Tapahtumatiedot
Asiakas on vastaanottanut 7.7.2022 klo 18.02 pankin nimissä lähetetyn ja samaan viestiketjuun pankin lähettämien viestien kanssa tulleen tekstiviestin, jossa on lukenut seuraavaa:
"Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa https://arvostelu.online/[pankki]/”
Asiakas on asioinut viestissä olleen linkin kautta avautuneilla sivuilla.
Asiakkaan tililtä on tehty 7.7.2022 klo 18.13-21.06 kahdeksan tilisiirtoa yhteisarvoltaan 15.342,25 euroa. Tilisiirrot on vahvistettu pankin mobiilisovelluksella, joka on ladattu ja aktivoitu käyttöön laitteelle iPhone 8 7.7.2022 klo 18.09. Mobiilisovelluksen käyttöönotto on edellyttänyt tekijältään asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana ja tietty luku tunnuslukutaulukosta) sekä pankin asiakkaalle 7.7.2022 klo 18.08 lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen käyttöön, anna vahvistuskoodi 8107 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki].”
Asiakas on soittanut korttien sulkupalveluun ja asiakkaan kortti on suljettu kello 18.26. Asiakasta ei neuvottu sulkemaan myös verkkopankkitunnuksiaan, minkä johdosta pankki on hyvittänyt kortin sulkupuhelun jälkeen klo 18.31-21.06 tehdyt kolme viimeisintä tilisiirtoa tehtyä yhteisarvoltaan 5.342,25 euron maksua viivästyskorkoineen. Korvaamatta on jäänyt yhteensä 10.000 euron tilisiirrot.
Asiakkaan vaatimukset
Asiakas vaatii, että anastetut rahavarat palautetaan täysimääräisenä.
7.7.2022 asiakkaalle tuli viesti pankista, jossa ilmoitettiin, että asiakkaan täytyy vahvistaa tilinsä käyttöoikeudet välttääkseen tilin sulkemisen. Huijausviesti saapui juuri, kun asiakkaalla oli käynnissä viestikeskustelu pankin asiakaspalvelun kanssa. Sen jälkeen asiakkaan tililtä tehtiin 6 kpl 2.000 euron tilisiirtoa. Myöhemmin illalla oli tehty vielä kaksi 2.000 euron ja yksi 1.342,25 euron tilisiirto niin, että tili jäi tyhjäksi. Heti ensimmäisen noston jälkeen asiakas otti yhteyttä pankkiin ja ilmoitti, että tililtä nostetaan rahaa ilman asiakkaan suostumusta. Asiakas pyysi, että pankki lakkaa tilisiirrot. Pankki oli lakannut asiakkaan kortteja, mutta tilisiirrot olivat kuitenkin jatkuneet.
Asiakas ei ole vahvistanut tilisiirtoja. Asiakas ei voinut pysäyttää tilisiirtoja, vaikka oli kirjautuneena verkkopankissa. Asiakas katsoo, että pankin turvallisuudessa on tapahtunut vika, jonka johdosta tilisiirrot olivat onnistuneet ilman asiakkaan vahvistusta. Asiakas oli käyttänyt vahvistuskoodia vain kerran, kun taas tilisiirtoja hänen tililtänsä oli tehty 8 kappaletta ilman mitään vahvistuksia asiakkaan puolesta. Kun kysymyksessä on samalla kirjoittumisella/henkilötietojen vuodolla tapahtunut väärinkäyttö, asiakas vaatii, että anastetut rahavarat palautetaan täysimääräisenä.
Tavallisella käyttäjällä on lähtökohtaisesti luottamus pankin tarjoamiin palveluihin ja siihen, että pankissa olevat talletukset ovat vakuutettuja. Pankki on laiminlyönyt tietoturvallisuusvelvoitteitaan, minkä tuloksena pankki on lähettänyt asiakkaalle vahvistuskoodin, jota asiakas ei ole pyytänyt. Huijausviestiä ei ollut kaikella huolellisuudella mahdollista erottaa pankin viesteistä, koska asiakas oli siinä hetkellä vastaamassa pankilta saamiin viesteihin. Ilmeisesti rikolliset olivat kontaktoineet sekä pankkia että asiakasta samanaikaisesti, eikä pankilla ollut tietoturvapuolustus kohdallaan. Asiakkaalla ei ollut mitään tehokeinoja pysäyttää tilisiirtoja, vaikka hän näki, että rahat imuroidaan hänen tililtään. Kaikki tilisiirrot oli tehty pankin sisällä. Pankki ei ole tehnyt juurikaan mitään tilisiirron saajan pankkitilin jäähdyttämiseksi, joten asiakas katsoo, että pankki on toiminut vilpillisesti asiakasta kohti. Asiakkaan käsitys asiasta on se, että pankki on edesauttanut rikollisia piilottamaan anastetut varat. Pankki ei voi siirtää kuluttajalle omaa vastuutaan siitä, että pankki ei pysty järjestämään omia palvelujaan niin, että ne ovat turvalliset käyttäjille. Pankkipalvelut eivät vasta laadultaan kuluttajasuojelusäännöstöä.
Palveluntarjoajan kanta
Reklamoidut tapahtumat ovat tilisiirtoja, jotka ovat vahvistettu pankin mobiilisovelluksella. Sovellus, jolla tapahtumat on vahvistettu, on ladattu laitteelle iPhone 8 7.7.2022 kello 18.09. Asiakkaalla on käytössä iPhone XS.
Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja yksi sattumanvaraisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi. Pankki on 7.7.2022 klo 18.08 lähettänyt sovelluksen käyttöönottoon tarvittavan vahvistuskoodin tekstiviestillä asiakkaan numeroon. Viestin sisältö kertoo yksiselitteisesti vahvistuskoodin liittyvän pankin mobiilisovelluksen lataamiseen ja ettei koodia tule syöttää muualle kuin pankin mobiilisovellukseen. Asiakas on kuitenkin syöttänyt vahvistuskoodin huijaussivustolle viestin nimenomaisen kiellon vastaisesti.
Asiakkaan vastaanottama huijausviesti oli sisällöltään "Olemme havainneet epänormaalia toimintaa tililläsi. Estääksesi eston käy osoitteessa https://arvostelu.online/[pankki]/” Viesti poikkeaa merkittävästi sisällöltään pankin viestinnästä ja sisältää epämääräisen linkin.
Rikolliset pystyvät lähettämään tekstiviestinsä niin että ne näyttävät tulevan samassa viestiketjussa, jossa pankin aidot tekstiviestit näkyvät. Tähän pankit eivät voi yksin vaikuttaa vaan tarvitsevat tämän harmillisen huijauksen ehkäisemiseen yhteistyötä teleoperaattoreiden kanssa. Asiakas pystyy kuitenkin helposti huomaamaan samassa viestiketjussa olevista viesteistä erot pankin oikeiden viestien ja rikollisen lähettämän hyvin poikkeuksellisen viestin välillä.
Asiakas on soittanut korttien sulkupalveluun ja asiakkaan kortti on suljettu klo 18.26. Asiakasta ei neuvottu sulkemaan myös verkkopankkitunnuksiaan, joten pankki on hyvittänyt virheen vuoksi kaikki tämän kortin sulkupuhelun jälkeen tehdyt tilisiirrot.
Asiakas viittaa lisäkirjelmässään keskustelleensa tekstiviestitse pankin asiakaspalvelun kanssa. Tämä ei ole ylipäätään mahdollista ja kuvakaappauksessa esiintyy huijausviesti, joka poikkeaa merkittävästi sisällöltään pankin viestinnästä ja sisältää epämääräisen linkin. Lisäksi alla näkyy aito pankin lähettämä pankin mobiilisovelluksen lataamiseksi toimitettu viesti, joka sisältää vahvistuskoodin.
Lopputulos
Pankin digitaalisten palvelujen ja tunnustusvälineiden yleisten ehtojen mukaan:
"Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla."
Asiakas on luovuttanut verkkopankkitunnuksensa ehtojen kiellon vastaisesti rikollisen ylläpitämälle verkkosivulle, johon asiakas on saanut linkin tekstiviestitse. Lisäksi asiakas ei ole kiinnittänyt riittävästi huomiota saamansa vahvistusviestin sanalliseen sisältöön.
Yllä todetusti, asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakas on toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla pankin mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti.
Sopimusehdot ja lainsäädäntö
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].
Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.
Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]
Ratkaisusuositus
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEN on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Tapahtumienkulku
Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle iPhone 8 -laitteelleen. Tämän johdosta pankki on lähettänyt 7.7.2022 klo 18.08 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin, joka on ollut sisällöltään seuraavanlainen:
”Hei! Tällä numerolla ollaan ottamassa käyttöön [pankin mobiilisovellus] -sovellusta. Jos olet ottamassa [pankin mobiilisovelluksen] käyttöön, anna vahvistuskoodi 8107 [pankin mobiilisovelluksessa]. Älä ikinä anna tässä viestissä olevaa koodia toiseen sovellukseen tai verkkosivulle. Jos et ole ottamassa [pankin mobiilisovellusta] käyttöön, ota yhteyttä [pankkiin]. Terveisin [pankki].”
FINE katsoo tapauksessa selvitetyksi, että asiakas on syöttänyt myös tekstiviestitse saamansa koodin em. linkistä avautuneilla sivuille. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen. Nyt kyseessä olevat oikeudettomat maksutapahtumat rikolliset ovat tehneet em. pankin mobiilisovelluksella vahvistaen.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.
FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
FINE kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on tullut samaan viestiketjuun pankin lähettämien viestien kanssa. Edelleen FINE katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. FINE katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.
FINE kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, FINE katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
FINE kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
FINE katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa pankin mobiilisovellusta käyttöön. Asiakkaan kertoman perusteella asiassa on jäänyt epäselväksi, onko asiakas ylipäänsä lukenut pankilta saamansa tekstiviestin sisältöä ennen viestissä olleen koodin syöttämistä valesivuille.
Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankkilautakunta on myös antanut 31.1.2023 ratkaisusuosituksen vastaavanlaisessa pankkitunnusten oikeudetonta käyttöä koskevassa tapauksessa FINE-051121, jossa tapahtumat olivat alkaneet nyt käsiteltävänä olevan tapauksen tavoin rikollisten pankin nimissä lähettämästä tekstiviestistä ja jossa pankin asiakkaalleen lähettämä pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältänyt tekstiviesti oli samanlainen kuin tässä tapauksessa. Kyseisessä tapauksessa saadun selvityksen perusteella ja erityisesti pankin lähettämän pankin mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin sisältäneen tekstiviestin sisältö huomioiden Pankkilautakunta katsoi asiakkaan menettelyn osoittavan hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen lautakunta katsoi asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
FINE katsoo, ettei asiakkaan menettelyä ole tässä tapauksessa saadun selvityksen perusteella syytä arvioida toisin kuin Pankkilautakunta on tapauksessa FINE-051121 asiakkaan menettelyä arvioinut. Näin ollen FINE katsoo asiakkaan vastaavan täysimääräisesti pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.
Lopputulos
FINE ei suosita asiassa hyvitystä.
FINE
Vakuutus- ja rahoitusneuvonta
Jaostopäällikkö Sainio
Esittelijä Hidén