Haku

FINE-055826

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-055826 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 21.03.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 8.10.2022 tekstiviestin, joka on näyttänyt tulleen pankin puhelinnumerosta ja jossa on lukenut, että asiakkaan kortti on poissa käytöstä epäilyttävän käytön takia ja että hänen tulisi aktivoida kortti uudelleen käyttöön annetusta linkistä. Asiakas on avannut linkin ja syöttänyt verkkopankkitunnuksensa sivulle.

Pankki on lähettänyt asiakkaan puhelinnumeroon pankin mobiilisovelluksen käyttöönottoon vaadittavan tekstiviestin, jossa on todettu seuraavaa:

”Read this carefully! Your user ID is used on a new phone with the name phone to enable [pankin tunnistusväline] and [pankin mobiilisovellus]. To prevent fraud, continue only if you yourself have downloaded the [pankin mobiilisovellus] app and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your new phone, enter code 40819 on the [pankin mobiilisovellus] app. Don't enter or give this code anywhere else. If you suspect fraud, call [pankki] Deactivation Service immediately. [Pankki]”

Asiakkaan pankkitunnuksilla (käyttäjätunnus, salasana ja vaihtuva avainlukulistanumero) ja viestissä olevalla vahvistuskoodilla on otettu käyttöön klo 14:52 asiakkaan nimiin pankin mobiilisovellus ja siinä oleva tunnistusväline uudella laitteella. Asiakkaan pojan tililtä tehtiin ensin tilisiirto asiakkaan tilille. Tämän jälkeen em. mobiilisovelluksella on hyväksytty klo 14:58–15:06 asiakkaan tililtä viisi tilisiirtoa, joiden yhteissumma oli 1.463 euroa. 

Asiakkaan pankkitunnukset on suljettu samana päivänä klo 16:12 asiakkaan soitettua sulkupalveluun.

Asiakkaan valitus

Asiakas on kertonut avanneensa saamassaan tekstiviestissä olevan linkin, koska viesti oli samassa ketjussa pankin viestien kanssa ja hän halusi saada korttinsa toimimaan. Auennut sivu näytti pankin sivuilta. Asiakas syötti verkkopankkitunnukset ja hän sai pankin lähettämän vahvistuskoodin. Vahvistuskoodin sisältävä viesti oli englanniksi, kuten joskus aiemminkin, mutta se ei vaikuttanut epäilyttävältä. Asiakas osaa englantia. Myöhemmin asiakas on pohtinut, olisiko pankin tullut lähettää kaikki viestit suomeksi, koska se on hänen asiointikielensä.

Pari tuntia myöhemmin asiakkaan puoliso huomasi, että pojan tililtä oli viety rahaa, ja asiakas soitti sulkupalveluun. Myöhemmin selvisi, että myös asiakkaan tili oli tyhjennetty. Rahat oli siirretty ulkomaille.

Lauantaina 8.10.2022 asiakasta neuvottiin menemään arkena pankin konttoriin hakemaan uudet pankkitunnukset ja tekemään rikosilmoituksen. Asiakas laittoi pankkiin myös viestiä, että pankki tekisi rahoista palautuspyynnöt. Palautuspyynnöt on tehty 12.10.2022. Miksei pankki ollut asiakkaaseen yhteydessä epäilyttävien tilisiirtojen osalta jo heti 8.10.? Jos pankki olisi toiminut nopeammin, olisiko asiakas voinut saada rahansa takaisin palautuspyyntöjä vastaan?

Asiakkaan mukaan hän ei ole toiminut törkeän huolimattomasti. Asiakas vaatii pankkia korvaamaan hänelle ja pojalleen yhteensä 1.463 euroa.

Pankin vastine

Pankki on vastineessaan todennut, että asiakkaan reklamoimat tilisiirrot on tehty asiakkaan tililtä verkkopalvelussa vahvasti sähköisesti tunnistautuneena. Tilisiirrot on vahvistettu pankin mobiilisovelluksella aikavälillä 14:58-15:06, ennen kuin tunnukset on suljettu klo 16:12 ja pankki on saanut tiedon tapahtuneesta.

Pankki on lähettänyt asiakkaan tunnuksiin 1.9.2017 lähtien liitettyyn lisävahvistuspuhelinnumeroon mobiilisovelluksen käyttöönottoon vaadittavan englanninkielisen tekstiviestin.

Asiakas kertoo osaavansa englantia. Tekstiviestissä on nimenomaisesti kerrottu, että tun­nusta ollaan käyttämässä uuden pankin tunnistusvälineen luontiin, uudella puhelimella nimeltään "phone". Viestissä kerrotaan, että väärinkäytöksen estämiseksi tulee jatkaa vain, jos on itse ladannut pankin mobiilisovelluksen ja on aktivoimassa uutta tunnistusvälinettä. Viestissä on ollut koodi, jolla tunnistusvälineen saa aktivoitua uuteen puhelimeen. On ohjeistettu, että koodia ei tule antaa mihinkään muualla kuin itse pankin mobiilisovellukseen.

Asiakkaan tunnuksilla on otettu käyttöön uusi tunnistusväline 8.10.2022 klo 14:52. Reklamoidut tilisiirrot on vahvistettu tällä.

Pankki on useaan otteeseen varoittanut asiakkaitaan tietojenkalastelusta mm. 25.2.–20.7.2022 pankin verkkosivuilla annetuilla tiedotteilla. Pankki katsoo, että ylei­sen tietämyksen ja pankin antamien varoitusten perusteella asiakkaan tulisi olla tietoinen tunnusten turvallisesta ja huolellisesta käytöstä. Tässä tapauksessa asiakkaan tililtä tehdyt tilisiirrot on vahvistettu käyttöön otetulla tunnistusvälineellä. Jotta ri­kollinen taho on voinut aktivoida uuden tunnistusvälineen, on tällä tullut olla verkkopalvelutunnuksen kaikki osat, eli käyttäjätunnus, salasana, vaihtuva avainlukulistanumero sekä asiak­kaan lisävahvistusnumeroon lähetetyn tekstiviestin sisältämä aktivointikoodi.

Pankin lähettämässä tekstiviestissä on ollut yksityiskohtainen ohje tunnistusvälineen aktivoimiseen ja miten tulee toimia, jos ei itse ole suorittamassa uuden laitteen aktivointia. Jos asiakas olisi noudattanut ohjeistusta, olisi väärinkäytöksen aiheuttamilta vahingoilta voitu välttyä.

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen mukaan verkkopalvelutunnuksia tai osaa niistä ei saa näppäillä matkapuhelimeen tekstiviestillä tulleen pyynnön perusteella puhelinlaitteeseen, ellei kyse ole pankin verkkopalvelusta tai muusta pankin hyväksymästä palvelusta tai sovelluksesta.

Asiakas vastaa verkkopalvelutunnusten oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, jos oikeudeton käyttö johtuu siitä, että asiakas on huolimattomuudestaan laiminlyönyt verkkopalvelustunnusten yleisten ehtojen mukaisia velvollisuuksiaan ja asiak­kaan huolimattomuuden katsotaan olevan törkeää. Pankki katsoo, että asiakkaan toiminta on ollut kokonaisuus huomioon ottaen maksupalvelulain mukaisesti törkeän huolimatonta eikä pankki näin ollen ole vastuussa aiheutuneesta vahingosta.

Selvitykset

Osapuolten välisten kirjelmien lisäksi FINElle on toimitettu poliisin 17.10.2022 päivätty ilmoitus tutkinnan päätöksestä ja pankin tunnusten ja verkkopalveluiden yleiset ehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1–2 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (”pankkitunnusehdot”) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:

”Henkilöasiakkaalle luovutetut Tunnukset ovat henkilökohtaiset. Tunnuksia ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankin verkko-osoite].

[…] Tunnuksia tai osaa niistä ei koskaan saa:
- kertoa suullisesti niitä puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessaan [pankin] puhelinpalveluun asiakas näppäilee Tunnukset puhelimeen. Palveluntarjoaja tai muut [pankin konsernin] yritykset eivät koskaan soita asiakkaalle ja pyydä kertomaan tai näppäilemään Tunnuksia;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille;
- käyttää kirjautumiseen [pankin] verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty Asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.”

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt tapauksessa teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen ja siihen kuuluvan tunnistusvälineen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut rikollisten pankin nimissä lähetetyn tekstiviestin, jossa on kerrottu, että asiakkaan kortti on poissa käytöstä epäilyttävän käytön takia ja että hänen tulisi aktivoida kortti uudelleen käyttöön annetusta linkistä. Asiakas on avannut linkin ja syöttänyt verkkopankkitunnuksensa sivulle.

Rikolliset ovat em. valesivuston kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin mobiilisovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle tekstiviestitse mobiilisovelluksensa aktivointikoodin. Asiakas ei ole myöntänyt tai kiistänyt syöttäneensä sivustolle tekstiviestitse pankista saamansa aktivointikoodia. Asiakas on kuitenkin kertonut, että hänen saamansa koodin sisältänyt viesti ei näyttänyt epäilyttävältä.

FINE katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun kohtaan. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen ja siihen kuuluvan tunnistusvälineen omalle laitteelleen klo 14:52 ja vahvistaa sovelluksella tilisiirrot klo 14:58–15:06.

Asiakkaan pankkitunnukset on suljettu samana päivänä klo 16:12 asiakkaan soitettua sulkupalveluun.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa kielletään käyttämästä pankkitunnuksia tai osaa niistä kirjautumiseen pankin verkkopalveluihin, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla.

FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

FINE kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti on asiakkaan kertoman mukaan näyttänyt tulleen pankilta. Asiakas ei ole toimittanut FINElle esimerkiksi kuvakaappausta saamastaan tekstiviestistä, mutta pankki ei ole kiistänyt asiakkaan kertomaa eikä FINEllä myöskään ole syytä sitä epäillä. Pankkilautakunta on käsitellyt useita vastaavia tapauksia, joissa asiakkaat ovat toimittaneet kuvakaappauksia rikollisten pankin nimissä lähettämistä ja myös samaan viestiketjuun pankin oikeiden viestien kanssa tulleista tekstiviesteistä, ja joissa lautakunta on katsonut, ettei asiakkaan ole voitu edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ole ollut pankin lähettämä. FINE katsoo, ettei asiakkaalla voida myöskään tässä tapauksessa saadun selvityksen perusteella katsoa olleen syytä epäillä yhteydenoton asianmukaisuutta.

FINE kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Siitä, miltä tekstiviestissä olleesta linkistä avautuneet verkkosivut ovat näyttäneet, ei ole annettu selvitystä. Asiakkaan mukaan sivut näyttivät pankin sivuilta. Asiakas on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan. FINE katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta on katsonut ratkaisusuosituksessa FINE-044514, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi erityisesti tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Nyt arvioitavassa tapauksessa asiakas on saanut pankilta englanninkielisen tekstiviestin, joka on sisältänyt pankin mobiilisovelluksen ja tunnistusvälineen aktivointikoodin. Pankkilautakunta on katsonut ratkaisusuosituksessaan FINE-049424, jossa asiakkaalle oli lähetetty samanlainen tekstiviesti, että kyseessä oleva tekstiviesti on sisällöltään informatiivinen, ja siinä on ohjeistettu asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta kehotettu ottamaan yhteyttä pankkiin, jos ei ole itse aktivoimassa pankin mobiilisovellusta. Viestissä on myös varoitettu petoksesta ja kielletty syöttämästä koodia muualle kuin pankin mobiilisovellukseen.

Pankkilautakunta on mm. edellä mainituissa ratkaisusuosituksissa katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin sisältö sekä Pankkilautakunnan aiemmat ratkaisut huomioiden FINE katsoo, että asiakkaan menettely osoittaa hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeaa selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen FINE katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta.

Maksun palautuspyynnöt

Asiakas on tiedustellut, olisiko pankin pitänyt toimia nopeammin maksujen palautuspyyntöjen osalta.

Pankkilautakunta on ratkaisusuosituksessaan FINE-018073 katsonut, että pankilta kohtuudella edellytettävien neuvojen ja toimien ylittävältä osin pankki olisi voinut hyvän asiakaspalvelun nimissä ryhtyä asiakkaan pyynnöstä laajempiinkin toimiin, mutta tällaisiin toimiin ryhtymättömyyttä ei voitu kyseisessä tapauksessa pitää korvausvastuun perusteena. Lisäksi Pankkilautakunta katsoi, että asiassa oli jäänyt osoittamatta, että maksunsaajan pankki olisi todennäköisesti estänyt varojen siirron, vaikka asiakkaan pankki olisi ohjeistanut asiakasta paremmin. 

FINE katsoo siten, ettei tässäkään tapauksessa voida katsoa pankille syntyneen korvausvastuuta mahdollisista viivästyksistä maksun palautuspyyntöjen osalta.

Lopputulos

FINE ei suosita hyvitystä.

FINE
Vakuutus- ja rahoitusneuvonta

Jaostopäällikkö Hidén                                              
Esittelijä Heino

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia