Haku

FINE-056031

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-056031 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.04.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Verkkopankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 22.8.2022 klo 10.30 pankin nimissä lähetetyn tekstiviestin:
”Uusi maksunsaaja on lisätty tänään tilillesi. Jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: https://[pankin mobiilisovellus]oyj-fin.com".
Em. tekstiviesti on tullut asiakkaan puhelimessa samaan ketjuun pankin lähettämien aitojen viestien kanssa. Tekstiviestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla asiakas on käyttänyt pankkitunnuksiaan.

Asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja luku tunnuslukutaulukosta) sekä pankin asiakkaan puhelinnumeroon 22.8.2022 klo 11.38 lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen rikolliset ovat ladanneet ja ottaneet käyttöönsä laitteelle Samsung SM-A065G asiakkaan nimissä olevan pankin mobiilisovelluksen. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 8616 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]".

Em. mobiilisovelluksella vahvistaen asiakkaan tililtä on tehty 22.8.2022 klo 12.10 1.751,30 euron oikeudeton tilisiirto.

Asiakkaan verkkopankkitunnukset suljettiin ja pankin mobiilisovellus poistettiin käytöstä 2.9.2022 klo 11.36 asiakkaan oltua yhteydessä pankkiin.

Asiakkaan vaatimukset

 Asiakas vaatii pankkia korvaamaan 1.751,30 euroa.

Asiakas sai 22.8.2022 tekstiviestin pankilta, jossa ilmoitettiin, että asiakkaan tilille on lisätty uusi maksunsaaja ja pyydettiin kiireellisesti käymään viestissä mainitussa osoitteessa, mikäli ei ole itse lisännyt maksunsaajaa. Koska asiakkaan äidinkieli on ukraina eikä hän puhu täydellisesti suomea, pyysi hän apua puolisoltaan. Yhdessä he avasivat viestissä olevan linkin ja heidät ohjattiin verkkopankin tunnistautumiseen. He syöttivät käyttäjätunnuksen sekä salasanan ja yhden tunnusluvun. Huono suomenkielen taito oli myös syy, miksi asiakas ei ole ymmärtänyt sovelluksen lataamiseen liittyvää tekstiviestiä pankilta.

Pankin lähettämä viesti, joka koski "[pankin mobiilisovelluksen] käyttöönottoa" ei asiakkaan mielestä näyttänyt tarpeeksi varoittavalta. He ymmärsivät, että sovelluksen käyttöönotto ei tarkoita sitä että joku kolmas osapuoli on lataamassa sovellusta sekä ottamassa sitä käyttöön ensimmäistä kertaa vaan että he ovat itse käyttämässä kyseistä sovellusta tunnistautumiseen. Asiakkaan mielestä varoitusviesti voisi ainakin alkaa esimerkiksi näin: "Huomio! Tällä numerolla joku on lataamassa [pankin mobiilisovellus] -sovellusta toiselle laitteelle ja aloittamassa sovelluksen käyttöä..."

Asiakas ei siis ole vahvistanut mitään maksuja tai summia syöttämällä mitään muita tunnuslukuja tunnuslukukortiltaan. Asiakas ei myöskään käyttänyt sisäänkirjautumiseen sormenjälkiä eikä qr-koodia. Tämän jälkeen avautui sivu, jossa pyydettiin syöttämään kortin tietoja (kortin numero, voimassaoloaika sekä CVC-koodi). Koska asiakas tietää, ettei pankki koskaan pyydä asiakkailta vastaavia tietoja, he jättivät kentät täyttämättä ja sulkivat selaimen.

Sivu näytti täysin identtiseltä aidon pankin sivun kanssa. Noin yksi minuutti tämän jälkeen asiakas tarkisti tapahtumia avaamalla mobiilisovelluksen eikä huomannut mitään poikkeuksellista. Asiakas huomasi vasta 2.9.2022, että 22.8. tuottotililtä oli siirretty rahaa. Asiakas otti heti yhteyttä pankkiin soittamalla asiakaspalveluun. Tunnusluvut suljettiin ja asiakas sai ohjeet reklamaation tekemiseen. Asiakas teki samana päivänä myös rikosilmoituksen.

Asiakas sai tietää, että pankin muitakin asiakkaita on joutunut huijareiden uhriksi vasta, kun soitti asiakaspalveluun ja kuuli automaattivastaajan tiedotteita. Asiakas luki myöhemmin myös tiedotteita pankin nettisivuilla. Asiakas kokee, että mikäli pankki oli vastaavista tapahtumista tietoinen jo jonkin aikaa, olisi pankin pitänyt ehdottomasti lähettää asiakkaille varoituksia suoraan tekstiviestillä, sähköpostitse tai postitse siitä, ettei viesteissä olevia linkkejä saa koskaan avata. Asiakas on vahvasti sitä mieltä, että pankki ei ole varoittanut asiakkaista huijauksista parhaalla mahdollisella ja ymmärrettävällä tavalla, vaan sen sijaan syyttää asiakas törkeästä huolimattomuudesta.

Pankki väittää, että huijauksista on uutisoitu laajasti mediassa ja lisäksi mobiilisovelluksessa oli kesäkuun puolivälissä sekä elokuun alussa etusivulla ilmoitus huijausviesteistä. Asiakkaan mielestä vastaavan varoituksen olisi pitänyt tavoittaa asiakasta suoraan tekstiviestillä, sähköpostitse tai postitse. Asiakas ei koe olevansa velvollinen seuraamaan mediaa sekä käyttämään pankin mobiilisovellusta koko ajan. Varoitus ei myöskään sisällä suositusta, ettei tekstiviestillä tulevia linkkejä saisi avata.

Pankin pitäisi myös pystyä seuraamaan rahaliikennettä. Varastettu summa oli siirretty tiedossa olevalle pankkitilille. Onko pankki edes yrittänyt selvittää, kenelle kyseinen tili kuuluu ja mihin varastettu summa oli lopuksi mennyt? Kyseinen rahasumma oli säästöjä ja tarkoitettu yritystoiminnan aloittamiseen. Kaiken tämän seurauksena asiakas on tällä hetkellä joutunut erittäin vaikeaan taloudelliseen tilanteeseen.

Palveluntarjoajan kanta

Tapahtumankulku pankin järjestelmistä saatavien tietojen mukaan

Oikeudettomaksi ilmoitettu tapahtuma on tehty ja vahvistettu laitteeseen SM-A035G ladatulla pankin mobiilisovelluksella. Sovelluksen lataamiseksi tähän laitteeseen on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset, eli verkkopankin käyttäjätunnus, salasana, tunnuslukutaulukon tunnusluku sekä tekstiviestitse asiakkaan puhelinnumeroon toimitettu vahvistuskoodi.

Valesivujen kautta saamiaan asiakkaan pankkitunnustietoja käyttäen rikolliset ovat siis ladanneet pankin mobiilisovelluksen Samsung-laitteelle, minkä seurauksena pankki on lähettänyt tekstiviestitse mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältävän vahvistuskoodin asiakkaalle 22.8.2022 klo 11.38.

Asiakas on valituksessaan kertonut, ettei lukenut yllä olevaa pankin lähettämää pankin mobiilisovelluksen latauksesta kertovaa tekstiviestiä huolellisesti. Pankin näkemyksen mukaan huolelliselta pankkitunnustenhaltialta edellytetään, että pankkitunnuksia käyttäessään hän lukee huolellisesti ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Asiakkaan saamassa viestissä kerrottiin, että hänen tiedoillaan ollaan ottamassa käyttöön pankin mobiilisovellusta. Asiakkaan saaman huijausviestin sisällön mukaan hän kuvitteli kirjautuvansa pankkiin estääkseen uuden maksunsaajan lisäämisen. Mikäli asiakas tai häntä avustanut suomenkielentaitoinen puoliso olisi lukenut huolellisesti pankin mobiilisovelluksen lataamisesta kertovan viestin, olisi asiakkaan epäilysten tullut herätä tässä vaiheessa, sillä asiakas oli oman käsityksensä mukaan kirjautumassa verkkopankkiin estääkseen uuden maksunsaajan lisäämisen, eikä ottamassa käyttöön pankin mobiilisovellusta (joka hänellä oli jo käytössä omalla laitteellaan).

Asiakkaan näkemyksen mukaan pankki ei olisi varoittanut riittävästi meneillään olevista huijauksista. Tämän osalta pankki toteaa, että vastaavista, muihinkin pankkeihin kohdistuneista huijauksista on uutisoitu laajasti mediassa ja lisäksi pankin mobiilisovelluksessa oli kesäkuun puolivälissä sekä elokuun alussa sovelluksen etusivulla ilmoitus huijausviesteistä alla olevalla tekstillä. Näkyvyys oli kaikille mobiilisovelluksen käyttäjille.
"Huijausviestejä liikkeellä
Muistathan, että omia pankkitunnuksia tai korttitietoja ei pidä luovuttaa kenellekään. Älä myöskään syötä niitä sivustolle, jonne olet saanut linkin puhelimeesi viestinä tai sähköpostitse."

Asiakkaan toteamukseen kielitaidon puutteesta pankki toteaa, että pankin digitaalisten palveluiden ehdoissa asiointikielestä todetaan, että sopimus tehdään suomeksi tai ruotsiksi ja että pankin kanssa asioidessa käytetään suomen tai ruotsin kieltä ja mikäli asiakas ei osaa näitä kieliä, voi hän asioida tulkin avustuksella. Digitaalisten palveluiden yleisten ehtojen mukaan
Sopimus tehdään suomeksi tai ruotsiksi. Voit käyttää asioidessasi suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista.
Nyt tässä tapauksessa asiakas on kertonut, että hän on avannut tekstiviestitse saamansa huijauslinkin yhdessä suomenkielentaitoisen puolisonsa kanssa.

Tekstiviestin lähettäjän nimen väärentäminen on valitettavasti mahdollista pankista riippumatta. Teleoperaattorit yhdessä poliisin kanssa pyrkivät löytämään keinoja lähettäjätiedon väärentämisen estämiseksi.

Asiakas ei ole antanut selvitystä mitä on tehnyt pankin lähettämälle pankin mobiilisovelluksen lataamiseksi tarvittavan vahvistuskoodin sisältämälle tekstiviestille. Ilman tätä asiakkaan puhelinnumeroon lähetettyä vahvistuskoodia "8616" ei sovellusta ole kuitenkaan voitu ottaa käyttöön Samsung-laitteella, jolla oikeudettomasti ilmoitettu tapahtuma vahvistettiin.

Asiakas on kysynyt pankin suorittamasta rahaliikenteen seuraamisesta ja onko yritetty selvittää, kenelle rahat on siirretty. Selvyyden vuoksi pankki toteaa, että asiakkaan oikeudettomaksi ilmoittama tilisiirto on tehty palvelulle, jota tarjoaa maksulaitos nimeltä X Oy. Pankki on välittänyt tilisiirron varat X Oy:n tilille. X toimii maksupalvelujen tarjoajana kuten pankitkin. Ainoastaan maksunvälittäjänä toiminut X Oy tietää, kuka on varojen lopullinen saaja.

Lopuksi

Asiakkaan oikeudettomaksi ilmoittaman maksun vahvistamiseen käytetyn pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana, järjestelmän satunnaisesti valitsema tunnuslukutaulukon tunnusluku sekä tekstiviestillä asiakkaan omaan puhelinnumeroon lähetetty vahvistuskoodi.

Näin ollen pankki katsoo, että asiakkaan on tullut luovuttaa verkkopankkitunnuksensa digitaalisia palveluja koskevien ehtojen kiellon vastaisesti sivulliselle. Ehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Yllä todetusti, asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakkaan on täytynyt toimia maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytystä tapahtumasta täysimääräisesti.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Asiointikieli -kohdan mukaan
Sopimus tehdään suomeksi tai ruotsiksi. Voit käyttää asioidessasi suomen tai ruotsin kieltä. Jos haluat käyttää muuta kuin suomen tai ruotsin kieltä, vastaat tarvitsemasi tulkkauspalvelun hankkimisesta ja tulkkauspalvelusta aiheutuvista kustannuksista.

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Ratkaisusuositus

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle Samsung SM-A065G -laitteelleen. Tämän johdosta pankki on lähettänyt 22.8.2022 klo 11.38 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
"Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 8616 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [Pankkiin]. Terveisin [Pankki]".

FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä omalle laitteelleen asiakkaan nimissä olevan pankin mobiilisovelluksen, jolla rikolliset ovat tämän jälkeen voineet vahvistaa kyseessä olevan oikeudettoman maksutapahtuman.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

FINE kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Edelleen FINE katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. FINE katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

FINE kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, FINE katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

FINE kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

FIEN katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole itse ole ottamassa pankin mobiilisovellusta käyttöön. Asiakkaan mukaan huono suomenkielen taito oli myös syy, miksi asiakas ei ole ymmärtänyt sovelluksen lataamiseen liittyvää tekstiviestiä pankilta. Hän oli pyytänyt apua puolisoltaan, jonka kanssa he ymmärsivät, että ovat itse käyttämässä kyseistä sovellusta tunnistautumiseen.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään. Mikäli asiakas ei kuitenkaan ymmärrä asiakkaan ja pankin välillä sovittua asiointikieltä, on lautakunnan näkemyksen mukaan huolellisen asiakkaan vastuulla, että hän varmistuu siitä, mitä pankki hänelle pankkitunnusten käyttämistä edellyttävän asioinnin yhteydessä viestii. Viime kädessä, mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin esimerkiksi pankin tekstiviestitse toimittama koodi on tarkoitettu, olisi hänen lautakunnan näkemyksen mukaan huolellisesti toimiessaan keskeytettävä asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.

Pankkilautakunta on antanut 31.1.2023 ratkaisusuosituksen vastaavanlaisessa pankkitunnusten oikeudetonta käyttöä koskevassa tapauksessa FINE-051121, jossa tapahtumat olivat alkaneet rikollisten pankin nimissä lähettämästä tekstiviestistä ja jossa pankin asiakkaalleen lähettämä pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältänyt tekstiviesti oli samanlainen kuin tässä tapauksessa. Kyseisessä tapauksessa lautakunta katsoi, että asiakkaan olisi tapauksessa vetoamastaan kielimuurista huolimatta ja myös kielimuurista johtuen tullut ymmärtää keskeyttää asiointinsa, koska hän ei ole voinut varmistua pankilta tekstiviestitse saamansa koodin käyttötarkoituksesta. Asiassa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoi asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoi asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

FINE katsoo, ettei asiakkaan menettelyä ole tässä tapauksessa saadun selvityksen perusteella syytä arvioida toisin kuin Pankkilautakunta on tapauksessa FINE-051121 asiakkaan menettelyä arvioinut. Näin ollen FINE katsoo asiakkaan vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

Edellä esitettyyn viitaten FINE ei suosita asiassa hyvitystä.

FINE
Vakuutus- ja rahoitusneuvonta

Jaostopäällikkö Sainio                                                   
Esittelijä Hidén

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä

Pystyäksesi käyttämään chattia on teidän hyväksyttävä markkinointievästeet

Muuta evästeasetuksia