Haku

FINE-056164

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-056164 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.01.2024

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus. Pankin velvollisuus sulkea maksuväline.

Tapahtumatiedot

Asiakas on saanut 16.6.2022 kello 14.17 seuraavanlaisen pankin nimissä lähetetyn tekstiviestin:

Uusi maksunsaaja on lisätty tänään, jos tämä ei ollut sinun, käy kiireellisesti osoitteessa: Mobiili-[pankin nimi].com

Viesti on tullut samaan viestiketjuun pankin lähettämien viestien kanssa ja se on sisältänyt linkin, joka on avannut pankin kirjautumissivua muistuttavan valesivuston. Asiakas on avannut linkin ja kirjautunut sivustolle pankkitunnustiedoillaan.

Kun ulkopuolinen rikoksentekijä on aloittanut pankin mobiilisovelluksen käyttöönoton asiakkaan pankkitunnustiedoilla, pankki on lähettänyt asiakkaalle 16.6.2022 kello 15.20 tekstiviestitse pankin mobiilisovelluksen käyttöönottoon vaadittavan vahvistuskoodin. Pankin lähettämä viesti on ollut seuraavanlainen:

Hei! Tällä puhelinnumerolla on ladattu [pankin mobiilisovelluksen nimi]. Jos olet itse ottamassa käyttöön [pankin mobiilisovelluksen nimi], anna vahvistuskoodi XXXX [pankin mobiilisovelluksen nimi]. Älä missään tilanteessa anna tässä viestissä olevaa koodia kenellekään. Jos epäilet tunnustesi väärinkäyttöä, ota yhteyttä [pankin nimi]. Huomaathan, ettei koodilla voi kirjautua verkkopankkiin. Terveisin [pankin nimi].

Asiakas on syöttänyt sivustolle saamansa vahvistuskoodin. Sivustolle syötettyjä tietoja käyttäen rikoksentekijä on ottanut käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalla iPhone 11- laitteellaan, siirtänyt asiakkaan luotolta tilille 4 000 euroa sekä vahvistanut mobiilisovelluksella kolme oikeudetonta korttimaksua yhteisarvoltaan 9 810,05 euroa. Asiakkaan tilille on siirretty hetkeä aiemmin tuntemattoman henkilön tililtä 6 000 euroa. Asiakkaan tileiltä tehdyt oikeudettomat tapahtumat on tehty kello 15.28 – 15.34. Pankin mobiilisovelluksen käyttö on suljettu laitteelta iPhone 11 16.6.2022 kello 15.36 ja kortti kello 15.47 pankin toimesta.

Asiakas on saanut pankilta viestin epäilyttävästä maksutapahtumasta ja kortin väliaikaisesta sulkemisesta kello 15.47, minkä jälkeen asiakas on soittanut pankkiin ja kertonut, ettei ole tehnyt viestissä mainittua maksua. Puhelu on alkanut kello 15.57.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan oikeudettomasta käytöstä aiheutuneen vahingon.

Asiakas kertoo saaneensa viestin pankilta, jossa olleen linkin on avannut, koska viesti on tullut pankilta, se on näyttänyt pankin viestiltä ja siitä avautuneet sivut ovat näyttäneet oikeilta pankin sivuilta. Siinä on pyydetty lataamaan pankin mobiilisovellus ja vahvistuskoodi on tullut viestinä, minkä asiakas on syöttänyt sivustolle, koska hän on ollut itse asioimassa. Viestissä ei ole kerrottu, mihin laitteeseen pankin mobiilisovellusta ollaan lataamassa. Asiakas on luullut, että koodi vahvistaisi hänen toimintansa pankin verkkosivulla.

Asiakas ei ole kertomansa mukaan vahvistanut luoton siirtoa eikä muita siirtoja. Pankki on sallinut suuren summan siirron ilman erillistä asiakkaalle lähetettyä vahvistuskoodia normaalista käytännöstään poiketen.

Pankki on ollut tietoinen huijauksista, mutta ei ole varoittanut asiakkaitaan ja asiakkaat ovat menettäneet rahansa. Pankin olisi pitänyt lähettää asiakkailleen varoitusviestejä, jotta asiakkaat olisivat olleet turvassa. Huijaus on alkanut pankissa, koska pankin nimellä on lähetetty viestejä samaan viestiketjuun pankin aitojen viestien kanssa. Asiakas ei voi olla vastuussa siitä. Pankki on varoittanut asiakasta tämänkaltaisesta huijauksesta vasta tapahtuneen jälkeen. Asiakas ei ole ainoa uhriksi joutunut, sillä asioidessaan pankissa, virkailija on kertonut, että hän on ollut jo viikon kolmas kyseisen virkailijan asiakas, joka oli kohdannut tällaisia ongelmia. Poliisinkin mukaan kyseisessä pankissa on paljon ongelmia ja ilmiö on massiivinen. Nyt asiakas maksaa korkoja lainasta, jota hän ei ole saanut.

Pankilla on heikko turvajärjestelmä ja se on syyllinen asiakkaidensa puhelinnumeroiden vuotamiseen.  Asiakas on kertonut pankille samana päivänä kaksi kertaa (kello 15.47 ja noin 17.20), ettei ole tehnyt mitään ostoja. Hyökkäys asiakas kohtaan on jatkunut viikkoja, mutta asiakas on saanut tietää siitä vasta, kun varat ovat varastettu. Asiakas on huomannut oikeudettoman käytön vasta heinäkuussa, kun hän on saanut laskun. Asiakas ei ole tarkastanut luottotiliä, koska hän ei käytä sitä lainkaan. Tilillä olevien varojen määrän hän on tarkastanut.

Asiakas vetoaa siihen, että pankki on ollut tietoinen epäilyttävistä tapahtumista, mutta ei ole estänyt maksuja. Asiakas on saanut puhelimeen seuraavalaisen viestin pankilta 16.6.2022:

Hei! [Kortin nimi] on tullut seuraava tapahtuma: 16-06-2022 15:30:12, Binance, 5565,18 euroa. Haluamme varmistaa, oletko itse tehnyt tapahtuman. Turvallisuussyistä olemme väliaikaisesti sulkeneet korttisi. Soitathan meille pikaisesti asian selvittämiseksi. Jos sinulla on käytössäsi [pankin nimi] verkkopankkitunnukset, saat asiasta viestin myös verkkopankkiin. Terveisin [pankin nimi] (+358 xxx xxx, ma-pe kello 8-17, pvm/mpm)

Pankki on estänyt maksun, koska on epäillyt, ettei asiakas ole tehnyt sitä. Viestissä todetaan suoraan: ”…Turvallisuussyistä olemme väliaikaisesti sulkeneet korttisi.” Asiakas on soittanut viestin saatuaan pankkiin ja kertonut, ettei ole tehnyt maksua.  Asiakkaan mielestä pankilta on varastettu pankin omat rahat, eikä pankki ole estänyt maksuja, vaikka on tiennyt, että asiakkaan kortin tiedoilla yritetään siirtää iso summa rahaa. Pankki on tiennyt jo klo 15.30, että huijarit yrittävät siirtää asiakkaan tililtä 5 565,18 euroa, mutta ei ole tehnyt mitään. Asiakkaan saaman viestin perusteella 5 565,18 euron maksu on estetty ja kortti suljettu. Todellisuudessa korttia ei ollut kuitenkaan suljettu, ja rahat on varastettu kolmella seuraavalla maksukerralla. Asiakas on ollut tuolloin kahdesti puhelimitse yhteydessä pankkiin. Asiakas on ollut varma, että kortti on todella suljettu ja maksu estetty. Asiakas ei ole voinut peruuttaa maksua, mutta pankin vastuulla on estää ja peruuttaa laittomat maksut. Kaksi minuuttia viimeisen maksutapahtuman jälkeen pankki olisi voinut peruuttaa maksut.

Asiakas myös ihmettelee, miten huijareilla on ollut hänen pankkikorttinsa numero ja CVC-koodi. Asiakas epäilee, että korttitiedot ovat mahdollisesti päätyneet ulkopuolisten haltuun, kun hän on yrittänyt ostaa reppua verkkokaupasta kaksi kuukautta ennen oikeudetonta käyttöä. Asiakas kiistää rikkoneensa korttiehtoja.

Pankin ehdotuksesta luottoraja on nostettu tuhannesta eurosta neljään tuhanteen. Pankki on korostanut, että luottokortti on luotettava tapa maksaa verkossa, koska tarvittaessa maksun voi perua helpommin. Kortilla on myös ollut 500 euron päiväkohtainen rajoitus.

Asiakas kritisoi sitä, että pankki on sallinut pankin mobiilisovelluksen lataamisen samanaikaisesti eri laitteisiin samalla puhelinnumerolla, vaikka asiakkaalla on aina yksi numero ja yksi laite, johon sovellus on ladattuna. Sähköpostit ja suuret verkkokaupat ilmoittavat, että tiliäsi on yritetty käyttää uudelta laitteelta tai toisesta kaupungista.

Pankin vastine

Asiakkaan luotolta on siirretty 4 000 euroa asiakkaan tilille 16.06.2022 kello 15.28 ja asiakkaan tilille on tullut yhteensä 6 000 euroa tilisiirtona.  Lisäksi asiakkaan kortin tiedoilla on tehty seuraavat ostot:

16.06.2022 kello 15.30.13 Binance 5 837,88 euroa
16.06.2022 kello 15.31.12 Binance 3 189,77 euroa
16.06.2022 kello 15.34.04 Binance    782,40 euroa
yhteensä: 9 810,05 euroa

Tilille tulleiden varojen jälkeen asiakkaalle jää reklamoitavaa 3 810,05 euroa.

Pankin mobiilisovelluksen käyttö on suljettu laitteelta iPhone 11 16.6.2022 kello 15.36 pankin toimesta. Pankki on sulkenut kortin kello 15.47 maksujen monitoroinnin hälytettyä kello 15.30.12 tehdystä tapahtumasta. Reklamoidut tapahtumat on tehty ennen sulkemista kello 15.28 – 15.34. Pankki on havainnut reklamaatiota käsitellessään asiakkaan verkkopankkitunnusten todennäköisesti päätyneen vääriin käsiin ja on sulkenut verkkopankkitunnukset 9.11.2022. Sulun ajankohdalla ei ole vaikutusta tapahtumien kulkuun.

Kortin sulkemisesta on lähetetty asiakkaalle tekstiviesti kello 15.47. Tekstiviestin ja monitoroinnin verkkoviestin sisältö eroavat toisistaan. Viestin sisältö:

Hei [asiakkaan nimi]! Korttitapahtumiesi perusteella [kortti] Visasi tiedot xxxx ovat saattaneet päätyä vääriin käsiin. Turvallisuussyistä suljemme korttisi väliaikaisesti. Väliaikainen sulku tulee voimaan viimeistään seuraavana arkipäivänä. Pyydämme sinua soittamaan meille pikaisesti ja vahvistamaan, oletko itse tehnyt alla olevan oston.
Päivämäärä: 16.6.2022 15.30.12
Veloittaja: Binance
Summa: 5565,18 €
Ystävällisin terveisin
[pankin nimi]

Pankki kertoo viestin koskeneen toteutunutta veloitusta summaltaan 5 837,88 euroa. Monitorointi on saanut hälytyksen summalla 5 565,18 euroa, mutta summa on muuttunut ennakkotiedosta, kun tapahtuma on veloitettu asiakkaalta. Visa-korttitapahtumissa on mahdollista, että tietyissä tilanteissa katevarmennuksen yhteydessä tililtä varattava summa ei vastaa lopullista toteutunutta veloitusta. Valuutanmuunnokset tapahtuvat Visan tukkukursseihin pohjautuen ja valuutanmuunnos toteutetaan, kun palveluntarjoaja lähettää maksutapahtuman käsiteltäväksi Visalle, joka muuntaa tapahtuman kortinhaltijan tilivaluuttaan välittäessään maksutapahtuman pankkiin. Veloitustapahtumat toimitetaan palveluntarjoajien toimesta eteenpäin usein pienellä viiveellä, jolloin sovellettava tukkukurssi poikkeaa siitä, mikä se on ollut katevarmennushetkellä.

Pankki selvittää viestissä mainitun maksun ja toteutuneen maksun aikaleiman eroa kertomalla, että se voi johtua esimerkiksi siitä, että palveluntarjoaja käyttää ilmoituksen aikaleimana sitä aikaa, jonka kauppiaan maksupalveluntarjoaja raportoi ostohetkellä. Tämän vuoksi tapahtuman kirjautumisen kellonaika voi poiketa hieman kellonajasta, joka tekstiviestissä on ilmoitettu.

Testiviestin saatuaan asiakas on soittanut pankkiin. Puhelu on alkanut kello 15.57. Asiakkaan kanssa ei ole käyty toista puhelinkeskustelua pankin lokitietojen ja järjestelmämerkintöjen perusteella.

Reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteelle iPhone 11 16.6.2022 kello 15.21. Asiakas käyttää pankin mobiilisovellusta laitteella iPhone XR.

Mobiilisovelluksen käyttöönottoon uudelle laitteelle on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja yksi sattumanvaraisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.

Asiakkaan puhelinnumeroa ei ole vaihdettu huijauksen tekemiseksi. Kaikki lähetetyt viestit on lähetetty asiakkaan omaan puhelinnumeroon.

Pankin lähettämässä vahvistuskoodin sisältäneessä viestissä on yksiselitteisesti kerrottu sen liittyvän pankin mobiilisovelluksen lataamiseen ja viestissä on todettu, että koodilla ei voi kirjautua verkkopankkiin. Asiakas kertoo antaneensa verkkopankkitunnuksensa sekä vahvistuskoodin huijaussivustolle. Näin ollen asiakas ei todennäköisesti ole kiinnittänyt huomiota vahvistuskoodin sisältävän viestin sisältöön.

Elokuussa asiakkaalta on kysytty, mitä hän on tehnyt pankin 16.6. tekstiviestillä lähettämälle vahvistuskoodille ja siihen hän on vastannut ”En syöttänyt koodia minnekään. [Pankin mobiilisovelluksen nimi] minulla oli jo käytössä aikaisemmin.” Jos asiakas olisi lukenut 16.6. viestin kunnolla, hän olisi ymmärtänyt sen merkityksen. Elokuussa sen merkitys on ollut selvä ja asiakas jopa muisteli, ettei olisi antanut koodia minnekään, koska hänellähän oli jo pankin mobiilisovellus käytössään eikä hän ollut ottamassa käyttöön uutta.

Rikolliset pystyvät lähettämään tekstiviestinsä niin, että ne näkyvät samassa viestiketjussa, jossa pankin aidot tekstiviestit näkyvät. Tähän pankit eivät voi yksin vaikuttaa vaan tarvitsevat tämän huijauksen ehkäisemiseen yhteistyötä teleoperaattoreiden kanssa. Asiakas pystyy kuitenkin helposti huomaamaan samassa viestiketjussa olevista viesteistä erot pankin oikeiden viestien ja rikollisen lähettämän hyvin poikkeuksellisen viestin välillä. Pankin oikeat viestit päättyvät ”Terveisin [pankki]” eikä niissä koskaan ole linkkiä.

Pankki kiistää vuotaneensa asiakkaan väittämän asiakkaansa puhelinnumeron vuotamisesta rikollisille ja kertoo, että pankkien yleisen käytännön mukaisesti mobiilisovelluksen voi ladata useammalle laitteelle yhtäaikaisesti.

Asiakkaan esittämien väitteiden osalta pankki kertoo, että pankin mobiilisovelluksella vahvistetuista korttimaksuista ei lähde erillistä tekstiviestivahvistusta, koska maksut on hyväksytty Visa Secure -palvelussa pankin mobiilisovelluksella. Pankki käyttää maksupalvelulain vaatimusten mukaisesti tekstiviestivahvistusta asiakkaan hyväksyessä tapahtumia verkkopankkitunnuksillaan (käyttäjätunnus, salasana ja tunnuslukulistan tunnusluku). Mobiilisovellus toimii toisin, eikä sen käyttö vaadi lain mukaan tekstiviestivahvistusta. Mobiilisovelluksessa tapahtumat hyväksytään PIN-tunnuksella tai sormenjäljellä/Face ID:llä, jotka eivät ole kopioitavissa kuten pankkitunnusten tunnuslukutaulukko. Lisäksi mobiilisovelluksella voi muuttaa maksujen vuorokausirajoja, kuten nyt on tapahtunut.

Erilaisista verkkohuijauksista on tiedotettu laajasti niin mediassa kuin pankin omassakin viestinnässä, esimerkiksi 7.6.2022 pankin omassa viestinnässä. Lisäksi kesäkuun puolivälissä ja elokuun alussa mobiilisovelluksen etusivulla oli seuraavanlainen ilmoitus huijausviesteistä:

Huijausviestejä liikkeellä
Muistathan, että omia pankkitunnuksia tai korttitietoja ei pidä luovuttaa kenellekään. Älä myöskään syötä niitä sivustolle, jonne olet saanut linkin puhelimeesi viestinä tai sähköpostitse.

Pankki vetoaa pankkitunnus- ja korttiehtoihinsa ja katsoo asiakkaan menetelleen niiden vastaisesti, sillä asiakas on luovuttanut verkkopankkitunnuksensa pankin pankkitunnusehtojen vastaisesti rikollisen ylläpitämälle verkkosivulle, johon asiakas on saanut linkin tekstiviestitse. Asiakas ei myöskään lukenut huolellisesti pankin lähettämää vahvistusviestiä eikä tarkastanut huolellisesti tilitietojaan pankin monitoroinnin yhteydenotosta huolimatta. Lisäksi reklamoidut maksut ovat korttimaksuja eli myös asiakkaan kortin tiedot ovat täytyneet olla rikollisen hallussa. Asiakkaan on täytynyt luovuttaa korttinsa tiedot ulkopuoliselle tai säilyttäää korttiaan niin huolimattomasti, että kortti on voitu ottaa asiakkaalta ja palauttaa asiakkaalle tämän huomaamatta.

Asiakas on siten toiminut törkeän huolimattomasti, joten hän vastaa verkkopankkitunnuksillaan käyttöönotetulla mobiilipankkisovelluksella hyväksytyistä tapahtumista täysimääräisesti.

Selvitykset

Pankkilautakunnalla on ollut käytettävissään osapuolten välisen kirjeenvaihdon lisäksi muun muassa seuraavat selvitykset:
- kuvakaappaus asiakkaan 16.6.2022 kello 14.17 saamasta ulkopuolisen henkilön lähettämästä tekstiviestistä
- kuvakaappaus pankin asiakkaalle 16.6.2022 kello 15.20 lähettämästä mobiilisovelluksen aktivointia koskevasta tekstiviestistä
- kuvakaappaus pankin asiakkaalle 16.6.2022 lähettämästä epäilyttävää maksutapahtumaa koskevasta tekstiviestistä
- 16.6 kello 15.57 alkaneen puhelun litterointi.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on ensin arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Toissijaisesti asiassa on kyse siitä, onko pankilla ollut velvollisuus sulkea maksuväline ennen oikeudettomia maksutapahtumia.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 56 §:n (Palveluntarjoajan velvollisuus sulkea maksuväline.)
Palveluntarjoajan on estettävä maksuvälineen käyttö, kun maksuvälineen haltija on ilmoittanut maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 57 §:n (Palveluntarjoajan oikeus sulkea maksuväline.) 1 momentin mukaan
Jos osapuolet ovat puitesopimuksessa niin sopineet, palveluntarjoajalla on oikeus estää maksuvälineen käyttö, jos:
1) maksuvälineen käytön turvallisuus on vaarantunut;
2) on syytä epäillä, että maksuvälinettä käytetään oikeudettomasti tai vilpillisesti; tai
3) maksuväline oikeuttaa luoton käyttöön ja vaara siitä, että luoton maksamisesta vastuussa oleva maksupalvelun käyttäjä ei kykene täyttämään maksuvelvoitteitaan, on huomattavasti kohonnut.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 3 momenttien mukaan
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

7.10.2021 alkaen voimassa olleiden pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (pankkitunnusehdot) tunnistusvälineiden säilyttämistä koskevan kohdan mukaan: 
 […] Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
[…]

22.2.2021 alkaen voimassa olleiden pankin korttiehtojen kortin ja tunnusluvun säilyttämistä koskevan kohdan mukaan
Kortti ja kortin tiedot sekä kortin tunnusluku ovat henkilökohtaisia eikä niitä saa luovuttaa toisen käyttöön. Kortinhaltijana sinun pitää säilyttää korttia huolellisesti ja erillään tunnusluvusta sekä mahdollisista verkkopankkitunnuksista. Sinun pitää varmistaa säännöllisesti kortin olevan tallessa erityisesti niissä tilanteissa, joissa kortin katoamisen riski väentungoksen tai ravintolassa taskuvarkauden vuoksi on suuri. […]

Korttiehtojen kortinhaltijan ja tilinomistajan vastuuta oikeudettomasta käytöstä koskeva kohta vastaa sisällöltään maksupalvelulain 62 §:n kuluttajan hyväksi pakottavaa säännöstä.

Asian arviointi

Tapahtumat

Asiassa on riidatonta, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on käyttänyt verkkopankkitunnuksiaan kirjautumiseen luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone 11 -laitteelleen. Tämän johdosta pankki on lähettänyt 16.6.2022 kello 15.20 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin. Asiakas on laittanut myös tekstiviestitse saamansa vahvistuskoodin valesivustolle. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle iPhone 11 -laitteelleen kello 15.21. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.

Pankki on tuonut esille, että oikeudettomat korttitapahtumat ovat edellyttäneet myös korttitietojen päätymistä tekijöille. Asiakas on kiistänyt syöttäneensä valesivustolle korttitietojaan. Asiakas on epäillyt korttitietojen päätyneen rikollisille kaksi kuukautta aiemmin verkko-ostoksen yhteydessä. Lautakunta toteaa asiassa jääneen epäselväksi, miten rikolliset olisivat saaneet korttitiedot verkko-ostoksen yhteydessä kaksi kuukautta ennen nyt arvioitavaa oikeudetonta käyttöä. Ottaen huomioon, että rikollisten luoma valesivusto tavanomaisesti kysyy myös asiakkaan korttitietoja, lautakunta pitää todennäköisenä ja katsoo siten selvitetyksi, että asiakas on syöttänyt valesivustolle myös maksujen tekemiseen tarvittavat korttitiedot.

Asiakkaan kortin tiedoilla mobiilisovelluksella vahvistaen on tehty korttimaksuja 16.06.2022 kello 15.30.13-15.34.04. Osapuolet ovat erimielisiä siitä, onko pankki estänyt maksutapahtuman, josta asiakas on saanut pankilta tekstiviestin kello 15.47. Viesti on ollut seuraavanlainen:

Hei! [Kortin nimi] on tullut seuraava tapahtuma: 16-06-2022 15:30:12, Binance, 5565,18 euroa. Haluamme varmistaa, oletko itse tehnyt tapahtuman. Turvallisuussyistä olemme väliaikaisesti sulkeneet korttisi. Soitathan meille pikaisesti asian selvittämiseksi. Jos sinulla on käytössäsi [pankin nimi] verkkopankkitunnukset, saat asiasta viestin myös verkkopankkiin. Terveisin [pankin nimi] (+358 xxx xxx, ma-pe kello 8-17, pvm/mpm)

Pankki on kiistänyt estäneensä viestissä mainittua kello 15.30.12 tehtyä maksutapahtumaa. Asiakkaan tililtä ei ole kuitenkaan tapahtuma-aikaan veloitettu

 5 565,18 euron suuruista maksutapahtumaa. Lautakunnan pyydettyä asiasta lisäselvitystä pankki on kertonut viestissä mainitun summan muuttuneen maksutapahtuman jälkeen summaksi 5 837,88 euroa. Myös kellonaika voi pankin mukaan poiketa teknisistä syistä. Lautakunta toteaa, ettei yhden maksun estämisellä ole asiakkaan ja pankin välisen vastuunjaon kannalta kuitenkaan Pankkilautakunnan aiemman ratkaisun FINE-052407 perusteella ratkaisevaa merkitystä. Kyseinen tosiseikka jää tässä tapauksessa selvittämättä.

Asiassa on riidatonta, että asiakkaan reklamoimat oikeudettomat maksutapahtumat on tehty ennen kuin asiakkaan ja pankin välinen puhelu maksuvälineen sulkemisesta on alkanut. Asiakkaan soitettua pankkiin kello 15.57 pankki on muuttanut kortin väliaikaisen sulun lopulliseksi.

Asiakas on kertonut pankin soittaneen hänelle noin 17.20, minkä pankki on kiistänyt. Asialla ei ole kuitenkaan ratkaisun kannalta merkitystä, koska reklamoidut maksut on vahvistettu ennen ko. puhelua, eikä seikkaa siten tässä käsitellä enemmälti.

Asiakkaan menettelyn arviointi

Soveltuvissa pankkitunnusehdoissa kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla. Koska asiakas on käyttänyt pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla, Pankkilautakunta katsoo asiakkaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Asiassa annetun selvityksen perusteella asiakasta ei ollut varoitettu juuri tämänkaltaisista huijausviesteistä. Asiakkaan ei voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Lisäksi moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

Edelleen Pankkilautakunnan tiedossa on, että – toisin kuin pankki on asiassa väittänyt – myös pankki on lähettänyt asiakkailleen linkin sisältäviä tekstiviestejä ja tekstiviestejä, jotka eivät pääty "Terveisin [pankin nimi]". Vaikka pankin lähettämän linkin kautta avautuvilla sivuilla ei edellytettäisi pankkitunnusten käyttämistä, voi tämä pankin toimintatapa lähettää asiakkailleen linkkejä sisältäviä viestejä osaltaan vaikuttaa siihen, että pankin asiakkaat eivät ymmärrä kyseenalaistaa tämänkaltaisia pankin nimissä tulleita yhteydenottoja ja joutuvat alttiiksi tämäntyyppiselle rikollisuudelle. Edellä mainituin syin lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen syytä epäillä yhteydenoton asianmukaisuutta.

Asiakkaan mukaan tekstiviestissä olleesta linkistä avautuneet verkkosivut ovat olleet pankin verkkosivujen näköiset. Asiakas on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan. Pankkilautakunta katsoo, ettei asiakkaan laiminlyönti pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Asiakas on kuitenkin syöttänyt valesivustolle myös korttitietonsa. Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut jo tämän verkkosivuston poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja jättää korttitiedot antamatta. Lautakunta katsoo asiakkaan tältä osin laiminlyöneen maksupalvelulain mukaisen korttitietojen huolellisen säilyttämisen velvollisuuden.

Pankkilautakunta katsoo lisäksi, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla pankin mobiilisovelluksen käyttöönottoa koskevan viestin asiakkaan olisi tullut ymmärtää kyseenalaistaa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa vahvistuskoodi syöttämättä verkkosivuille. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa, olisi tapauksessa asiakkaan maksuvälineen oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Aiemmassa ratkaisukäytännössään Pankkilautakunta on katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Em. pankin tekstiviestissä on kerrottu vahvistuskoodia käytettävän pankin mobiilisovelluksen käyttöönottoon. Viestissä on myös mainittu, ettei koodilla voi kirjautua verkkopankkiin. Asiakkaan syötettyä pankin tekstiviestitse lähettämän koodin linkin kautta avautuneille sivuille huomioimatta tekstiviestin sisältöä Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen vakavaa varomattomuuttaan.

Ottaen erityisesti huomioon korttitietojen ja mobiilisovelluksen käyttöönoton vahvistavan koodin syöttämisen verkkosivustolle Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta, minkä vuoksi asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Pankin velvollisuus estää oikeudettomia maksutapahtumia

Asiakas on vedonnut siihen, että pankin olisi pitänyt estää asiakkaan reklamoimat korttimaksut, koska pankki on asiakkaan mukaan ollut tietoinen oikeudettomasta käytöstä ja ilmoittanut sulkeneensa kortin asiakkaalle lähetetyssä viestissä.

Pankkilautakunta toteaa, että maksupalvelulain 56 §:ssä säädetty palveluntarjoajan velvollisuus sulkea maksuväline koskee vain tilanteita, joissa maksuvälineen haltija on ilmoittanut oikeudettomasta käytöstä palveluntarjoajalle. Vastaavasti asiakkaan ja pankin välistä vastuunjakoa koskevan 62 §:n mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä. Em. säännösten lisäksi lain 57 §:ssä palveluntarjoajalle on säädetty oikeus sulkea maksuväline, jos on syytä epäillä, että maksuvälinettä käytetään oikeudettomasti. Oikeus maksuvälineen sulkemiseen edellyttää myös puitesopimuksen ehtoa.

Pankkilautakunta on aiemmassa ratkaisukäytännössään arvioinut pankin velvollisuutta estää maksutapahtumia. Tapauksissa FINE-052407 (ratkaistu 13.6.2023) ja FINE-059114 (ratkaistu 29.11.2023 ) lautakunta totesi, että vaikka pankeilla on maksupalvelusääntelyn perusteella oltava käytössään maksutapahtumien valvontamekanismit, tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Kyseisissä tapauksissa lautakunta katsoi, ettei pankki ole velvollinen korvaamaan oikeudetonta käyttöä sillä perusteella, ettei pankki estänyt oikeudettomia maksuja.

Tässä tapauksessa pankilla on ollut velvollisuus sulkea maksuväline välittömästi, kun asiakas on ilmoittanut pankille kortin oikeudettomasta käytöstä kello 15.57 alkaneessa puhelussa. Näin ollen pankilla ei ole ollut maksupalvelulakiin perustuvaa velvollisuutta estää reklamoituja kello 15.28 – 15.34 tehtyjä maksutapahtumia. Asiakkaan vetoaman kortin sulkemista koskevan viestin osalta lautakunta toteaa, että myös se on lähetetty oikeudettomien maksujen jälkeen kello 15.47, eikä viesti siten voi perustaa pankille korvausvastuuta sitä ennen toteutetuista oikeudettomista maksuista.   

Koska asiassa ei ole ilmennyt muitakaan seikkoja, joiden perusteella pankilla olisi ollut velvollisuus estää reklamoidut oikeudettomat maksutapahtumat asiakkaan ja pankin välisessä suhteessa, Pankkilautakunta katsoo, ettei pankki ole velvollinen korvaamaan asiakkaalle maksuvälineen oikeudettomasta käytöstä aiheutunutta vahinkoa.

Lopputulos

Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Tykkä

Jäsenet

Atrila
Laine
Makkonen
Punakivi

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä