FINE-056158

Tapahtumatiedot

Asiakas on saanut pankin nimissä lähetetyn ja samaan viestiketjuun pankin lähettämien viestien kanssa tekstiviestin, jossa on lukenut seuraavaa:

”Olemme havainneet kortillasi epätavallista toimintaa. Avaa heti https://online.fi-uusia055.com/ebank”

Asiakas on linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä sivuilla syöttänyt verkkopankkitunnustensa käyttäjätunnuksen, salasanansa ja tunnusluvun tunnuslukutaulukosta.

Pankin mobiilisovellus on ladattu ja aktivoitu käyttöön 14.10.2022 klo 13.30 iPhone 6S -laitteelle. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 14.10.2022 klo 13.30 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:

”Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. Varo huijauksia! Esimerkiksi pikaviestisovelluksissa tai tekstiviestissä pyydetyt tiedot tai sosiaalisessa mediassa olevat tarjoukset ovat tällaisia huijauksia. Älä anna tätä koodia milloinkaan verkkosivuille. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 3721 laitteessasi olevaan [pankin mobiilisovellukseen]. Jos epäilet huijausta, ota meihin yhteyttä. Terveisin [pankki]”

Asiakkaan tililtä on tehty 17.10.2022 klo 1.55–1.58 kahdeksan tilisiirtoa ja 19.10.2022 klo 14.56–15.20 yhdeksän tilisiirtoa, joiden summa on ollut yhteensä 8.331,01 euroa. Tilisiirrot on vahvistettu em. pankin mobiilisovelluksella. Lisäksi asiakkaan tilille on tullut 19.10.2022 klo 12.17–15.19 kahdeksan tilisiirtoa, joiden summa on ollut yhteensä 3.993,00 euroa.

Asiakas on sulkenut pankkitunnuksensa asioimalla pankin asiakaspalvelupisteellä 19.10.2022 klo 17.19.

Asiakkaan valitus

Asiakas on valituksessaan kertonut saaneensa 14.10.2022 pankin nimissä tekstiviestin, jossa kerrottiin asiakkaan kortilla havaitun epätavallista toimintaa. Asiakas avasi linkin, josta avautui täsmälleen sama pankin sivusto. Asiakas syötti sivustolle käyttäjätunnuksensa, salasanan ja koodin taulukosta. Muita tietoja asiakas ei antanut. Sivulla luki sen jälkeen, että asiakas saa 3–5 arkipäivän kuluessa uuden tunnusluvun. Sen jälkeen sivu suljettiin. Asiakas sai myöhemmin pankista tekstiviestin, jossa oli vahvistuskoodi. Tätä koodia asiakas ei syöttänyt mihinkään eikä kertonut tai näyttänyt sitä kenellekään.

Asiakas ei käyttänyt pankin mobiilisovellusta 15.–18.10.2022 ja koska kortti toimi hyvin, asiakas ei osannut epäillä mitään. 19.10.2022 asiakas sai pankista viestin, jolloin hän huomasi, että hänen tililtään oli kadonnut rahaa.

Asiakas vaatii pankkia korvaamaan 4.338,01 euroa.

Pankin vastine

Pankin selvitysten mukaan oikeudettomat tilisiirrot on tehty 17.10.2022 klo 01.55 ja 19.10.2022 klo 15.20 välisenä aikana laitteella iPhone 6S. Pankin mobiilisovellus on ladattu kyseiselle laitteelle 14.10.2022 klo 13.30 ja asennustoimenpide on edellyttänyt asiakkaan olemassa olevaan puhelinnumeroon lähetettyä vahvistuskoodia, verkkopankin käyttäjätunnusta, salasanaa ja ainakin yhtä satunnaisesti valittua tunnuslukutaulukon tunnuslukua. Vahvistuskoodi on lähetetty asiakkaan asiakastiedoissa olevaan puhelinnumeroon 14.10.2022 klo 13.30.

Asiakas on oman kertomuksensa mukaan mennyt osoitteeseen https://online.fi-uusia055.com/ebank ja syöttänyt sinne henkilökohtaiset verkkopankkitunnuksensa. Jo linkin sisällön olisi tullut herättää asiakkaan huomio epätavanomaisesta toiminnasta, koska se poikkeaa merkittävästi normaaleista pankkien verkkotunnuksista. Lisäksi asiakkaalle lähetetyssä tekstiviestivahvistuksessa on nimenomaisesti varoitettu luovuttamasta vahvistuskoodia verkkosivulle ja että varovaisuutta on noudatettava, jos vastaanottaja ei ole asentamassa pankin mobiilisovellusta.

Asiakas on toiminut vahvistustekstiviestissä olevaa ohjeistusta sekä pankin ehdoissa olevien turvallisuusohjeiden vastaisesti luovuttamalla tunnukset asiakkaalle lähetetyllä sähköisellä viestillä verkkosivulle, jonka osoite on ollut huomattavan epämääräinen. Asiakas ei myöskään ole ollut asentamassa puhelimeensa pankin mobiilisovellusta kertomuksensa mukaan. Vahvistustekstiviestin ajankohta ja pankin mobiilisovelluksen uuden aktivoinnin ajankohta ovat yhteydessä toisiinsa, mikä viittaa asiakkaan luovuttaneen tai saattaneen toiminnallaan vahvistuskoodin kolmannelle osapuolelle.

Pankin verkkopankkitunnukset ovat maksupalvelulain mukaisia maksuvälineitä. Maksupalvelulain 62 §:n mukaan maksuvälineen haltija on vastuussa maksuvälineen oikeudettomasta käytöstä, jos kyseinen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Pankki katsoo asiakkaan toimineen törkeän huolimattomasti ja vastaavan täysimääräisesti hänen verkkopankkitunnuksillaan käyttöön otetulla pankin mobiilisovelluksella hänen tililtään tehdyistä oikeudettomista tilisiirroista, koska asiakas ei ole noudattanut pankin nimenomaisia ehtoja verkkopankkitunnusten turvallisesta käytöstä eikä myöskään ole toiminnassaan noudattanut riittävää huolellisuutta siirtyessään ulkopuoliselle verkkosivulle silminnähden epämääräisen sähköisesti saapuneen hyperlinkin kautta.

Selvitykset

Osapuolten välisten kirjelmien lisäksi FINElle on toimitettu asiakkaan poliisille 20.10.2022 tekemä tutkintailmoitus sekä pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen) 1–2 momentin mukaan:

”Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) mukaan:

”Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.”

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan:

”[Pankin] tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].”

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan

”Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.

Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.

Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.”

Ratkaisusuositus

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omalle iPhone 6S -laitteelleen. Tämän johdosta pankki on lähettänyt 14.10.2022 klo 13.30 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:

Pankkilautakunta on käsitellyt useita tapauksia, joissa asiakas on kiistänyt syöttäneensä vahvistuskoodia verkkosivuille tai muuten antaneensa tai kertoneensa sitä kenellekään, mutta koodi on kuitenkin syötetty rikollisten käyttöön ottamaan pankin mobiilisovellukseen. Lautakunta on katsonut esim. tapauksessa FINE-049424 (annettu 10.10.2022), että ”vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja ettei asiassa saadun selvityksen perusteella – ja asiakkaan asian kiistämisestä huolimatta – ole muuta mahdollisuutta kuin että tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen”.

Pankkilautakunnan ratkaisukäytännön mukaisesti FINE katsoo, että myös käsillä olevassa tapauksessa viestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja tämä on todennäköisesti tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun sarakkeeseen. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla. FINE katsoo myös, että asiakkaan olisi huolellisesti toimiessaan tullut kiinnittää huomiota viestissä olleeseen verkko-osoitteeseen (https://online.fi-uusia055.com/ebank), joka on poikennut tavanomaisista pankkien käyttämistä verkko-osoitteista.

FINE kuitenkin kiinnittää huomiota siihen, että tekstiviesti on tullut samaan ketjuun pankin viestien kanssa. Edelleen FINE katsoo, ettei tekstiviestin muotoilussa tai sisällössä ole ollut epätavanomaisen verkko-osoitteen lisäksi muita tekijöitä, joiden perusteella asiakkaan olisi tullut ymmärtää, ettei tekstiviesti ollut pankin lähettämä.

FINE kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta etenkään, jos viesti tulee asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien aitojen viestien kanssa.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä avautuneilla sivuilla asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, FINE katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin tavallista suurempaa huolimattomuutta.

FINE kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

FINE katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, kielletään koodin antaminen verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos epäilee huijausta. Asiakkaan kertoman perusteella FINE katsoo asiassa jääneen epäselväksi, onko asiakas ylipäänsä lukenut pankilta saamansa tekstiviestin sisältöä ennen viestissä olleen koodin syöttämistä valesivuille.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta on myös antanut 31.1.2023 ratkaisusuosituksen vastaavanlaisessa pankkitunnusten oikeudetonta käyttöä koskevassa tapauksessa FINE-051121, jossa tapahtumat olivat alkaneet nyt käsiteltävänä olevan tapauksen tavoin rikollisten pankin nimissä lähettämästä tekstiviestistä ja jossa pankin asiakkaalleen lähettämä pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö ja informatiivisuus oli ratkaisuosituksen lopputuloksen kannalta ratkaiseva. Kyseisessä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoi asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen lautakunta katsoi asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

FINE katsoo, että nyt käsiteltävässä olevassa tapauksessa pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältänyt tekstiviesti on sisällöltään vähintään yhtä informatiivinen kuin vastaava viesti em. tapauksessa FINE-051121 ja ettei asiakkaan menettelyä ole tässä tapauksessa saadun selvityksen perusteella syytä arvioida toisin kuin Pankkilautakunta on tapauksessa FINE-051121 asiakkaan menettelyä arvioinut. Näin ollen FINE katsoo asiakkaan vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Lopputulos

FINE ei suosita korvausta.

FINE
Vakuutus- ja rahoitusneuvonta

Jaostopäällikkö Hidén
Esittelijä Heino

Haku