Tapahtumatiedot
Pankin mobiilisovellus on ladattu ja aktivoitu käyttöön laitteelle iPhone 12 15.8.2022 kello 13.40. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 15.8.2022 klo 13.40 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 3520 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki].”
Em. pankin mobiilisovellusta käyttäen on asiakkaan kahdelta tililtä tehty 16.8.2022 klo 1.39 – 17.8.2022 klo 4.31 välisenä aikana tilisiirtoja yhteismäärältään 8.771,85 euroa.
Asiakas on itse em. aikavälillä käyttänyt iPhone 7 -laitteessaan olevaa pankin mobiilisovellustaan 16.8.2022 Klo 8.43-8.45 ja tallettanut laskun maksun eräpäivältään 29.8.2022.
Asiakas on sulkenut pankkitunnuksensa 17.8.2022 kello 9.12.
Laitteelle iPhone 12 aktivoidulla pankin mobiilisovelluksella tehtyjä yhteismäärältään 8.771,85 euron siirtoja on saatu pankin tekemillä palautuspyynnöillä palautettua takaisin asiakkaan tilille 17.8.-10.10.2022 välisenä aikana yhteensä 4.600,00 euron määrästä ja palauttamatta on näin ollen jäänyt 4.171,85 euroa.
Asiakkaan vaatimukset
Asiakas vaatii tililtään puuttuvien 4.171,85 euron palauttamista viipymättä.
Asiakkaan huolimattomuudesta tämä ei johdu. Pankki itse on toiminut huolimattomasti ja vastuuttomasti, kun ei ole kunnolla tutkinut edes tietoturva-aukkoa, joka heillä järjestelmässä on tai oli.
Asiakas on äärimmäisen huolellinen raha-asioitaan koskevissa tilanteissa. Asiakas ei myöskään säilytä tunnuksiaan tai puhelintaan huolimattomasti. Ainoastaan muistissaan olevia salasanoja asiakas ei ole koskaan minnekään muistiin kirjoittanut eikä myöskään kenellekään kertonut tai antanut. Tunnuslukutaulukkoa asiakas säilyttää paikassa, jota edes puoliso ei tiedä eikä se koskaan ole ollut hukassa. Puhelin ei ole koskaan ollut hukassa, se on aina asiakkaan mukana ja puhelimen aukaisuun tarvittava koodi on vain asiakkaan päässä eikä hän ole sitä koskaan kenellekään antanut. Myös puhelimessa oleva pankin mobiilisovellus vaatii tunnusluvun, joka on vain asiakkaan päässä. Asiakas ei kaiketi voi mitenkään todistaa, että ei ole tunnuksiaan kenellekään antanut eikä puhelimen koskaan ole mitenkään voinut joutua vääriin käsiin.
Asiakas ei ole saanut huijausviestejä puhelimeen, eikä koskaan ole klikannut mitään linkkejä tai antanut tunnuksiaan ylipäätään kenellekään. Asiakas ei koskaan avaa roskaposteja, vaan tyhjentää ne suoraan roskakoriin. Myöskään mitään outoja puheluita ei ole asiakkaalle tullut. Asiakas ei ikinä käytä osoitteen hakemiseen googlea tai muutakaan hakukonetta.
Asiakkaalla ei ole mitään mielikuvaa, että hän olisi vastaanottanut pankin mukaan hänelle lähetetyn vahvistuskoodin sisältäneen tekstiviestin eikä asiakkaan puhelimesta viestiä löydy. Niin erikoinen viesti pitäisi muistaa, jos se olisi perille tullut. Ainoat viestit, joita pankista on tullut, ovat olleet vahvistuskoodeja, joita kirjautumiseen/tunnistautumiseen liittyen on lähetetty. Lisäksi pankista on tullut yksi palautekyselyviesti, johon asiakas ei vastannut.
Pankin mobiilisovellukseen asiakas ei ole koskaan tarvinnut käyttää muuta koodia kuin sitä, jolla sinne myös kirjautuu eikä hän ole saanut tekstiviestikoodeja mobiilisovelluksessa käytettäväksi. Haittaohjelmaa puhelimessa ei ole, se on tarkastettu.
Asiakas muisti aiemmin, että olisi käynyt maksamassa kuvaliikkeen laskun 15.8., mutta hän onkin saanut laskun 15.8. postin mukana vasta töiden jälkeen illalla, joten ei ole laskua pankissa tallentanut maksuun 15.8., vaan vasta 16.8. Asiakas on tunnistautunut 17.8. työterveyden sivuille ja siinä yhteydessä tapahtui jotain outoa, mutta silloin asiakkaan rahat oli jo viety. Sivut kysyivät tunnuslukutaulukon koodia, joka ei mennyt läpi ja sitten perään uuden tunnuslukutaulukon koodia. Asia oli niin outo, että asiakas kirjautui verkkopankkiin tarkastamaan tunnuslukutaulukkoasiaa ja vasta silloin 17.8. aamulla oikeudettomat nostot näkyivät tilillä. Eli myöhemmin kuin pankin lokitiedot kertovat. Asiakas oli sivuille kirjautunut samoihin aikoihin Omakantaan kirjautumisen kanssa.
Huomattuaan nostot asiakas ryhtyi välittömästi toimenpiteisiin. Tilanne oli jotenkin paniikinomainen, kun ei heti saanut tunnuksia suljettua. Verkkopankissa oli vain robotti, joka ei ymmärtänyt pyyntöjä, ja asiakas sai asiakaspalvelijan kiinni vasta klo 9 jälkeen, jolloin tunnukset suljettiin.
Asiakkaasta pankin tärkein tehtävä on suojata asiakkaiden rahat tileillä, joten jos poikkeuksellisia tilisiirtoja tapahtuu peräjälkeen monta, niin pankin pitäisi tähän reagoida blokkaamalla suoritukset ennen asiakkaan vahvistusta ja olla yhteydessä asiakkaaseen. Pankin olisi pitänyt reagoida nopeammin ja esim. palautuspyynnöt rahoista olisi pitänyt laittaa jo aamupäivällä 17.8.2022. Poliisin mukaan nopealla reagoinnilla rahojen takaisin saamisessa on suuri merkitys. Pankista on myös uutisoitu, että henkilö on päässyt toisen henkilön pankin mobiilisovellukseen kirjoittamalla väärän tunnusluvun ja vahvistamalla omalla sormenjäljellään kirjautumisen. On siis mahdollista, että sinne pääsee muutenkin kuin syyttämällä aina asiakasta törkeästä huolimattomuudesta ja tunnuksien luovuttamisesta ulkopuoliselle. Asiakas epäilee, että jotenkin asia liittyy pankin tietomurtoon, vaikka pankki on asiasta eri mieltä. Tämän on täytynyt tapahtua pankin sisällä, koska asiakas ei ole tunnuksiaan antanut. Asiakas ihmettelee myös, ettei pankissa tiedetä, mitkä rahat ovat asiakkaalle palautuneet.
Asiakas epäilee, ettei pankki edes tutkinut asiaa kunnolla, vaan jo heti aluksi asiakas leimattiin virheen tekijäksi. Asiakas ei saanut itse kirjoittaa reklamaatiota, sen teki pankin kassalla istunut henkilö eikä asiakas ei tiedä, mitä reklamaatiossa tarkalleen luki, eikä saanut siitä kopiota.
Asiakas ei mitenkään koe olevansa syyllinen tunnuksiensa vuotamiseen ulkopuoliselle. Asiakas on toiminut niin tarkasti ja huolellisesti kuin se ikinä mahdollista on ollut. Jos sitten tunnukset kopioidaan esim. Kantaan kirjautuessa silloinkin, kun osoite on tarkastettu ja sivun hakuun on käytetty tietokoneen selainta (asiakas ei ikinä käytä osoitteen hakemiseen hakukonetta) niin voiko mitenkään itse suojautua näiltä rikollisilta.
Palveluntarjoajan kanta
Kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, jonka käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin asiakkaalle tekstiviestillä 15.8.2022 kello 13.40.
Asiakas kertoo tapahtuman kulusta lähinnä korostaen, ettei mitään erikoista ole tapahtunut. Asiakas kiistää jyrkästi luovuttaneensa tietoja minnekään ja kertoo ettei ole vastaanottanut pankin mobiilisovelluksen lataamiseksi tarvittavaa SMS-viestiä. Lokitietojen mukaan tekstiviesti on toimitettu kuitenkin perille 15.8.2022 klo 13.40.17.
Asiakkaan puhelimessa oleva FluBot-haittaohjelma voisi selittää, kuinka rikollinen on saanut tietoonsa asiakkaan puhelimeen lähetetyn tekstiviestin vavistuskoodin, mutta FluBot-haittaohjelmaa ei levitetä iPhone-puhelimiin. Lisäksi asiakkaan olisi tullut ladata haittaohjelma puhelimeensa ohittaen useita varoituksia.
Pankki katsoo lokitietonsa olevan oikeassa. Pankin lokitiedot kertovat seuraavaa: Mobiilisovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle Apple iPhone 12,8 15.8.2022 kello 13.40. Klo 13.39-15.57 välillä asiakkaan verkkopankkitunnuksia on käytetty ainoastaan pankin mobiilisovelluksen lataamiseen rikollisen laitteelle. Asiakas ei kirjautumistietojen mukaan ole itse kirjautunut verkkopankissa/omassa pankin mobiilisovelluksessa tuona päivänä.
Asiakas kuitenkin kertoo rikosilmoituksessa käyneensä 15.8.2022 pankin mobiilipankissa maksamassa laskun. Koska lokitiedot osoittavat muuta, on mahdollista, että asiakas on tässä vaiheessa syöttänyt tietonsa huijaussivustolle. Pankin järjestelmiin ei jää tällöin jälkeä, koska sivu ei ole pankin.
16.8.2022 klo 01.23-3.05 ja 8.45-22.34 on toimintaa rikollisen laitteella iPhone 12. Klo 8.43-8.45 näkyy tapahtumia asiakkaan omalla pankin mobiilisovelluksella iPhone 7:Ila ja tämä on asiakkaan ensimmäinen oma kirjautuminen 16.8.2022. Asiakkaan viittaaman laskun maksu on tallennettu asiakkaan toimesta 16.8.2022 ja eräpäivä maksussa on ollut 29.8.2022, jolloin se on lähtenyt tililtä. Kirjautumistietojen mukaan näyttää siltä, että asiakas on kirjautunut pankin mobiilisovellukseen klo 8.43 ja käynyt katselemassa omia tietoja ja eri sivuja, kuten kortit, tilit, säästöt, lainat, lukemattomat viestit. Pankki pitää erikoisena, että asiakas ei ole kiinnittänyt huomiota outoihin tilitapahtumiin tilillään, vaikka on asioinut verkkopankissa tapahtumien jälkeen. Asiakkaan olisi tullut havaita aamuyöllä tehdyt epämääräiset maksutapahtumat tilillään.
17.8.2022 klo 7.32-9.14 näkyy asiakkaan omalla laitteella verkkopankin käyttöä ja pankin mobiilisovellusta. Asiakas on sulkenut pankkitunnuksensa 17.8.2022 kello 9.12.
Lokitietojen mukaan rikollinen ei ole tunnistautunut ulkopuolisiin palveluihin rikollisen lataamalla pankin mobiilisovelluksella. Trustly Group Ab on maksulaitos, joka välittää maksuja kuten perinteiset pankitkin tekevät. Pankki ei tiedä kenelle Trustly maksulaitos on välittänyt maksut ja ainoastaan Trustly voi selvittää lopullisen maksunsaajan. Tavallisesti rikolliset siirtävät maksut välittömästi ulkomaille.
Asiakas on reklamoinut tapahtumat myös toimipisteellä. Asiakas väittää, ettei ole nähnyt reklamaatiolomaketta. Toimihenkilö on kirjoittanut tekstin asiakkaan kertomuksen perusteella, tulostanut asiakirjan ja antanut sen asiakkaalle luettavaksi ja allekirjoitettavaksi. Reklamaatiolomakkeessa on asiakkaan käsin kirjoitettu allekirjoitus, joka vahvistaa, että asiakas on vahvistanut reklamaation sisällön paikkaansa pitäväksi ja vahvistaa asiakkaan nähneen reklamaation sisällön. Reklamaatio on kirjoitettu tietokoneella, eikä sitä ole muutettu asiakkaan allekirjoitettua tulostetun reklamaatiolomakkeen. Pankki kuitenkin pahoittelee, jos toimihenkilö unohti antaa asiakkaalle jäljennöksen reklamaatiosta.
Lopputulos
Pankin järjestelmistä saatavat tiedot siis osoittavat, että asiakkaan verkkopankkitunnukset ja matkapuhelimeen toimitettu vahvistuskoodi ovat olleet ulkopuolisen tiedossa. Tämä on selitettävissä vain niin, että joko asiakas antoi erehdyksessä tiedot huijaussivulle yrittäessään maksaa laskuja tai säilytti tunnuslukutaulukkoaan ja matkapuhelintaan niin huolimattomasti, että ne ovat päätyneet ulkopuoliselle ja ulkopuolinen pystyi jopa palauttamaan puhelimen takaisin asiakkaalle hänen huomaamattaan.
Pankin verkkopankkitunnukset ovat sekä maksupalvelulain mukaiset maksuvälineet että tunnistuslain mukaiset vahvat sähköisen tunnistusvälineet. Tunnistuslain (laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 27 §) mukaan asiakas on vastuussa tunnistusvälineen kaikesta oikeudettomasta käytöstä, jos se johtuu hänen huolimattomuudestaan, joka ei ole lievää.
Pankki katsoo asiakkaan toimineen törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan täysimääräisesti tunnistuslain 27 §:n mukaisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hyväksytyistä, hänen tililtään tehdyistä tilisiirroista.
Asiakas on myös vaatinut GDPR tietojaan, ”jotka pankista on rikollisille vuotanut!" Asiakkaan tiedot eivät ole vuotaneet pankista, vaan verkkopankin sisältöä on päästy tarkastelemaan asiakkaan verkkopankkitunnuksilla rikollisen lataaman pankin mobiilisovelluksen avulla. GDPR-kyselyyn asiakas saa vastauksen verkkopankkiinsa sen valmistuttua.
Asiakas on kysynyt, miksi hän on saanut rahoistaan takaisin 4.500 euroa, vaikka pankki katsonut hänen olevan törkeän huolimaton. Kyse on pankkien välisen maksujen palautusprosessin kautta takaisin saaduista varoista. Oikeudettomasti tehtyjen maksujen varoja voidaan saada takaisin mm. muilta maksupalveluntarjoajilta tai rikostutkinnan yhteydessä tehtyjen takavarikkojen perusteella. Rikostutkinnan kautta palautettujen varojen yksilöinti on vaikeaa, koska palautukset tulevat useana eri summana ja useaa kanavaa pitkin. Rikolliset pyrkivät harhauttamaan pankkeja ja poliisia suorittamalla erisuuruisia maksuja eri ihmisille. Näin palautuksissa on harvoin kyse yksittäisen kokonaisen maksun palautuksesta.
Valitettavasti rikollisten tekemien monimutkaisten tilisiirtojen ja prosessien selvittäminen on käytännössä mahdotonta. Viitenumerolla voidaan yritysten kirjanpidossa liittää yhteen yrityksen lähettämä lasku ja laskun maksua koskeva tilisiirto. Viitenumeroa käytetään vain yritysten viitesiirroissa. Maksun peruste voidaan merkitä myös tilisiirron viestikenttään kirjoitettavalla vapaamuotoisella tekstillä. Pankki pahoittelee, että ei ole pystynyt yksilöimään tarkemmin minkä eri maksujen osasista pankin tekemät palautukset ovat muodostuneet. Tämän vuoksi pankki on kertonut tilisiirron perusteen vain viestillä " Palautus". Maksun välitykseen osallistuville palveluntarjoajille lähetettyjen palautuspyyntöjen tekoajakohdalla ei ole lopputuloksen kannalta suurta merkitystä, ellei palautuspyyntöä päästä tekemään välittömästi maksun toteutuksen jälkeen. Rikolliset siirtävät varat eteenpäin lähes reaaliaikaisesti. Tässä asiakkaan tapauksessa palautuspyyntöjen teon ajankohdalla ei ole merkitystä sen vuoksi että varat on saatu takaisin rikollisten tekemistä, toisten huijattujen asiakkaiden tileille ja/tai sijoituksiin jääneistä varoista.
Asiakkaan huolimattomuudella ei ole vaikutusta palautuspyyntöjen kautta saatujen varojen palauttamiseen. Pankki katsoo asiakkaan toimineen törkeän huolimattomasti kaikkien tililtä lähteneiden maksujen osalta. Pankin ja poliisin mahdollisuudet pysäyttää maksuja ja saada niitä jälkikäteen palautettua ei riipu asiakkaan menettelystä.
Sopimusehdot ja lainsäädäntö
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Ratkaisusuositus
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
FINE toteaa vastuun pankkitunnusten huolellisesta säilyttämisestä ja käyttämisestä olevan maksupalvelulain ja tunnistuslain sekä pankkitunnusehtojen mukaan tunnusten haltijalla. Tämä on luonnollista ottaen huomioon sen, että viime kädessä - riippumatta esimerkiksi tunnusten myöntäjän ohjeistuksesta tai niitä koskevien sopimusten ehdoista - ainoastaan tunnusten haltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän tunnuksiaan säilyttää ja käyttää.
Tilanteissa, joissa maksuvälinettä on käytetty oikeudetta, on maksuvälineen haltijan ja maksuvälineen myöntäjän välisen vastuunjaon kannalta pääsääntöisesti ratkaisevaa se, kuinka huolellisesti maksuvälineen haltijan voidaan katsoa menetelleen maksuvälineensä suhteen. Jotta maksuvälineen haltijan huolellisuutta voitaisiin arvioida, on saatava selvitystä siitä, missä olosuhteissa ja millä tavoin hän on maksuvälinettään säilyttänyt ja käyttänyt ja miten se on päätynyt ulkopuolisen haltuun/tietoon/käyttöön. Parhaat mahdollisuudet selvityksen antamiseen on lähtökohtaisesti maksuvälineen haltijalla ja hänen vaatiessa maksuvälineen myöntäjää ottamaan vastuun maksuvälineen oikeudettomasta käytöstä, voidaan maksuvälineen haltijan edellyttää antavan oman selvityksensä tapahtumista ja omasta menettelystään. Tietoa tapahtumienkulun yksityiskohdista ei aina ole mahdollista saada eikä myös maksuvälineen haltijalta voida edellyttää, mutta hänen voidaan aina edellyttää antavan selvityksen tapahtumista ja omasta menettelystään.
Tässä tapauksessa pankki on esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Asiakkaan kertoman mukaan hän ei ole luovuttanut tunnuksiaan kenellekään eikä säilyttänyt tunnuksiaan tai puhelintaan huolimattomasti. Asiakkaan antaman selvityksen mukaan hän ei ole käyttänyt tunnuksiaan 15.8.2022 iltapäivällä eikä asiakas ole myöskään saanut pankin selvityksen mukaan asiakkaan puhelinnumeroon pankin 15.8.2022 klo 13.40 lähettämää tekstiviestiä, jossa on ollut pankin mobiilisovelluksen käyttöönoton edellyttämä vahvistuskoodi.
FINE katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen ja erityisesti asiakkaan asiassa kertoman perusteella olennaisilta osin epäselväksi. FINEn ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettomien maksutapahtumien toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä asiakkaalta rikollisten tietoon saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.
Lopputulos
Ohjesääntönsä mukaan FINE voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. FINE katsoo, että tässä tapauksessa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä FINE näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää. Keskeisen tapahtumainkulun jäädessä tällä tavoin epäselväksi FINE päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.
FINE
Vakuutus- ja rahoitusneuvonta
Jaostopäällikkö Sainio
Esittelijä Hidén