla olevaan [pankkiin] jossa kirjaudu pankkiin SORMI järjestelmällä sisään." ”Kirjaudu pankkiin sormi järjestelmällä" tarkoittanee pankin tunnistautumissivulta näyttävää sivua, eikä sitä, että asiakas olisi tunnistautunut huijaussivulle käyttäen pankin mobiilisovellusta ja sen sormenjälki-mahdollisuutta.
2.5.2022 asiakas kertookin "Klikkasin ok; tuolloin linkki vei minut eri pankkien logo sivulle, jossa luki että kirjaudu oman pankkiin tarkistamaan rahan vastaanoton. (Liite). Kirjauduin tuolloin oman pankkiin ([pankki])". Vastauksensa liitteenä asiakas toimitti kuvakaappauksia.
Asiakas kertoo jonottaneensa pankin asiakaspalveluun 15 minuuttia ja epäilee, että oikeudettomat maksut olisi voitu estää, jos pankin asiakaspalvelu olisi vastannut nopeammin. Asiakkaan toimittaman puhelinerittelyn mukaan puhelu alkoi 20.4. klo. 13:47 eli samaan aikaan kun rikolliset hyväksyivät viimeisimmän maksuista. Näin jonotusajalla ei ole asiassa merkitystä.
Pankin vastaus
Asiakas on antanut verkkopankkitunnuksensa tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin pankkitunnusehtojen ehtojen nimenomaista kieltoa. Kohdassa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetettyasiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
Lisäksi pankki katsoo, että asiakaan on täytynyt antaa myös tekstiviestinä lähettämämme vahvistuskoodin hujaussivulle, vaikka viesti selvän sanamuotonsa mukaan oli tarkoitettu pankin mobiilisovelluksen käyttöönottoon ja jota viestin mukaan ei voi käyttää verkkopankkiin kirjautumiseen
Näillä perusteilla pankki katsoo, että asiakkaan on täytynyt toimia törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappauksia whatsapp-viesteistä ja asiakkaan asioinnin eri vaiheista
- Puheluerittely
- Kuvakaappaukset asiakkaan soittohistoriasta ja puhelun tiedosta koskien asiakkaan soittoa pankille
- Kuvakaappaus asiakkaan pankilta vastaanottamista tekstiviesteistä
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]
Pankin yleisten korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin käyttötavat -kohdan mukaan
Korttia saa käyttää vain näissä ehdoissa kuvatuilla tai muutoin erikseen hyväksymillämme tavoilla. Emme vastaa siitä, että korttia käytetään muihin tarkoituksiin. Kortilla ei saa hankkia tuotteita tai palveluita, joiden ostaminen on Suomessa kulloinkin voimassa olevan lainsäädännön vastaista.
Korttiehtojen Ostosten ja palveluiden maksaminen verkossa ja maksusovelluksissa -kohdan mukaan
Visa-kortinhaltijana voit maksaa kortilla ostamiasi tuotteita tai palveluita verkossa. Maksamiseen tarvitset kortin numeron ja voimassaoloajan sekä pyydettäessä kortin kääntöpuolella olevan kolminumeroisen turvaluvun. Joidenkin maksujen yhteydessä pyydämme sinua tunnistautumaan vahvasti Visa Secure -tunnistuspalvelussa, johon tarvitset verkkopankkitunnuksiasi tai [pankin mobiilisovelluksen] tunnistamisen.
Korttiehtojen Korttitapahtumien hyväksyminen -kohdan mukaan
Suostumus korttitapahtumaan ja korttitapahtuman peruuttaminen
Kortinhaltijana annat suostumuksesi korttitapahtumaan jollakin seuraavista kauppiaan määrittelemistä tavoista:
· näppäilemällä kortin salaisen tunnusluvun
· allekirjoittamalla omakätisesti
· käyttämällä korttia sellaisessa laitteessa, joka ei vaadi tunnuslukua
· käyttämällä kortin lähimaksuominaisuutta
· antamalla kortin tiedot verkossa tai posti- ja puhelinmyynnissä
· käyttämällä muutoin korttiasi veloitusperusteen synnyttävällä tavalla
Sinun pitää ennen suostumuksen antamista tarkistaa korttitapahtumaan merkitty valuutta, maksun määrä ja korttitapahtuman oikeellisuus.
Et voi enää peruuttaa korttitapahtumaa sen jälkeen, kun olet antanut edellä mainitulla tavalla suostumuksesi tapahtumaan.
Olemme oikeutettuja veloittamaan tililtäsi korttitapahtumat, joihin olet kortinhaltijana antanut suostumuksesi edellä kuvatulla tavalla.
Korttiehtojen Kortin ja tunnusluvun säilyttäminen -kohdan mukaan
Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. […]
Korttiehtojen Kortin katoamisilmoitus -kohdan mukaan
Ilmoita meille viipymättä, jos korttisi tai laite ja siihen tallentamasi kortin tiedot katoavat, joutuvat sivullisen haltuun, niitä käytetään oikeudettomasti tai tunnuslukusi joutuu sivullisen tietoon. […]
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että sivullinen on asiakasta harhaan johtamalla ja rikollisin aikein saanut asiakkaalta ko. riidanalaisten korttimaksujen edellyttämät korttitiedot ja on niitä hyväksi käyttäen tehnyt verkossa kaksi korttimaksua, joiden toteuttaminen on edellyttänyt kunkin maksun kohdalla pankin mobiilisovelluksella tehtyä vahvistusta.
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman ostajana esiintyneen henkilön whatsappin kautta lähettämässä viestissä olleen linkin kautta avautuneilla tori.fi:n sivuilta näyttäneillä rikollisten luomilla valesivuilla. Edelleen Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen vahvistusluku ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille tarkoituksenaan ilmeisesti vahvistaa maksun vastaanottaminen.
Asiakkaalta valesivujen kautta saamillaan tiedoilla rikolliset ovat 20.4.2022 klo 13.17 aktivoineet käyttöönsä pankin mobiilisovelluksen, jolla he ovat vahvistaneet ko. kaksi korttimaksua klo 13.29 ja 13.47. Asiakkaan itse toimittamien selvitysten mukaan asiakas on soittanut pankin asiakaspalveluun klo 13.47, eikä ko. korttimaksuja ole siten tehty asiakkaan esittämällä tavalla sinä aikana, kun asiakas on odottanut pankin asiakaspalvelun vastaavan.
Asiakkaan menettelyn arviointi
Korttiehtojen mukaan korttia saa käyttää vain ehdoissa kuvatuilla tai pankin muutoin erikseen hyväksymillä tavoilla. Edelleen korttiehtojen mukaan korttia voi käyttää ostosten ja palveluiden maksamiseen kauppiaan toimipisteessä tai verkossa sekä käteisen nostamiseen ja tallettamiseen. Korttiehdoissa ei tuoda esiin mahdollisuutta vastaanottaa maksuja kortille.
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
Pankkilautakunta toteaa, että korttiehtojen mukaan korttia ei siis saa eikä myöskään voi käyttää maksujen vastaanottamiseen ja pankkitunnusehtojen mukaan verkkopankkitunnusten käyttäminen sähköisellä tavalla lähetetyn linkin kautta on puolestaan kielletty. Asiakkaan syötettyä kortti- ja pankkitunnustietojaan maksun vastaanottamista varten hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta avautuneilla sivuilla Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan. Vaikka linkin kautta avautuneet sivut olisivat näyttäneet aidoilta tori.fi:n tai tunnustautumista koskevilta sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.
Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. Mikäli asiakas olisi tuossa tilanteessa esimerkiksi ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että vaikka em. tekstiviestissä ei esimerkiksi varoiteta väärinkäytöksistä, todetaan viestissä kuitenkin, että viestissä ollutta vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon ja ettei koodilla voi kirjautua verkkopankkiin.
Pankkilautakunta on antanut 30.11.2022 tapahtumatiedoiltaan vastaavanlaisessa tapauksessa FINE-049778 ratkaisun, jossa lautakunta ei suosittanut hyvitystä. Vastaavalla tavalla kuin em. tapauksessa Pankkilautakunta katsoo myös tässä tapauksessa, että asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Lopputulos
Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.
Tämän päätöksen antoi puheenjohtaja Sillanpää sihteerin esittelystä.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén