Haku

FINE-053085

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-053085 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.01.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut pankin aiemmin lähettämien tekstiviestien kanssa samaan viestiketjuun rikollisten pankin nimissä 12.8.2022 klo 9.27 lähettämän tekstiviestin, jossa on lukenut seuraavaa:
”Uusi maksunsaaja on lisätty tänään tilillesi. Jos tämä ei ollut sinun, käy kiireellisesti osoitteessa https://[pankin mobiilisovellus]oyj-fi.com".”
Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla käyttänyt pankkitunnuksiaan kirjautuakseen pankin palveluun.

Rikolliset ovat ladanneet ja aktivoineet käyttöönsä pankin mobiilisovelluksen laitteelle Samsung SM-A035G 12.8.2022 klo 9.32. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 12.8.2022 klo 9.32 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 5273 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]"

Pankin mobiilisovellusta käyttäen on 12.8.2022 klo 9.33 asiakkaan luottokortilta tehty asiakkaan käyttötilille 2.000 euron siirto ja klo 9.41 407 euron siirto. Asiakkaan käyttötililtä on tehty klo 9.34-9.44 em. pankin mobiilisovelluksella vahvistaen viisi oikeudetonta tilisiirtoa yhteismäärältään 7.575 euroa.

Asiakas sulki pankkitunnuksensa kello 9.52.

Asiakkaan valitus

Asiakas vaatii pankkia palauttamaan hänen menettämänsä 7.575 euroa kokonaisuudessaan.

Asiakas sai aamulla 12.8.2022 pankilta tekstiviestin, jossa kerrottiin uuden maksunsaajan lisäämisestä. Viestissä oli linkki ja se kehotti kiireellisesti käymään kyseisessä osoitteessa. Koska viesti tuli samasta numerosta kuin pankin aikaisemmat viestit, asiakas ei osannut epäillä viestin aitoutta. Lisäksi asiakas odotti pankin yhteydenottoa vajaan parin viikon takaiseen verkkopankkiostokseen liittyvässä asiassa, ja ajatteli viestin liittyvän asiaan ja että siihen olisi siksi reagoitava nopeasti.

Asiakas klikkasi linkkiä ja meni linkin takaa auenneelle pankin kirjautumissivustolle ja antoi sinne pankkitunnuksensa. Sivusto pyysi myös kortin tietoja, mutta niitä asiakas ei antanut. Samaan aikaan asiakas yritti myös itse kirjautua omaan nettipankkiinsa omasta pankin mobiilisovelluksestaan, mutta kirjautumisessa oli häiriötä. Asiakas sai pankilta kirjautumiskoodin, jonka syötti, koska ajatteli sen liittyvän omaan kirjautumiseen ja häiriöön siinä.

Kun kirjautuminen ei onnistunut pankin mobiilisovelluksessa, asiakas kävi pankin nettisivuilla, jossa kerrottiin mahdollisista tekstiviestihuijauksista. Asiakas soitti välittömästi sulkupalveluun, jossa kortti suljettiin. Pian sen jälkeen asiakas meni pankin palvelupisteelle, jossa selvisi, että tililtä oli tyhjennetty kaikki asiakkaan varat, yhteensä 7.575 euroa, jotka oli vain noin 10 minuutissa siirretty suomalaiselle, IBAN-koodin perusteella toiselle pankin tilille. Asiakas otti yhteyttä pankkiin välittömästi noin 20 minuutissa, kun ymmärsi, että kyseessä saattoi olla huijaus.

Asiakas ei ole toiminut törkeää huolimattomuutta osoittavalla tavalla, vaan vastuullisesti ja olosuhteisiin nähden riittävän tavalla huolellisesti, eikä hänelle ole sattunut vastaavaa aikaisemmin.  Huomattavaa on, että asiakas on menettänyt huijaustapauksen myötä kaikki säästönsä.

Asiakas on ollut pankin asiakas jo yli kymmenen vuoden ajan, eikä asiakkaalla ole aikaisemmin ole ollut minkäänlaisia ongelmia pankin tai pankkipalvelujen suhteen. Siksi asiakkaalla ei nytkään ollut minkäänlaista syytä epäillä pankin luotettavuutta, sen tietoturvaa, pankilta tulevia tekstiviestejä tai aidolta näyttävää pankin sivustoa. Digitaalisena aikana pankit ovat yhteydessä asiakkaisiinsa monin eri tavoin ja ko. viesti tuli samasta numerosta kuin pankin aikaisemmat viestit. Asiakkaan ei voida edellyttää ymmärtäneen, ettei viesti ollut pankin lähettämä eikä asiakkaalla voida katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta. Lisäksi asiakkaalla on ollut vireillä asia pankissa, johon liittyen on luullut saamansa tekstiviestin liittyneen. Asiakas on toiminut varomattomasti, kun on avannut linkin, mutta ei törkeän huolimattomasti.

Kyseiset tekstiviestihuijaukset ovat olleet jo alkukesästä pankin tiedossa ja asiakas olisi odottanut, että hyvään asiakaspalveluun kuuluu asiakkaiden tiedottaminen asiasta suoraan esimerkiksi nettipankin välityksellä tai muulla tavalla. Pankin nettisivuilla tiedottaminen ei ole riittävä keino tiedottaa näin vakavasta ja ilmeisen laaja-alaisesta ongelmasta, vaan asiasta tulisi kertoa ennen nettipankkiin kirjautumista sekä nettipankissa, esim. varoitusbannerissa. Pankin tietoturvan oltua erityisen haavoittuvainen kesän aikana (ml. lukuisat vastaavat tekstiviestihuijaukset) pankin olisi tullut ottaa asiakkaaseen suoraan yhteyttä (esim. verkkopankin kautta) varoittaakseen asiasta etukäteen.

Pankin ehdot ovat olleet saatavilla pankin nettisivuilla vain suomeksi ja ruotsiksi. Asiakkaan äidinkieli ei ole kumpikaan. Asiakas ei ole myöskään seurannut pankin sivujen yleisiä tiedotteita, koska ne ovat suomen kielellä. Pankkien tulee tarjota saavutettavia ja yhdenvertaisia digitaalisia palveluja, millä tarkoitetaan, että verkkosivustot ja mobiilisovellukset ovat sellaisia, että kuka tahansa voi niitä käyttää ja ymmärtää, mitä niissä sanotaan. Saavutettavuus edistää yhdenvertaisuutta digitaalisessa yhteiskunnassa ja selkeä kieli on keskeinen osa hyvää saavutettavuutta. Myöskään kielellinen yhdenvertaisuus ei ole asiakkaan kohdalla toteutunut.

Pankin hyvä tietoturva sekä pankin nimissä olevien huijaussivustojen sulkeminen sekä samasta numerosta tulevien tekstiviestien estäminen pitäisi olla ennen kaikkea pankin — ei asiakkaan — vastuulla. Kun isompia tilisiirtoja tehdään, tulisi näiden yhteydessä käyttää suojaavia vahvistustoimenpiteitä. Tällaisia ei ole asiakkaan kohdallani mitenkään pyydetty.

Pankin vastine

Tapahtumankulku

Asiakas on vastaanottanut pankin nimissä lähetetyn huijaustekstiviestin 12.8.2022 klo 9.27. Asiakas kertoo, että hän on avannut kyseisen huijaustekstiviestin sekä syöttänyt linkin takaa avautuneille huijaussivuille pankkitunnuksensa. Asiakkaan syötettyä verkkopankkitunnuksensa huijaussivustolle ja rikollisen siten saatua ne tietoonsa, on rikollinen aloittanut pankin mobiilisovelluksen käyttöönoton rikollisen laitteeseen asiakkaan tunnuksia käyttäen. Sovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja tunnuslukutaulukon satunnaisesti valittu tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi, jonka pankki on lähettänyt asiakkaan puhelinnumeroon tekstiviestillä 12.8.2022 klo 9.32.

Asiakas on todennut, että hän oli myös yrittänyt kirjautua pankin mobiilisovellukseen omassa puhelimessaan, jonka vuoksi erehtyi antamaan sovelluksen lataamiseen tarvittavan koodin, sillä ajatteli sen liittyvän omaan kirjautumiseensa, joka ei kuitenkaan onnistunut. Asiakkaan on siten täytynyt syöttää pankin mobiilisovelluksen lataamiseen tarvittava vahvistuskoodi huijaussivustolle. Pankin lähettämässä viestissä erikseen kielletään syöttämästä koodia verkkosivustolle ja kerrotaan, että koodi tulee syöttää ainoastaan pankin mobiilisovellukseen.

Asiakkaan syötettyä myös pankin mobiilisovelluksen lataamiseen tarvittavan vahvistuskoodin huijaussivustolle, on rikollinen onnistuneesti ottanut käyttöön pankin mobiilisovelluksen laitteelle Samsung SM-A035G klo 9.32. Kaikki asiakkaan reklamoimat tapahtumat on vahvistettu tällä Samsung-laitteelle ladatulla pankin mobiilisovelluksella aikavälillä 9.33-9.44. Asiakas sulki pankkitunnuksensa klo 9.52.

Asiakas on todennut, että hänen äidinkielensä ei ole suomi ja että hän ei ymmärrä riittävän hyvin suomen kieltä. Asiakas on ollut pankin asiakas jo yli kymmenen vuoden ajan ja asioinut pankin kanssa suomeksi.Tähän reklamaatioasiaan liittyvät vastineet on kirjoitettu suomen kielellä. Hän ei ole vedonnut tähän kielitaidon puutteeseen aikaisemmin, vaikka on esimerkiksi solminut verkkopankkitunnussopimuksen pankin kanssa jo vuonna 2008. Lisäksi pankin digitaalisten palveluiden ehdoissa asiointikielestä todetaan, että sopimus tehdään suomeksi tai ruotsiksi ja että pankin kanssa asioidessa käytetään suomen tai ruotsin kieltä ja mikäli asiakas ei osaa näitä kieliä, voi hän asioida tulkin avustuksella. Digitaalisten palveluiden yleisten ehtojen mukaan
Sopimus tehdään suomeksi tai ruotsiksi. Voit käyttää asioidessasi suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista.

Asiakas on lisäksi selittänyt huolimattomuuttaan siten, että hänellä on ollut tähän asiaan liittymätön reklamaatioasia vireillä pankissa, johon liittyen hän on luullut saavansa tekstiviestin. Asiakas on käynyt 1.8. asiakaspalvelupisteellä ja kertonut, että on tehnyt verkossa ostoksen ja joutunut huijauksen uhriksi. Asiakas on tuolloin tehnyt korttireklamaation asiakaspalvelupisteellä ja lisäksi häntä on neuvottu olemaan pankkiin yhteydessä verkkoviestitse mahdollisten lisätietojen antamiseksi. Asiakas vastaanotti huijausviestin 12.8. ja kuvitteli siis tämän huijaustekstiviestin liittyvän hänen reklamaatioasiaansa, vaikka asiakas oli jo 1.8. tehnyt korttireklamaation ja häntä oli ohjeistettu jatkamaan pankin kanssa viestittelyä verkkoviestein. Huijaustekstiviestin sanallisen sisällön ei voida ajatella liittyvän reklamaatioasian hoitamiseen. Mikäli asiakas olisi tässä vaiheessa ottanut itse yhteyttä pankkiin tiedustellakseen vastaanottamansa (huijaus)viestin tarkoitusta, olisi asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Jos asiakas epäili, että hänen vastaanottamansa viesti liittyi jotenkin hänen reklamaatioasiansa hoitamiseen, olisi hän voinut kirjautua verkkopankkiinsa tavallisesti käyttämiään kanavia pitkin ja tarkistaa tilanteen. Asiakas on ollut yllä kuvatusti pitkään pankin asiakas ja hoitanut viestintäänsä pankin suuntaan esimerkiksi verkkoviestein. Näin ollen asiakkaalle olisi tullut olla selvää, että tekstiviesti ei ole normaali viestintäkanava pankkiasioiden hoitamiseen.

Lopuksi

Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköiset tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.

Asiakas on luovuttanut verkkopankkitunnuksensa niitä koskevien ehtojen nimenomaisen kiellon vastaisesti verkkosivulle, johon sai linkin tekstiviestillä. Pankki katsoo myös, että asiakkaan on täytynyt antaa testiviestillä pankin lähettämä vahvistuskoodi pankin sivuja muistuttavalle huijaussivulle. Asiakas oli mielestään kirjautumassa verkkopankkiin estääkseen uuden maksunsaajan lisäämisen, mutta silti käytti koodia, joka selkeän sanamuotonsa mukaan tarvittiin pankin mobiilisovelluksen käyttöönottoon ja jota viestin mukaan ei saa syöttää muualle kuin pankin mobiilisovelluksen. Näillä perusteilla pankki katsoo, että asiakkaan on täytynyt toimia törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen tunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
  • Kuvakaappaus asiakkaan rikollisilta pankin nimissä saamasta tekstiviestistä 12.8.2022 klo 9.27 samassa viestiketjussa asiakkaan pankilta saaman pankin mobiilisovelluksen vahvistuskoodin sisältävän tekstiviestin kanssa

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt tapauksessa selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle Samsung SM-A035G -laitteelleen. Tämän johdosta pankki on lähettänyt 12.8.2022 klo 9.32 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 5273 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]"

Pankkilautakunta katsoo, että asiassa saadun selvityksen perusteella ei ole muuta mahdollisuutta kuin että asiakas on syöttänyt myös tekstiviestitse saamansa koodin rikollisten luomilla valesivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen, jolla vahvistaen kyseessä olevat oikeudettomat maksutapahtumat on tehty.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien oikeiden viestien kanssa. Edelleen lautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Asiakkaan mukaan sivusto pyysi myös kortin tietoja, mutta niitä asiakas ei antanut, ja asiakas yritti samaan aikaan myös itse kirjautua omaan nettipankkiinsa omasta pankin mobiilisovelluksestaan, mutta kirjautumisessa oli häiriötä. Asiakas sai pankilta kirjautumiskoodin, jonka hän syötti, koska ajatteli sen liittyvän omaan kirjautumiseen ja häiriöön siinä.

Pankkilautakunta on jo edellä katsonut, että pankin mobiilisovelluksen vahvistuskoodin on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Näin ollen asiakas ei tosiasiassa ole avannut puhelimessaan ollutta pankin mobiilisovellusta, vaan on pankin mobiilisovelluksen vahvistuskoodin saatuaan asioinut edelleen valesivuilla.

Asiassa on jäänyt epäselväksi, millä verukkeella sivuilla on pyydetty asiakasta syöttämään korttitietonsa, mutta Pankkilautakunta katsoo joka tapauksessa, että asiakkaan olisi huolellisesti toimiessaan tullut jo tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta.

Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta selaimella tapahtuvasta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.

Aiemmassa ratkaisukäytännössään Pankkilautakunta on katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole ottamassa pankin mobiilisovellusta käyttöön. Mikäli asiakas olisi viimeistään em. viestin saatuaan ottanut viestissä olleen ohjeen mukaisesti itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Saadun selvityksen perusteella ja erityisesti valesivuilla tapahtunut korttitietojen pyytäminen ja pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia