Haku

FINE-052421

Tulosta

Asianumero: FINE-052421 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.01.2023

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin mobiilisovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Pankin vahingonkorvausvastuu. Verkkourkinta. Maksuvälineen oikeudeton käyttö.

Tapahtumatiedot

Asiakkaalla oli myynti-ilmoitus pihakeinusta tori.fi -sivustolla. Ostajaksi tekeytynyt henkilö lähestyi asiakasta 20.4.2022. Kyseinen henkilö kertoi ostavansa keinun 21.4.2022, mutta koska hän ei itse pääse noutamaan keinua, hän tilaa keinulle kuljetuksen ja maksaa keinun posti.fi -sivuston kautta.

Asiakas sai ostajaehdokkaalta Whatsapp-viestillä linkin palveluun. Linkistä avautuneella sivulla näkyi, että asiakas on vastaanottanut 80 euroa. Sivusto ohjasi asiakkaan klikkaamaan linkkiä ja syöttämään korttinsa tiedot, jotta rahat siirtyisivät hänelle. Asiakas syötti pankkikorttinsa tiedot sivustolle. Tämän jälkeen, 20.4.2022 klo 15.16, asiakas sai pankilta tekstiviestitse mobiilisovelluksen aktivointikoodin. Viesti oli sisällöltään seuraavanlainen:

"Read this carefully! Your user ID is used on a new phone with the name lphone to enable Mobile key and [pankki]-mobile. To prevent fraud, continue only if you yourself have downloaded the [pankki]-mobile app and are now enabling a new Mobile key. To confirm enabling on your new phone, enter code xxxxx on the [pankki]-mobile app. Don't enter or give this code anywhere else. If you suspect fraud, call [pankki] Deactivation Service immediately. [Pankki]"

Asiakas syötti myös viestissä olleen aktivointikoodin sivustolle. Sivuston kautta tietoonsa saamillaan asiakkaan verkkopalvelutunnuksilla ja pankin lähettämällä sovelluksen aktivointikoodilla ulkopuolinen henkilö onnistui lataamaan laitteelleen asiakkaan nimissä olleen pankin mobiilisovelluksen, jolla hän muutti kortin turvarajaa klo 15.23 ja vahvisti 1 300 euron suuruisen korttimaksun klo 15.25. Asiakas soitti pankin asiakaspalveluun klo 15.27. Kortti suljettiin klo 15.31 ja verkkopalvelutunnukset klo 15.37. Asiakas ei em. tilanteessa saanut asiakaspalvelusta tarpeelliseksi katsomaansa tietoa tilitapahtumista.

Asiakkaan valitus

Asiakas vaatii menettämänsä rahasumman palauttamista kokonaan tai osittain. Lisäkirjelmässään asiakas tarkentaa vaativansa 650 euroa.

Asiakkaan valitus koskee sekä oikeudetonta käyttöä, että tämän jälkeistä pankin asiakaspalvelun toimintaa. Asiakas kiistää toimineensa törkeän huolimattomasti ja katsoo pankin asiakaspalvelun toimineen ala-arvoisesti.

Asiakas kertoo valituksessaan, miten päätyi valesivustolle. Valesivustolla oli chat-palvelut ongelmatilanteisiin, joten sivusto vaikutti aidolta. Puhelimeen tuli tekstiviesti pankin numerosta sisältäen koodin, mikä piti avainluvulla vahvistaa. Huonon englannin kielen taitonsa vuoksi asiakas ei ymmärtänyt, että syöttäessään koodin postin sivustolle ulkopuolinen pääsee lataamaan itselleen asiakkaan nimissä olevan mobiilisovelluksen. Ohjelmaan tuli näkyviin virheilmoitus ja se pyysi toista korttia. Tämä jälkeen pankilta tuli viesti, että 1 300 euron maksu epäonnistui ja verkkomaksamisen turvaraja ylittyy. Tässä vaiheessa asiakas pelästyi ja sulki verkkopankkitunnukset ja pankkikortin pankin asiakaspalvelussa.

Puhelun jälkeen asiakas meni miehensä kanssa katsomaan pankin verkkopalveluun, josta näkyi 1 300 euron katevaraus sekä 2 600 euron siirto tavoitetililtä. Asiakas ihmettelee, miksi asiakaspalvelija ei tätä siirtoa hänelle kertonut vaan asiakas joutui itse tämän selvittämään ja soittamaan uudestaan pankin sulkupalveluun katevarauksesta. Kun asiakas soitti uudestaan pankkiin, sieltä ei enää suostuttu antamaan mitään tietoja kuin yleisellä tasolla, koska verkkopankkitunnukset oli suljettu. Asiakkaan mielestä yleisellä tasolla asioista kertominen ei ollut oikein. Pankki toimi näin, vaikka myös asiakkaan mies soitti palveluun omasta puhelimesta ja teki vahvan tunnistuksen. Asiakas sai lopulta tietoja omasta pankistaan.

Asiakas teki kaikkensa varojen menettämisen estämiseksi sen jälkeen, kun huomasi, että kortilla on yritetty tehdä katevarausta. Pankki toimi väärin, kun ei ensimmäisellä kerralla antanut tietoja pyynnöstä huolimatta ja jätti asiat oman onnen nojaan. Asiakas luotti, kun pankista sanottiin, että yleensä rahat saadaan takaisin korttireklamaation kautta.

Asiakas ei katso toimineensa huolimattomasti, sillä siirsi rahansa etukäteen pois tililtään. Hän oli jättänyt tililleen vain 6,68 euroa. Hänelle ei tullut mieleenkään, että joku pystyisi siirtämään rahoja toiselta tililtä tai muuttamaan kortin rajoja. Asiakas ihmettelee, miten ulkopuolinen on voinut muuttaa asiakkaan kortin turvarajoja ja siirtää varoja toiselle tilille ilman varmistusta, vaikka ulkopuolinen olisikin päässyt sisään verkkopankkiin. Asiakkaan mielestä pankin olisi tullut vaatia ylimääräistä tunnistautumista.

Vasta tämän tapahtuman jälkeen tori.fi -palvelusta poistettiin mahdollisuus puhelinnumeron näyttämiseen sekä etusivulle tuli varoitukset tori.fi -huijauksista. Tätä tapahtumaa ei voi verrata esimerkiksi sähköpostilla tuleviin tietojen kalasteluihin, koska tämä huijauspalvelu oli aidolta vaikuttava palvelu.

Pankin vastine

Pankki kiistää asiakkaan korvausvaatimuksen.

Asiakas on luovuttanut korttinsa tiedot ja verkkopalvelutunnuksensa ulkopuoliselle kalastelusivustolle. Verkkopalvelutunnusten avulla ulkopuolinen on luonut omalle laitteelleen asiakkaan nimissä olevan pankin mobiilipankkisovelluksen. Pankki on lähettänyt mobiilipankkisovelluksen aktivoimiseen vaadittavan koodin tekstiviestillä asiakkaalle, ja hän on ilmoittanut myös sen ulkopuoliselle. Tämän jälkeen ulkopuolisella on ollut hallussaan aktiivinen mobiilipankkisovellus, jolla hän on voinut kirjautua pankin palveluun asiakkaan nimissä. Asiakkaan menettely, korttitietojen, verkkopalvelutunnusten ja aktivointikoodin luovuttaminen, on ollut kokonaisuutena arvioiden törkeän huolimatonta.

 · 20.4.2022 15.21 ulkopuolisen mobiilisovelluksella on vahvistettu 1 300 euron korttimaksu. Tapahtuma on hylätty kortin turvarajan ylittymisen johdosta.
· 20.4.2022 15.23 ulkopuolisen mobiilisovelluksella on vahvistettu kortin turvarajojen muutos.
- 20.4.2022 15.25 ulkopuolisen mobiilisovelluksella on vahvistettu 1 300 euron korttimaksu, tapahtuma on onnistunut.
- 20.4.2022 15.27 soitto asiakaspalveluun. Kortti on suljettu kello 15.31, verkkopalvelutunnukset on suljettu kello 15.37.
- 20.4.2022 15.38 ulkopuolisen mobiilisovelluksella yritetty vahvistaa 1 300 euron korttimaksu. Tapahtuma on estetty, sillä kortti ja verkkopalvelutunnukset ovat olleet lukittuina.

Asiakkaan lisävahvistusnumeroon on lähetetty tekstiviesti, kun hänen tunnuksillaan oltiin aktivoimassa pankin mobiilisovellusta uudelle laitteelle. Pankinmobiilisovelluksen aktivointiviesti lähetetään sen laitteen, jolla sovellusta ollaan aktivoimassa, kielikoodin mukaan. Mikäli laitteen kielikoodi on muu kuin suomi tai ruotsi, aktivointitekstiviesti lähetetään englannin kielellä. Sen, että viesti tuli muulla kielellä kuin asiakkaan asiointikielellä, olisi nimenomaan pitänyt kiinnittää asiakkaan huomion siihen, että jotain poikkeuksellista on tapahtumassa. Viestissä on kerrottu, että mobiilisovellusta ollaan aktivoimassa uuteen puhelimeen, ja viestissä on painotettu, ettei koodia tule syöttää muualle kuin siihen mobiilisovellukseen, jonka asiakas on itse ladannut ja johon hän on sovellusta aktivoimassa. Mikäli asiakas ei ole ymmärtänyt englanninkielisen viestin sisältöä, ei hänen olisi tullut luovuttaa koodia eteenpäin ymmärtämättä mitä koodilla ollaan tekemässä. Viesti on ollut seuraavansisältöinen:

20.4.2022 klo 15.16: "Read this carefully! Your user ID is used on a new phone with the name lphone to enable Mobile key and [pankki]-mobile. To prevent fraud, continue only if you yourself have downloaded the [pankki]-mobile app and are now enabling a new Mobile key. To confirm enabling on your new phone, enter code xxxxx on the [pankki]-mobile app. Don't enter or give this code anywhere else. If you suspect fraud, call [pankki] Deactivation Service immediately. [Pankki]"

Kortin tiedoilla tehty 1 300 euron suuruinen korttimaksu on ollut mahdollinen, sillä ulkopuolisille on luovutettu verkkopankkitunnusten kaikki osat, maksukortin kaikki tiedot sekä mobiilisovelluksen aktivointikoodi, jolloin ulkopuolisilla on ollut asiakkaan tiedoilla oleva vahva sähköinen tunnistusväline. 

Pankki ei ole lähettänyt erikseen lisävahvistuksia avainlukulistalla mobiilisovelluksen aktivoinnin jälkeen, sillä ne on vahvistettu vahvalla sähköisellä tunnistevälineellä, pankin mobiilisovelluksella. Asiakkaalle on lähetty lisävahvistusviestit 22.4.2022, joista asiakas on lähettänyt kuvakaappaukset FINElle, koska tuolloin asiointi on tapahtunut avainlukulistalla sisään kirjautuneena.

Myöskään kortin turvarajojen muuttamiseen ei ole vaadittu ylimääräisiä tunnistautumisia, koska kirjautuminen verkkopalveluun mobiilipankkisovelluksella täyttää vahvan tunnistautumisen vaatimukset. Toisin kuin asiakas väittää, kuka tahansa rikollinen ei pysty tekemään katevarauksia — eikä muitakaan toimenpiteitä asiakkaan nimissä — vaan siihen vaaditaan vahvaa tunnistautumista.

Korttimaksua vahvistettaessa kauppiaalta tulee tapahtuman varmennuspyyntö, jonka yhteydessä kortille tehdään maksua koskeva katevaraus. Kun kortin liikkeeseenlaskija on antanut varmennuspyyntöön myönteisen vastauksen, ei liikkeeseenlaskija voi kansainvälisten korttiyhtiöiden sääntöjen mukaan enää estää varsinaisen korttimaksun veloittumista ja varojen siirtymistä myyjälle, joka on täyttänyt omat velvollisuutensa. Näin ollen katevarauksen purkamisella ei voida estää maksun veloittumista. Siinä vaiheessa, kun asiakas on ilmoittanut huijauksesta pankille, ei tapahtumaa ole enää voitu estää vaan myyjäliikkeellä on ollut oikeus veloittaa aiemmin varattu summa.

Asiakkaan vetoama asiakaspuhelu on käyty sen jälkeen, kun oikeudeton korttimaksu on jo tehty, joten siinä vaiheessa sitä ei olisi voinut mitenkään estää.

Pankin asiakaspalveluun 20.4.2022 klo 15.27 soitetussa puhelussa kartoitettiin tilanne ja vaarantunut kortti ja verkkopalvelutunnukset suljettiin. Kiistanalaisen korttitapahtuman katevaraus on tehty ennen soittoa. Puhelu siirrettiin sulkutoimenpiteiden jälkeen toiselle asiakasneuvojalle klo 15.48, puhelussa kuvattiin kortin ja verkkopalvelutunnusten olevan jo suljettu. Asiakas ohjattiin tarkistuttamaan puhelin mahdollisten linkin kautta tulleiden haittaohjelmien varalta. Puhelussa kerrottiin myös katevarauksia olleen kaksi. Ensimmäinen ei ollut mennyt läpi, mutta toinen katevaraus oli aktiivinen. Lisäksi puhelussa on kerrottu, että mikäli katevaraus muuttuu veloitukseksi, tapahtumasta voi tehdä korttireklamaation.

Asiakas on soittanut vielä pankin sulkupalveluun klo 16.02, jossa vahvistettiin 1 300 euron katevarauksen olevan aktiivinen. Puhelussa kerrottiin katevarauksen olevan aina myyntilupa eli vaikka katevaraus purettaisiin niin myyjä voi silti sen veloittaa. Asiakkaalle lähetettiin verkkopalveluun varmuuden vuoksi kirjalliset ohjeet reklamaation tekemiseen. Puheluissa on kartoitettu tilanne ja suljettu kortti ja tunnukset tarkoittaen, että lisäväärinkäyttö on estetty. Tapahtumien tarkempi läpikäynti asiakaspalvelussa tai sulkupalvelussa ei olisi estänyt ennen puhelua syntynyttä vahinkoa tapahtumasta.

Asiakkaan oma pankki on käsitellyt saamansa asiakaspalautteen ja antanut vastauksensa verkkoviestillä. Vastauksessa virheellisesti väitettyyn tietoon on otettu kantaa seuraavasti: ”Pankissa on nyt kuunneltu mainitsemasi puhelu. Puhelussa asiakkuusneuvoja on käyttänyt mm. ilmaisua, että on mahdollista, että korvataan tuon tyyppistä. Puhelun aikana korvauksen saamista ei missään kohtaan ole luvattu.”

Pankki on ilmoittanut vetoavansa verkkopalveluehtoihinsa sekä yleisiin korttiehtoihinsa.

Selvitykset

  • Pankin päätös korttireklamaatioon 29.6.2022.
  • Asiakkaan oikaisupyyntö korttireklamaatiopäätökseen 30.6.2022.
  • Asiakkaan oikaisupyyntöön annettu ratkaisu 1.7.2022.
  • Kuvakaappaus pankin 20.4.2022 kello 15.16 lähettämästä sms-viestistä.
  • Kuvakaappaus pankin asiakkaalle 22.4.2022 lähettämästä sms-viestistä.
  • Pankin tunnusten ja verkkopalveluiden yleiset ehdot voimassa 24.10.2018 alkaen.
  • Pankin yleiset korttiehdot voimassa 1.11.2020 - 31.5.2022.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Lisäksi Pankkilautakunnan on arvioitava, onko pankin asiakaspalvelun menettelystä aiheuttanut pankille vahingonkorvausvastuun.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 9 §:n (Yleissäännös annettavista tiedoista ja ilmoituksista.) 1 momentin mukaan
Palveluntarjoajan on annettava tässä laissa tarkoitetut tiedot ja ilmoitukset maksupalvelun käyttäjälle selkeässä ja helposti ymmärrettävässä muodossa. Jolleivät osapuolet sovi muun kielen käyttämisestä, tiedot ja ilmoitukset on annettava suomeksi tai ruotsiksi taikka, jos maksupalvelua tarjotaan muualla kuin Suomessa, kyseisen valtion virallisella kielellä.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 69 §:n (Vahingonkorvaus) 1 ja 2 momentin mukaan
Palveluntarjoaja on velvollinen korvaamaan vahingon, joka sen tämän lain tai sopimuksen vastaisesta menettelystä on aiheutunut maksupalvelun käyttäjälle.

Maksupalvelun käyttäjälle aiheutuneen välillisen vahingon palveluntarjoaja on kuitenkin velvollinen korvaamaan vain, jos vahinko johtuu huolimattomuudesta palveluntarjoajan puolella.

Pankin yleisten korttiehtojen, voimassa 1.11.2020 alkaen, Kortista ja Kortin tiedoista huolehtiminen -kohdan mukaan

Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.
[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan on pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internet-kauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internetkaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. Salauksen päällä oleminen varmistetaan selaimen osoiterivillä olevasta lukon kuvasta. Lukon tulee olla lukittu.
[…]

Yleisten korttiehtojen Kortin käyttötavat -kohdan mukaan
Asiakas saa käyttää korttia ja luovuttaa hänen hallussaan olevan Kortin tiedot vain näissä ehdoissa mainittuihin käyttötarkoituksiin.

Korttia voidaan käyttää käteisen nostoon, ostosten ja palveluiden maksamiseen tai rahan tallettamiseen korttiin liitetylle pankkitilille. Lisäksi Kortin tietoja voidaan käyttää ostosten ja palveluiden maksamiseen. Korttia saa käyttää vain pankki- tai luottotilillä olevien varojen tai myönnetyn luottorajan puitteissa.

Yleisten korttiehtojen kohta, joka koskee kuluttajan asemassa olevan asiakkaan vastuuta kortin oikeudettomasta käytöstä vastaa sisällöltään maksupalvelulain 62 §:ää. Samoin pankin verkkopalveluehtojen (voimassa 24.10.2018 alkaen) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä, vastaa sisällöltään pääpiirteittäin maksupalvelulain 62 §:ää.

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen, Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan

Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos asiakas antaa Tunnuksensa kolmannelle, asiakas vastaa kolmannen hänen nimissään tekemistä toimista.
[…]

Tunnuksia tai osaa niistä ei koskaan saa:
[…]
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [Pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankin] verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.
[…]

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen, Asiointikieli -kohdan mukaan
[…]
Palveluntarjoajan ilmoitukset, informaatiopalvelut, vahvistamista koskevat pyynnöt ja muut ilmoitukset lähetetään vain suomen tai ruotsin kielellä.

Asian arviointi

Vastuunjako maksuvälineen oikeudetonta käyttöä koskien

Asiassa on riidatonta, että asiakas on syöttänyt korttitietonsa hänelle entuudestaan tuntemattoman, ostajana esiintyneen, henkilön Whatsapp-viestillä lähettämän linkin kautta avautuneille rikollisten luomille ja postin sivuilta näyttäneille valesivuille. Asiassa on riidatonta myös se, että asiakkaan pankkitunnustiedot (käyttäjätunnus, salasana, luku tunnuslukulistasta) sekä pankin asiakkaalle tekstiviestitse lähettämä pankin mobiilisovelluksen aktivointikoodi ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille.

Asiakkaan on maksupalvelulain 53 §:n mukaan käytettävä maksuvälinettä sen käyttöä koskevien ehtojen mukaisesti. Pankki on asiassa vedonnut verkkopalvelu- ja korttiehtoihinsa, joissa on mm. määritelty kortin käyttötavat ja kielletty pankkitunnusten luovuttaminen tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin pankin hyväksymille palveluille ja sovelluksille. Tunnuksia ei saa ehtojen mukaan käyttää myöskään pankin verkkopalveluihin kirjautumiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksuvälineen käyttöä koskevien ehtojen mukaisia velvollisuuksiaan syöttäessään kortti- ja pankkitunnustietonsa sivustolle, johon hän on saanut linkin Whatsapp-viestillä. Vaikka asiakkaan kertoman mukaan linkin kautta avautuneet sivut ovat näyttäneet aidoilta ja sivuilla on ollut jopa chat-palvelut ongelmatilanteisiin, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen osalta osoittavan vakavaa varomattomuutta pankkitunnustietojen säilyttämisessä ottaen huomioon sen, että tiedot on syötetty maksun vastaanottamista varten asiakkaalle entuudestaan tuntemattoman henkilön lähettämän linkin kautta. Pankkilautakunta toteaa selvyyden vuoksi, ettei huolellisuusarviota muuta se seikka, että asiakas on ennen tietojen luovuttamista sivustolle siirtänyt rahansa toiselle tilille, sillä saamillaan tiedoilla ulkopuolinen on voinut tehdä tilisiirtoja myös asiakkaan hallitsemien tilien välillä.

Nyt arvioitavassa tapauksessa asiakas on saanut pankilta englanninkielisen tekstiviestin, joka on sisältänyt pankin mobiilisovelluksen aktivointikoodin. Tekstiviesti on ollut sisällöltään informatiivinen, ja siinä on ohjeistettu asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta kehotettu ottamaan yhteyttä pankkiin, jos ei ole itse aktivoimassa pankin mobiilisovellusta. Viestissä on myös varoitettu petoksesta ja kielletty syöttämästä koodia muualle kuin pankin mobiilisovellukseen. Asiakas on tapauksessa vedonnut siihen, ettei ole ymmärtänyt tekstiviestin sisältöä huonon kielitaitonsa vuoksi. Asiakas on tämän vuoksi syöttänyt myös aktivointikoodin valesivustolle.

Pankkilautakunta toteaa, että pankin on täytettävä tiedonantovelvollisuutensa sopimuksessa sovitulla kielellä. Tässä tapauksessa asiointikieleksi on sopimuksessa määritelty palveluntarjoajan ilmoitusten ja vahvistamista koskevien pyyntöjen osalta suomi tai ruotsi. Lautakunta ottaa arvioinnissaan huomioon sen, että asiakas on saanut sovitusta ja tavanomaisesti käytetystä asiointikielestä poikkeavalla kielellä mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin eikä ole tämän vuoksi ymmärtänyt viestissä kerrottua turvallisuusuhkaa. Lautakunta huomioi arvioinnissaan toisaalta myös sen, ettei asiakas ole keskeyttänyt asiointiaan tai selvittänyt viestin sisältöä, vaikka hän on saanut normaalista asiointikielestä poikkeavalla kielellä viestin pankiltaan.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa – asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle entuudestaan tuntemattoman henkilön lähettämän linkin kautta ja saatuun pankilta tavanomaisesta asiointikielestä poikkeavalla kielellä lähetetyn viestin – asiakkaan olisi tullut kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. 

Pankkilautakunta katsoo, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän koodin ymmärtämättä tekstiviestin sisältöä, on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Pankin vahingonkorvausvastuu

Asiakas vaatii korvausta pankin ala-arvoisesta asiakaspalvelusta. Asiakas kokee, ettei hänelle annettu välittömästi tapahtuman jälkeisissä asiakaspalvelupuheluissa riittävästi tietoa tilitapahtumista kuten oikeudettomasti tehdyn maksun katevarauksesta tai tilin saldosta. Lisäksi asiakas luotti pankin kertomaan siitä, että asiakas saa yleensä rahat takaisin korttireklamaation kautta.

Pankkilautakunta toteaa, että pankin vahingonkorvausvastuu edellyttää lain tai sopimuksen vastaista menettelyä ja siitä aiheutunutta vahinkoa. Asiassa ei ole annettu selvitystä pankin sopimuksen tai lain vastaisesta menettelystä.

Tapahtumien kulusta annetun selvityksen perusteella Pankkilautakunta pitää ilmeisenä, etteivät asiakaspalvelupuhelut ole myöskään syy-yhteydessä maksuvälineen oikeudettomasta käytöstä asiakkaalle aiheutuneeseen vahinkoon. Oikeudeton korttimaksu on tehty ennen asiakaspalvelupuheluita eikä pankki voi estää maksun veloittumista enää sen vahvistamisen jälkeen esimerkiksi purkamalla tilillä näkyvä katevaraus. Pankkilautakunta katsoo, ettei pankki ole maksupalvelulain 69 §:n mukaisessa vahingonkorvausvastuussa ulkopuolisen henkilön petoksellaan pankin asiakkaalle aiheuttamasta vahingosta.

Lopputulos

Pankkilautakunta katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan. Ottaen huomioon kortti- ja pankkitunnusten syöttämisen sovellettavien ehtojen vastaisesti linkin kautta avautuneille sivuille sekä pankin tekstiviestitse lähettämän vahvistuskoodin syöttämisen em. sivustolle tekstiviestin sisältöä ymmärtämättä, lautakunta katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Atrila
Laine
Tervonen

Tulosta