Haku

FINE-052589

Tulosta

Asianumero: FINE-052589 (2022)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 30.11.2022

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista siirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Pankkitunnusten luovuttaminen. Syy-yhteys. Pankkitunnusten haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on antanut verkkopankkitunnuksensa puolisonsa käyttöön ja asiakkaan verkkopankissa on 28.12.2021 vaihdettu asiakkaan tunnuksiin liitetty puhelinnumero asiakkaan puolison numeroon asiakkaan pankkitunnuksilla hyväksyen.

Asiakkaan puoliso on saanut 14.6.2022 klo 17.20 pankin nimissä lähetetyn ja samassa ketjussa pankin lähettämien viestien kanssa tekstiviestin, jossa on lukenut seuraavaa:
"Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: [Pankki]-Mobili.com”
Asiakkaan puoliso on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla käyttänyt asiakkaan pankkitunnuksia kirjautuakseen pankin palveluun.

Pankin mobiilisovellus on ladattu laitteelle iPhone XR 14.6.2022 klo 17:39. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puolison puhelinnumeroon 14.6.2022 klo 17:39 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 3367 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]"

Em. pankin mobiilisovellusta käyttäen rikolliset ovat tehneet 14.6.2022 klo 17:44-18:03 välisenä aikana ensin asiakkaan luottokortilta asiakkaan käyttötilille 1.500,00 euron siirron ja tämän jälkeen asiakkaan tililtä kaksi tilisiirtoa yhteisarvoltaan 2.100 euroa.

Asiakas sulki pankkitunnuksensa 14.6.2022 klo 18:11.

Asiakkaan valitus

Asiakas vaatii saada takaisin tililtä huijatut 2.100 euroa.

Asiakkaan puoliso sai 14.6.2022 pankin nimissä tekstiviestin, jossa on kerrottu, että uusi maksunsaaja on lisätty tänään. Asiakkaan puoliso on ymmärtänyt, että asia on hyvä mennä tarkistamaan välittömästi pankista, ja hän avasi viestissä olleen linkin. Linkin takaa avautui aidon näköinen pankin sivu ja puoliso kirjautui sinne asiakkaan pankkitunnuksilla. Puolison puhelimeen tuli tämän jälkeen klo 17:39 pankilta tekstiviesti. Huijari on päässyt tekemään seuraavat siirrot tämän jälkeen ilman puolisolta tai asiakkaalta vaadittavia lisävarmennuspyyntöjä.

Tilanne alkoi epäilyttämään ja asiakas sulki pankkitunnukset puhelimitse 14.6.2022 klo 18:11, kahdeksan minuuttia viimeisen tilisiirron tapahduttua. Asiakaan puoliso on käyttänyt asiakkaan nimissä olevia pankkitunnuksia, mutta tällä toiminnalla ei kuitenkaan ole syy-yhteyttä huijauksen onnistumiseen, eikä sen asiakkaan mielestä tule vaikuttaa korvauspäätökseen. Asiakas elää puolisonsa kanssa yhteisessä taloudessa, ja he ovat olleet luottamuksellisessa avioliitossa kohta 20 vuotta, joten yhteisten pankkitunnuksien käyttö ei ole käytännössä vaikuttanut huijauksen onnistumiseen millään tavalla. Heillä on ollut käytössä yhdet pankkitunnukset tilille, eikä pankki ole tehnyt selväksi, että molemmat tarvitsevat omat verkkopankkitunnukset.

Puolison käyttöoikeus tiliin on lisätty vuonna 2016 pankin toimipisteessä sitä varten, että myös hän pystyy tiliä käyttämään kuin omaansa. Pankki ei kuitenkaan tässä kohtaa tarjonnut/lähettänyt puolisolle omia verkkopankkitunnuksia. Pankin olisi tullut tehdä asia selväksi kyseisellä käynnillä ja lähettää saman tien omat tunnukset.

Asiakas on täysin eri mieltä siitä, että vahinko olisi ollut vältettävissä, jos asiakas olisi itse yksin käyttänyt tunnuksiaan. Vaikka puoliso on käyttänyt asiakkaan nimissä olevia tunnuksia ja vaikka tässä kohtaa heidän toimintansa on ollut käyttöehtojen vastaista, ei kyseinen toiminta ole edesauttanut huijauksen onnistumista. Korvauspäätös tulisi käsitellä vastaavalla tavalla, jos asiakas olisi saanut viestin omaan puhelimeensa, avannut linkin ja käyttänyt omia tunnuksiaan, koska näin olisi voinut aivan hyvin tapahtua ja huijaus olisi onnistunut vastaavalla tavalla. Samoin, mikäli puolisolla olisi ollut käytössä omat tunnukset, hän olisi toiminut samalla tavalla. Toisin sanoen erilliset tunnukset eivät olisi vaikuttaneet vahingon tapahtumiseen.

Huijauksen onnistumisessa ehkä suurin tekijä on se, että huijaustekstiviesti tuli samalta lähettäjältä kuin kaikki oikeatkin pankin tekstiviestit. Lisäksi viestin sisältö ja linkin takaa avautuneet pankin verkkosivut ovat täysin aidonnäköisiä. Lisäksi mobiilin käyttöönoton varmistusviesti ei millään tavoin antanut ymmärtää, että kyseessä voisi olla huijaus.

Huijausviestin poikkeuksellisuutta ei ole helppo huomata, mistä kertoo jo huijaukseen langenneiden asiakkaiden suuri määrä. Perusteluina pankin käyttämä "Terveisin [pankki]"-tekstin puuttuminen on jo saivartelua. Viesti on saapunut lähettäjältä [pankki], mikä on suurin syy, että viesti näyttää aidolta. Se ei voi olla asiakkaan syy, jos teleoperaattorit tai puhelinvalmistajat eivät saa estettyä huijausviestejä tulemasta pankilta. Se, että pankki kertoo yrittävänsä korjata asiaa, ei auta enää tämän tapauksen kohdalla yhtään.

Pankki- ja turva-asioiden kanssa työskenteleville aitojen viestien sisällöt, ja yksityiskohdat, sekä verkkosivuilla olevat muistutukset, ovat itsestään selviä. Kuitenkin tavallisten ihmisten arkielämässä ne voivat epähuomiossa jäädä huomioimatta. Asiakkaan puoliso oli huijausviestin saatuaan ollut yövuorossa ja valvonut koko yön. Hän ei ole ollut virkeimmillään viestin lukuhetkellä ja tämä on voinut vaikuttaa, ettei viestin sisältö ja sanamuodot ole herättäneet välittömästi epäilyksiä.

Puoliso on saanut tekstiviestillä vahvistuskoodin, muttei ole huomannut viestissä mitään erikoista. Vahvistuskoodiviestin teksti ei herätä huomiota tai epäilystä, että kyseessä voisi olla huijausyritys tai tilanteeseen tulisi kiinnittäisi erityistä huomiota. Tekstin tulisi olla informatiivisempi, jos siinä halutaan kertoa, että tilanteeseen tarvitsee kiinnittää erityistä huomiota.

Tunnusten päätyminen rikollisille ei johtunut millään tavalla tunnusten luovutuksesta. Perusteluna, että yhteisten tunnusten käytöllä ei ole syy-yhteyttä huijauksen onnistumiseen, ja lisäksi erilliset tunnukset eivät olisi millään tavoin estäneet vahingon syntymistä. Puolison toimintaa ei voida katsoa törkeäksi huolimattomuudeksi. Hän avasi pankin nimellä tulleesta viestistä epähuomiossa linkin ja kirjautui tilille aidon näköisellä pankin sivulla. Tili suljettiin heti kun mahdollinen huijausyritys huomattiin, vain 8 minuuttia viimeisimmän tilisiirron tapahduttua.

Pankin mukaan pankki otti käyttöön verkkopankkitunnusten turvallisuutta vahvistavan tekstiviestivahvistuksen vuonna 2020. Asiakas ihmettelee, kuinka on mahdollista, että pankki otti tekstiviestivahvistuksen käyttöön vasta vuonna 2020. Pankin turvallisuus on hataralla pohjalla, kun tällainen tietoturvan perusasia ei ole ollut aiemmin käytössä. Tämä on asiakkaan mielestä yksi syy, miksi tämäkin huijaus on onnistunut. Pankin viestejä on tullut vasta muutamia eikä asiakas ole tottunut aitojen pankin viestien ulkonäköön ja sanamuotoon, jotta pystyi erottamaan ne huijausviesteistä.

Pankin vastine

Taustaa

Asiakkaan puolisolla oli laaja käyttöoikeus asiakkaan tiliin. Puoliso käytti asiakkaan luvalla myös asiakkaan 30.6.2011 solmimaan sopimukseen perustuvia henkilökohtaisia verkkopankkitunnuksia. Asiakkaan kertomuksen mukaan pankkitunnukset ovat olleet koko ajan puolisoiden yhteiskäytössä.

Maksupalvelulain vaatimusten mukaisesti pankki otti vuonna 2020 käyttöön verkkopankkitunnusten turvallisuutta vahvistavan tekstiviestivahvistuksen. Asiakkaan tekstiviestivahvistusten puhelinnumeroksi on 28.12.2021 kello 16:20 tallennettu uusi numero. Numero on tallennettu verkkopankissa ja hyväksytty asiakkaan verkkopankkitunnuksilla. Myöhemmin on selvinnyt, että puhelinnumero on asiakkaan puolison puhelinnumero ja pankki on lähettänyt verkkopankkitunnusten eri toimien vaatimat lisävahvistukset puolison puhelimeen.

Tapahtumien kulku

Asiakkaan puoliso sai 14.6.2022 pankin nimissä lähetetyn huijaustekstiviestin ja antoi tekstiviestin linkistä avautuvalle pankin verkkosivuja muistuttavalle huijaussivustolle asiakkaan verkkopankkitunnusten kaikki osat. Asiakkaan puoliso oli mielestään kirjautumassa pankin verkkopankkiin, mutta tosiasiassa hän antoi verkkopankkitunnukset huijaussivulle. Samaan aikaan klo 17:39 rikolliset latasivat taustalla pankin mobiilisovelluksen omalle laitteelleen iPhone XR käyttäen huijaussivuilta saamiaan asiakkaan verkkopankkitunnuksia.

Pankki lähetti sovittuun tekstiviestivahvistuksen puhelinnumeroon tekstiviestin klo 17:39. Asiakkaan puoliso antoi vahvistuskoodin verkkopankkia muistuttavalle huijaussivulle ja rikolliset käyttivät sitä ottaakseen käyttöön pankin mobiilisovelluksen omassa laitteessaan. Tämän jälkeen rikolliset tekivät mobiilisovelluksella reklamoidun luotolta siirron ja reklamoidut tilisiirrot klo 17:44-18:03 välisenä aikana. Asiakas sulki pankkitunnuksensa 14.6.2022 klo 18:11.

Selvitykset

Asiakas myöntää luovuttaneensa henkilökohtaiset tunnuksensa puolisonsa käyttöön. Asiakas puolustaa menettelyään sillä, että heille olisi alun perin annettu pankista ainoastaan yhdet tunnukset eikä ole tehty selväksi, että samassa taloudessa, samalle yhteiselle tilille, tarvitaan useat tunnukset.

Asiakkaan kanssa on solmittu verkkopankkisopimus 30.6.2011, mutta käyttöoikeuden tiliinsä asiakas on antanut puolisolleen vasta 11.6.2016. Näin ollen verkkopankkisopimuksen allekirjoitushetkellä ei ole ollut yhdessä käytettyä tiliä.

Pankki, kuten kaikki muutkin pankit muistuttavat asiakkaita verkkosivuillaan ja asiakaskohtaamisissa, että verkkopankkitunnukset ovat henkilökohtaisia, eikä niitä saa luovuttaa ulkopuoliselle. Ne ovat maksuvälineitä, mutta ne ovat samalla myös vahva sähköinen henkilöllisyys, ns. "sähköinen passi".

Asiakkaan sopimukseen sovellettavien 22.2.2021 käyttöön otettujen pankin ehtojen mukaan verkkopankkitunnukset ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.

Maksupalvelulain 62 §:n ja pankkitunnusehtojen mukaan asiakas vastaa maksuvälineen oikeudettomasta käytöstä, jos oikeudeton käyttö johtuu siitä, että asiakas on luovuttanut maksuvälineen sen käyttöön oikeudettomalle.

Ensisijaisesti pankki katsoo asiakkaan olevan vastuussa reklamoiduista maksutapahtumista sillä perusteella, että hän on luovuttanut henkilökohtaiset tunnukset vaimonsa käyttöön. Pankki katsoo, että vahinko olisi ollut vältettävissä, jos asiakas olisi itse yksin käyttänyt omia tunnuksiaan.

Asiakas on ilmoittanut haluavansa asian käsiteltävän kuin hän olisi itse toiminut kuten hänen puolisonsa toimi. Pankki katsoo asiakkaan puolison toimineen törkeän huolimattomasti seuraavilla perusteilla.

Asiakas puolustelee huijauksen onnistumisessa sillä, että huijaustekstiviesti näytti tulevan samalta lähettäjältä kuin kaikki oikeatkin pankin tekstiviestit. Rikolliset pystyvät ikävästi näyttämään viestit samassa viestiketjussa kuin pankin aidot viestit. Tätä pankit pyrkivät estämän yhteistyössä tekstiviestejä tarjoavien teleoperaattoreiden kanssa. Toisaalta samassa viestiketjussa olevien viestin osalta olisi ollut todella helppo huomata huijausviestien poikkeuksellisuus pankin aitoihin viesteihin verrattuna. Aidoissa viesteissä ei ole linkkejä internetsivuille ja aidot viestit loppuvat "Terveisin [Pankki]." Asiakkaan puolison olisi myös tullut huomata, että huijausviestin linkissä oli jopa kirjoitusvirhe, kun siinä pyydettiin käymään pikaisesti osoitteessa "[Pankki]-Mobili.com". Mobiili kirjoitetaan kahdella i -kirjaimella.

Asiakkaan puoliso antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuvalle sivustolle vastoin pankin ehtojen nimenomaista kieltoa. Kohdassa pyydetään huomioimaan erityisesti, ettei asiakas saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

Asiakaan puoliso oli mielestään kirjautumassa pankin verkkopankkiin tarkistamaan lisättyä maksunsaajaa. Puoliso antoi pankin tekstiviestinä lähettämän vahvistuskoodin, vaikka viestissä huomautettiin, ettei sitä voi käyttää verkkopankkiin kirjautumiseen ja selkeän sanamuotonsa mukaan se oli tarkoitettu pankin mobiilisovelluksen käyttöönottoa varten.

Maksupalvelulain hallituksen esityksen (HE 132/2017) mukaan asiakkaan on katsottava olevan vastuussa sen henkilön toimista ja huolellisuudesta, jolle maksuväline on luovutettu, mutta syy-yhteyden riittävyys esimerkiksi tilanteessa, jossa kolmas henkilö anastaa maksuvälineen viimeksi mainitulta ja käyttää maksuvälinettä oikeudettomasti, on arvioitava tapauskohtaisesti. Yleisesti voidaan todeta, että asiakkaan on katsottava ottavan riskin maksuvälineen väärinkäytöstä, kun hän on luovuttanut sen toisen käyttöön.

Asiakas on sitä mieltä, että hän olisi itse toiminut samoin. Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen kaikesta oikeudettomasta käytöstä, jos hän luovuttaa välineen hallinnan toiselle tai jos oikeudeton käyttö johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas on luovuttanut verkkopankkitunnuksensa puolisolleen ja maksupalvelulain sekä tunnistuslain mukaan asiakas vastaa maksuvälineen ja tunnistusvälineen käytöstä, kun hän on luovuttanut sen hallinnan toiselle. Verkkopankkitunnukset ja tekstiviestinä lähetetty koodi on päätynyt rikollisille ja pankki katsoo, että se johtui asiakkaan luovutuksesta ja hänen puolisonsa törkeästä huolimattomuudesta. Asiakas vastaa täysimääräisesti tunnistuslain 27 §:n mukaisesti hänen verkkopankkitunnuksillaan käyttöön otetulla hyväksytystä luotolta siirroista sekä hänen tililtään tehdyistä tilisiirroista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Kuvakaappaus asiakkaan puolison rikollisilta pankin nimissä saamasta tekstiviestistä 14.6.2022 klo 17.20 sekä asiakkaan pankilta klo 17:39 saamasta viestistä samassa ketjussa

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut maksupalvelulain 62 §:n 1 momentin 1 kohdassa tarkoitetulla tavalla siitä, että asiakas on luovuttanut pankkitunnuksensa puolisolleen, taikka siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakkaan puoliso on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakkaan puoliso on syöttänyt asiakkaan pankkitunnustietoja luullessaan asioivansa asiakkaan pankin kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone XR-laitteelleen. Tämän johdosta pankki on lähettänyt 14.6.2022 klo 17:39 asiakkaan tunnuksiin liitettyyn asiakkaan puolison numeroon mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Käytä vahvistuskoodia 3367 ottaaksesi käyttöön [pankin mobiilisovelluksen]. Huomaathan ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankki]"

Pankkilautakunta katsoo selvitetyksi, että asiakkaan puoliso on laittanut myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.

Pankkitunnusten luovuttaminen puolisolle

Pankki on katsonut tapauksessa ensisijaisesti, että asiakas vastaa pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta sillä perusteella, että hän on luovuttanut henkilökohtaiset tunnuksensa puolisonsa käyttöön. Pankki katsoo, että vahinko olisi ollut vältettävissä, jos asiakas olisi itse yksin käyttänyt omia tunnuksiaan.

Maksupalvelulain 62 §:n 1 momentin 1 kohdan mukaan asiakas maksaa maksuvälineensä oikeudettomasta käytöstä, jos oikeudeton käyttö johtuu siitä, että hän on luovuttanut maksuvälineensä sen käyttöön oikeudettomalle. Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan em. lainkohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Tässä tapauksessa on riidatonta, että asiakas on luovuttanut tunnuksensa puolisolleen vapaaehtoisesti ja tietoisesti. Asiakas on kuitenkin vedonnut siihen, että luovuttamisella ei ole syy-yhteyttä asiassa aiheutuneeseen vahinkoon, sillä hän olisi toiminut asiassa samalla tavoin kuin puolisonsa, ja tämän vuoksi asiaa tulisi arvioida samalla tavoin kuin jos asiakas itse olisi saanut viestin omaan puhelimeensa, avannut linkin ja käyttänyt omia tunnuksiaan.

Pankkilautakunta toteaa, että maksupalvelulain muuttamisesta annetun lain säätämiseen johtaneessa hallituksen (HE 132/2017) esityksessä on 62 §:n 1 momentin osalta todettu, että vastuuperusteen ja oikeudettoman maksutapahtuman välillä pitää olla riittävä syy-yhteys ja että ”Esimerkiksi momentin 1 kohdassa tarkoitettu maksuvälineen luovuttaminen sen käyttöön oikeudettomalle ei näin ollen tarkoittaisi, että maksupalvelun käyttäjä rajattomasti vastaa kaikesta tämän jälkeen tapahtuneesta maksuvälineen oikeudettomasta käytöstä. Vaikka maksupalvelun käyttäjän on tällöin katsottava olevan vastuussa sen henkilön toimista ja huolellisuudesta, jolle maksuväline on luovutettu, syy-yhteyden riittävyys esimerkiksi tilanteessa, jossa kolmas henkilö anastaa maksuvälineen viimeksi mainitulta ja käyttää maksuvälinettä oikeudettomasti, on arvioitava tapauskohtaisesti.”

Pankkilautakunta toteaa, että tässä tapauksessa asiakkaan puoliso, jonka käyttöön asiakas on ehtojen vastaisesti tunnuksensa luovuttanut, ei ole tehnyt ko. riidanalaisia maksutapahtumia, vaan ko. maksutapahtumat ovat tehneet rikolliset, jotka ovat taidokkaan verkkourkintakampanjansa avulla ja valesivujen kautta saaneet pankin mobiilisovelluksen aktivoimisen edellyttämät pankkitunnus- ja vahvistuskooditiedot asiakkaan puolisolta.  

Pankkilautakunta katsoo tunnusten luovuttamisen pankkitunnusehtojen vastaisesti puolison käyttöön osoittavan asiakkaan suhtautuvan selvästi piittaamattomasti pankin kanssa tekemäänsä pankkitunnuksia koskevaan sopimukseen ja sen ehtoihin. Asiassa saadun selvityksen perusteella lautakunta kuitenkin katsoo, ettei rikollisen pankkitunnusten verkkourkinnan ja oikeudettoman käytön tapahtumisen todennäköisyyttä ole tässä tapauksessa lisännyt se, että asiakas on luovuttanut tunnuksensa puolison käyttöön, ja ettei tunnusten luovuttamisella ja nyt tapahtuneella tunnusten oikeudettomalla käytöllä ole siten sellaista syy-yhteyttä, jonka johdosta asiakas vastaisi asiassa aiheutuneesta vahingosta maksupalvelulain 62 § 1 momentin 1 kohdan perusteella. Lautakunta sen sijaan katsoo, että asiakas on tunnukset puolisolleen luovutettuaan vastuussa puolisonsa hänen tunnuksillaan tekemistä toimista ja puolisonsa huolellisuudesta tunnuksia käytettäessä, ja näin ollen asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa on asiakkaan puolison menettelyn arviointi. Edelleen lautakunta katsoo, että tässä tapauksessa asiakkaan puolison menettelyä on arvioitava samalla tavoin kuin hän olisi itse sopimusehtojen mukainen tunnustenhaltija, mutta kuitenkin sillä erotuksella, että hänen olisi tullut kiinnittää erityistä huomiota tunnusten huolelliseen käyttämiseen käyttäessään tosiasiassa toisen henkilön henkilökohtaisia tunnuksia niitä koskevien ehtojen vastaisesti.

Huolimattomuuden arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla. Pankkilautakunta katsookin, että asiakkaan puoliso on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksia tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puolison puhelimessa rikollisten lähettämä tekstiviesti on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaan puolisolla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakkaan puoliso on verkkosivujen näkymän perusteella edelleen luullut asioivansa puolisonsa pankin kanssa ja on tässä tarkoituksessa käyttänyt puolisonsa pankkitunnuksia, Pankkilautakunta katsoo, ettei asiakkaan puolison laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoittaisi edellä mainituilta osin lievää suurempaa huolimattomuutta, mikäli hän olisi saanut tekstiviestin omalta pankiltaan ja olisi ollut käyttämässä omia pankkitunnuksiaan asioidakseen omaan pankkinsa kanssa.

Pankkilautakunta katsoo, että käyttäessään toisen henkilön henkilökohtaisia pankkitunnuksia ja saatuaan tavanomaisesta pankkiasioinnista poikkeavan tekstiviestin käsityksensä mukaan puolisonsa pankilta, olisi asiakkaan puolison tullut kiinnittää erityistä huomiota puolisonsa tunnusten käyttämiseen ja esimerkiksi keskustella tilanteesta sopimuksen mukaisen tunnustenhaltijan eli puolisonsa kanssa ja pyytää häntä ottamaan esimerkiksi puhelimitse yhteyttä pankkiinsa ja tiedustelemaan menettelyn asianmukaisuutta. Mikäli asiakkaan puoliso olisi näin toiminut, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu mahdollisesti välttyä.

Mentyään kuitenkin linkin kautta, käytettyään avautuneilla sivuilla asiakkaan tunnuksia ja saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin Pankkilautakunta katsoo, että asiakkaan puolison olisi viimeistään tuolloin tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakkaan puoliso olisi tuossa vaiheessa esimerkiksi pyytänyt asiakasta ottamaan yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu todennäköisesti välttyä.

Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Vaikka em. pankin tekstiviestissä ei esimerkiksi varoiteta väärinkäytöksistä eikä kerrota uuden pankin mobiilisovelluksen lataamisesta uudelle laitteelle, todetaan viestissä kuitenkin, että viestissä ollutta vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon ja ettei koodilla voi kirjautua verkkopankkiin.

Tässä tapauksessa – asiakkaan puolison luultua saaneensa puolisonsa pankilta tavanomaisesta asioinnista poikkeavan tekstiviestin ja käytettyä puolisonsa henkilökohtaisia tunnuksia viestissä olleen linkin kautta avautuneilla sivuilla – asiakkaan puolison olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Näin etenkin, kun hän on ollut käyttämässä toisen henkilön henkilökohtaisia pankkitunnuksia. Pankkilautakunta katsookin, että asiakkaan puolison syötettyä linkin kautta avautuneille sivuille puolisonsa tunnusten syöttämisen jälkeen vielä pankin tekstiviestitse lähettämän vahvistuskoodin mahdollisesti lukematta tekstiviestin sisältöä tai ainakin sen sisältöä huomioimatta on asiakkaan puolison menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti puolisonsa pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan puolison menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Tervonen

Tulosta