Haku

FINE-057926

Tulosta

Asianumero: FINE-057926 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 01.09.2023

Miten vastuu asiakkaan korttitiedoilla verkossa tehdyistä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakas on joutunut huijatuksi, kun häneen on otettu yhteyttä WhatsApp-viestein hänen tekemäänsä todelliseen hotellivaraukseen liittyen. Tämän seurauksena asiakkaan kortin tiedoilla on tehty verkossa 16.1.2023 klo 20.03–20.09 neljä 748 euron suuruista korttimaksua, yhteismäärältään 2.992 euroa. Em. maksut on vahvistettu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella. Neljän onnistuneen maksun jälkeen on yritetty vielä tehdä viidettä 748 euron korttimaksua samalle maksunsaajalle klo 20.13, mutta tätä maksua ei ole hyväksytty.

Asiakas on ollut yhteydessä sulkupalveluun, ja hänen korttinsa ja pankkitunnuksensa on suljettu 16.1.2023 klo 21.05.

Asiakkaan valitus

1 Tapahtumakuvaus

Asiakas oli viestittelemässä hotellivaraukseen liittyvistä muutoksista hotellin kanssa. Yhteydenotto varaukseen liittyvässä viestinnässä ei kuitenkaan tullut hotellista, vaan hotellin tietojärjestelmään tietomurron tehneeltä rikolliselta, jolla oli hallussaan kaikki majoitusvarauksen yksityiskohdat, varauksen tunnistenumero, asiakkaan yhteystiedot ja maksuvälinetiedot eli asiakkaan luottokorttitiedot. Koska yhteydenottajalla oli täydellinen tietämys hotellivarauksesta, ei asiakkaalla ollut mitään mahdollisuutta oivaltaa yhteydenoton tulevan mistään muualta kuin hotellista.

Hotellivaraukseen sovittiin muutos. Rikollisen luoman hotellivarausjärjestelmää jäljittelevän sivuston kautta hotellimajoitus meni maksuun. Maksu vaati vahvan tunnistautumisen. Sivusto ohjasi avaamaan pankin tunnuslukusovelluksen ja asiakas hyväksyi tunnistautumissovelluksessa sovitun maksun, 748 euroa. Hyväksyessään maksua pankin tunnistussovelluksessa tunnusluvullaan asiakkaalla oli sovelluksessa näkyvissä: 1) maksun saajana maksutoimeksiantopalvelun tiedot, 2) maksettava summa sen suuruisena kuin asiakas sen oli juuri sopinut, 3) päiväys ja 4) asiakkaan tilinumero. Pankin tunnistussovelluksen näkymässä asiakas ei nähnyt, eikä asiakkaalla ollut sovelluksessa nähtävissä mitään sellaista, jonka perusteella asiakas olisi voinut oivaltaa maksun olevan jotain muuta kuin maksu tulevasta hotellimajoituksesta. Maksuvälinetietoja asiakas ei siis ole maksun hyväksymisen yhteydessä luovuttanut; ne olivat jo maksun saajan eli tietomurtorikollisen hallussa.

Maksutapahtuma ei edennyt ongelmitta. Tunnistussovellus näytti tunnusluvun syöttämisen jälkeen jumiutuneelta, ja jumiutunut näkymä kesti useita sekunteja, ehkä yli 10 sekuntia. Samalla kun sovelluksen jumiutuminen päättyi, hotellivaraussivustolle ilmestyi ponnahdusikkuna, joka ilmoitti, että maksua suoritettaessa tapahtui tekninen virhe, ja pyysi tekemään maksuhyväksynnän tunnistautumissovelluksen avulla uudelleen. Tunnistussovellus aktivoitui uudelleen, ja asiakas antoi tunnusluvun uudelleen, samoilla hotellivarauksen maksutiedoilla. Teknisiä virheitä ilmaantui kolme kertaa. Neljännen hyväksynnän jälkeen asiakas päätteli, että maksu ei onnistu. Tilanteen tarkastamiseksi hän avasi verkkopankin ja näki, että luottokortille oli tehty neljä 748 euron katevarausta, maksutoimeksiantopalvelulle kohdennettuna 'pay.flutterwave.com'.

Asiakas on maksuvälinehuijauksen paljastumisen jälkeen viipymättä ilmoittanut sulkupalveluun maksuvälineiden oikeudettomasta käytöstä. Huijaustapahtumasta kortin sulkemiseen on kulunut vajaa tunti, mikä aika on mennyt verkkopankkitietojen tarkastuksessa, maksun deletointipyynnön lähettämisessä ja yhteydenotossa hotelliin, josta on ilmoitettu, että hotellin asiakkaisiin liittyviä maksuvälinetietojen väärinkäytöksiä on tapahtunut.

2.1 Yleistä

Maksupalvelulain (290/2010) 38 §:n mukaan 'Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.'

Kyseessä olevan riidanalaiseksi asetettavan maksuveloituksen välttämättömänä pohjatapahtumana on maksuvälinevarkaus. Ilman rikosta eli maksuvälinevarkautta ei rikollisen aikoma prosessi olisi voinut edetä. Yleisen oikeuskäytännön mukaan lähtökohtaisesti varkauden kautta saatu taloudellinen hyöty on oikeudeton, ja myös maksuvälinevarkauden kautta syntynyt maksutapahtuma on oikeudeton. Verkkomaksuissa vaaditaan vahva tunnistautuminen; tässä tapauksessa, koska varkauden yhteydessä tietomurtaja on saanut varkauden kautta sekä maksuvälineen että myös kaikki tarvittavat yksilöivät tiedot maksun aiheesta, maksusta, maksajasta, ja koska asiakkaalla ei tunnistautumistapahtumassa ole ollut minkäänlaista mahdollisuutta todeta sovellusnäkymässään merkkejä vilpillisestä toiminnasta, vahva tunnistautuminen menettelynä ei ole toiminut lainsäädännön tavoitetta palvellen eli lisävarmistamassa maksutapahtumaa.

Pankkilautakunta on aiemmissa ratkaisusuosituksissa (esimerkiksi FINE-020828) todennut, että asiakkaan ei ole katsottava tehneen kyseessä olevaa maksua vain sillä perusteella, että asiakas on tunnistautunut mobiililaitteella. Oleellista (myös tapauksessa FINE-020828) on se, mitä on ollut asiakkaan tiedossa maksutapahtumahetkellä ja mitä on ollut näkyvissä asiakkaan hyväksyessä maksutapahtuman.

Maksutapahtuman oikeudettomuuden arvioimisessa ei siis ole riittävää se, että tehdään toteamus siitä, onko maksupalvelun käyttäjä antanut vahvistuksen maksutapahtumalle tunnuslukusovelluksessa vai eikö; oikeudettomuuden arvioinnissa tulee perehtyä yksityiskohtaisesti siihen, mikä data on ollut tunnuslukusovelluksessa näkyvissä maksutapahtumahetkellä, sekä tämän lisäksi myös tulee perehtyä siihen, miten sovelluksen käyttäjä on maksutapahtumahetkellä käytettävissään olleilla muilla asiaan liittyvillä tiedoilla pystynyt tulkitsemaan näkyvillä olevaa dataa.

Nyt riidanalaisen maksun tunnistautumistapahtuman yhteydessä on ollut näkyvissä vain sellaisia tietoja, jotka liittyvät todelliseen hotellimajoitusmaksuun. Näkyvissä tunnistussovelluksessa siis ei ole ollut tietoja maksunsaajasta, vaan sen sijaan maksutoimeksiantopalvelun tiedot, joista asiakas ei ole voinut tehdä päätelmää, että maksu ei ole ohjautumassa hotellille. Maksuvälityspalvelun nimi lokitiedoissa ei anna asiakkaalle mahdollisuutta epäillä maksutapahtumaa; eli kyseenalaistaa maksun saajaa. Myöskään lokista ei ilmene mitään tapahtumalokitietoa, joka ilmentäisi, että asiakas olisi syöttänyt korttitietoja verkkopankkisovellukseen. Maksutapahtuma on maksunvälityspalvelun kautta käynnistetty, ja se on käynnistetty maksun saajan oikeudettomasti tietovuodon/-varkauden kautta haltuunsa saamilla maksuvälinetiedoilla.

Myöskään konteksti maksutapahtuman yhteydessä ei ole antanut asiakkaalle mahdollisuutta kyseenalaistaa tunnistautumistapahtumaa; rikollisella on ollut tietomurron kautta saatuna tieto kortin käyttäjän tarpeesta tehdä maksutapahtuma (hotellivarausmaksu), ja rikollisella on ollut saatuna kaikki tarvittavat yksilöivät tiedot maksajasta ja maksun aiheesta ja maksusta. Tietomurrolla saatuja tietoja hyödyntäen ja aidon hotellivarausjärjestelmän sivuston prosesseja mukaillen viestittely asiakkaan suuntaan on ollut vakuuttavaa ja luottamusta herättävää.

Asiakkaan maksutapahtumassa hyväksymishetken tiedot ja näkymä ovat siis olleet sellaiset, että asiakkaan tässä erityistapauksessa ei ole katsottava hyväksyneen kyseessä olevaa maksua vain sillä tulkintaperustelulla, että asiakas on käyttänyt mobiilitunnistetta kyseessä olevan maksun yhteydessä. Tunnuslukusovelluksen tunnistautumistoimintoa vain pintapuolisesti ja yksioikoisesti tarkasteleva oikeudettomuuden tulkinta olisi myös vastoin maksupalvelulakiin liittyvän direktiivin tavoitteita. Asiakas viittaa direktiiviin 2007/64/EY ja siihen, mitä maksuvälineen käytön kirjaamisen riittävyyden arviointiin liittyvästä harkinnanvaraisuudesta todetaan ns. uudessa maksupalveludirektiivissä (EU) 2015/2366, 72 artiklassa. Pääsääntöisesti tämän artiklan on tulkittu koskevan arviointia sitä, kuka on ollut kyseisessä maksutapahtumassa maksuvälineen käyttäjä, mutta tarkkaan lukien artiklan teksti ei muotoilussaan ole näin rajoittunut.

2.2 Pankin ehdot ja ohjeet tunnistussovelluksen käytöstä

Pankkitunnusehtojen mukaan tunnistautumistietoja saa käyttää vain se pankkitunnuksilla käytettäviä palveluja koskevan sopimuksen tehnyt asiakas, jolle pankki on antanut tunnistautumistiedot, ja tunnistautumistietojen käyttöä koskevat ohjeet pankki ilmoittaa pankkitunnusten turvallista käyttöä koskevissa ohjeissaan. Pankin internetsivujen ohjeissa määritetään tunnistussovelluksen turvallinen käyttö näin: ”Tarkista, että tapahtuma, jota olet vahvistamassa, on varmasti itse tekemäsi ja sovelluksen näyttämät tiedot täsmäävät. Jos vahvistuspyynnöt eivät liity omaan asiointiisi, sulje sovellus ja ole viipymättä yhteydessä [pankin] Asiakaspalveluun.”

Tässä tapauksessa asiakas ei ole toiminut em. sopimusehtojen vastaisesti, eikä pankin ohjeistuksen vastaisesti. Maksutapahtuma on hyväksymisen yhteydessä tarkistettu, nähtävillä olleet tiedot ovat täsmänneet eli ovat olleet tulevaan hotellimajoitukseen pohjautuvia. Tunnistautumistapahtuman yhteydessä asiakkaalla on ollut näkyvissä vain sellaisia tietoja, jotka ovat liittyneet todelliseen hotellimajoitusmaksutarpeeseen; asiakas ei voi olla vastuussa siitä, että maksu on oikeudettomasti välittynyt maksutoimeksiantopalvelun kautta rikolliselle, eikä hotellille.

2.3 Maksuvälineen luovutus/varkaus

Tässä tapauksessa asiakas ei ole luovuttanut maksuvälinettä sen käyttöön oikeudettomalle. Maksuväline on siirtynyt sen käyttöön oikeudettomalle tietomurron seurauksena, ilman asiakkaan toimia, ja siten että asiakkaalla ei ole ko. maksutapahtuman ajankohtana ollut mitään tietoa maksuvälinevarkaudesta.

Maksuvälinevarkauden takia asiakkaan maksutapahtuma vertautuu luottokortin fyysiseen varastamiseen ja sillä tehtyihin veloituksiin (esim. FINE-023327), toki ottaen huomioon, että verkkomaksuissa on tarpeen vahva tunnistautuminen. Tässä tapauksessa, koska varkauden yhteydessä tietomurtaja on saanut kaikki tarvittavat yksilöivät tiedot maksutapahtumaan, ja koska asiakkaalla ei tunnistautumistapahtumassa ole ollut minkäänlaista mahdollisuutta todeta sovellusnäkymässään merkkejä vilpillisestä toiminnasta, vahva tunnistautuminen menettelynä ei ole toiminut siten kuin lainsäätäjä on menettelyä edellyttäessään tarkoittanut. Tämä menettelyyn ja tunnistaumistoimiin liittyvä tapauskohtainen maksunvarmistuksen toimimattomuus ei voi olla asiakkaan vastuun peruste.

Yleinen tulkinta on, että silloin kun maksuväline on varastettu, sen avulla tehty maksutapahtuma on lähtökohtaisesti oikeudeton, ja tällöin maksupalvelulakiin liittyvä tarkastelu siirtyy MPL 62 §:n mukaisuuden selvittämiseen (kuten esim. FINE-023327).

Hotellinvarausjärjestelmien käytänteistä ja luottokorttitietojen antamisesta varattaessa: Hotellivarausjärjestelmien käyttö ei ole mahdollista ilman luottokorttitietojen antamista varauksen yhteydessä. Asiakas on antanut luottokorttitiedot Booking.com-hotellivarausjärjestelmään majoitusta varatessaan, ja hotelli on saanut luottokorttitiedot tätä kautta. Pankki ei ehdoissaan ja eikä ohjeistuksessaan tuo ilmi, että hotellivarausten (tai autovuokrausvarausten) tekeminen luottokorttitiedoilla olisi sopimusehtojen vastaista maksuvälinetietojen luovuttamista.

Tässä tapauksessa on kyseessä maksuvälinevarkaus, josta asiakas on ilmoittanut sulkujärjestelmään viipymättä sen paljastumisen jälkeen. Asiakas on huolehtinut maksuvälineestä maksupalvelulain 53 §:n mukaisesti, ja ilmoittanut varkaudesta lain 54 §:n edellyttämällä tavalla.

2.4 Yhteenveto oikeudettomuustarkastelusta

Maksutapahtuman yhteydessä asiakkaalla ei ole ollut mitään mahdollisuutta tiedostaa tapahtunut maksuvälinevarkaus, eikä mitään mahdollisuutta havaita maksutapahtuman hyväksymisen yhteydessä nähtävillä olevista sovellustiedoista maksuvälinevarkaudesta seurannut varastetun maksuvälineen rikollinen käyttö maksuveloitukseen, eikä siten myöskään mitään mahdollisuutta kyseenalaistaa vastaanotettu maksuveloituspyyntö, joka tuolloin käytettävissä ja nähtävillä olleiden tietojen perusteella on asiakkaan aiemmin tekemän hotellimajoitusvarauksen maksuveloituspyyntö.

Kyseessä on varastetun maksuvälineen käyttö. Tapauskohtaiset olosuhteet huomioiden asiakkaan ei ole katsottava hyväksyneen kyseessä olevaa maksua vain sillä perusteella, että asiakas on käyttänyt mobiilitunnistetta. Maksutapahtuma on oikeudeton (MPL 38 §).

3 Huolellisuus/huolimattomuus

3.1 Yleistä

Asiakas viittaa maksupalvelulain 53, 54 ja 62 §:in sekä pankkitunnuksilla käytettävien palvelujen yleisiin sopimusehtoihin

3.3 Asiakkaan huolellisuus

Asiakas on käyttänyt maksuvälinettä maksupalvelulain ja pankin sopimusehtojen mukaisesti ja huolehtinut maksuvälineestä ja siihen liittyvistä tunnuksista. Asiakas ei ole luovuttanut maksuvälinettä, maksuvälinetietoja, tunnistautumistietoja sivullisen tietoon tai haltuun. Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan maksupalvelulain 62 §:n 1 mom. 1 kohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Maksupalvelulain perustelumuistio korostaa pankin sopimusehtojen sisältämien täsmällisten maksuvälineen käyttöä koskevien määrittelyjen roolia. Pankin palvelujen yleisissä sopimusehdoissa ei ole sellaisia maksuvälineen käyttöä koskevia sopimusehtoja, joiden noudattamista asiakas olisi laiminlyönyt.

Yleinen konteksti maksun hyväksynnän yhteydessä ei ole antanut asiakkaalle mahdollisuutta kyseenalaistaa pankin tunnistussovelluksen tunnistautumistapahtumaa; rikollisella on ollut tietomurron kautta saatuna tieto kortin käyttäjän tarpeesta tehdä maksutapahtuma ja kaikki tarvittavat yksilöivät tiedot maksajasta ja maksun aiheesta ja maksusta.

Myöskään maksutapahtuman toistuminen neljä kertaa ei osoita asiakkaan huolimattomuutta. Tunnistussovelluksen käytössä ja käyttöliittymässä on useamman kerran aiemminkin ollut häiriöitä. Sovelluksen käyttöön liittyvät häiriöt, hitaudet, jumiutumiset voivat johtua useastakin syystä, esimerkiksi itse sovelluksesta, verkkopankin toiminnallisista häiriöistä, dataliikenteen häiriöistä tai hitaudesta, mutta asiakkaan ei voi vaatia olevan tunnistussovelluksen asiakkaalle tarjoaman olemattoman tiedon pohjalta kykenevä pääsemään selvyyteen sovellushäiriön seuraamuksista, eli siitä, onko vai eikö sovelluksen maksunvahvistustoimenpide ole tullut suoritetuksi ja maksu toteutunut; käytännössä sovellus ei ole antanut mitään palautetta maksun toteutumisesta/toteutumattomuudesta, sen onnistumisesta/epäonnistumisesta. Sovelluksen toiminta on ollut aiemminkin puutteellista/katkeilevaa/häiriöllistä, eikä asiakkaan voi olettaa olevan perillä sovelluksen toimintapuutteiden kulloisestakin syystä. Yleisesti sovellusten 'jumiutumiset' synnyttävät ko. sovelluksen käyttäjässä tulkinnan, että jotain meni vikaan, eli suorite epäonnistui. Kun tässä tapauksessa sovellukseen häiriöityneen toiminnan lisäksi maksun vastaanottajan eli 'hotellin' sivusto samanaikaisesti antoi tunnistautumistoimenpiteen epäonnistumisesta saman suuntaista viestiä, eli että suorite epäonnistui, niin asiakkaan on ollut mahdoton kyseenalaistaa kahdelta taholta tullutta saman suuntaista tietoa: maksunvahvistustoimenpide ei ole onnistunut. Rikollinen on harkitusti valinnut maksutoimeksiantopalveluksi sellaisen maksajaturvaominaisuuksiltaan ala-arvoisen kansainvälisen toimijan, jonka fintech-sovelluksen maksajaturvallisuuteen liittyvät ominaisuudet ovat vajavaiset.

Tapahtuneen oikeudettoman maksutapahtumaketjun pohjalta voidaan esittää kysymys, onko tunnistussovelluksessa tai muutoin vahvan tunnistamisen tietoteknisessä järjestelmässä kehittämistarvetta. Useat fintech-sovellukset ovat ottaneet käyttöön turvakäytännön, jossa asiakas saa vahvan tunnistautumisen yhteydessä välittömän vahvistuksen maksutapahtuman onnistumisesta, tai ilmoituksen maksutapahtuman epäonnistumisesta; ja onnistuneessa maksutapahtumassa sovellus yhdistää käyttäjänäkymän vasta tuon maksutapahtumavahvistuksen jälkeen maksun saajalle.

Pankki esittää epäilyjä siitä, että asiakkaaseen olisi kohdentunut kalasteluviestejä, joiden päämääränä on ollut majoitusvarauksen ja Booking.com-sivuston tilitietojen hankkiminen. Pankin esittämille epäilyille ei ole mitään perustetta, tällaista tietojenkalastelua ei ole ollut. Jo se, että ko. hotelli on asiakkaalle kertonut, että hotellin asiakkaisiin liittyviä maksuvälinetietojen väärinkäytöksiä on tapahtunut (puhelinloki 16.1.2023 klo 20.51), ja lisäksi pari päivää myöhemmin hotelli on kaikille varauksen tehneille asiakkailleen viestinyt Booking.com-viestijärjestelmän kautta 18.1.2023, että hotellin asiakkaisiin kohdentuu huijausyhteydenottoja ja että asiakkaan maksuvälinetiedot on oikeudettomasti hankittu nimenomaan majoitusvaraustietokannasta/majoittajan tietokannasta; ilmeisimmin hotellin tietokannasta, koska huijaukset ovat kohdentuneet juuri tuon hotellin asiakkaisiin. Asiaan liittyvää täsmällisempää tietoa ja asiakkaan kertomusta vahvistavia lisätietoja antaa tarvittaessa poliisi, ko. maan poliisi ja kyseinen majoittaja antavat.

Pankki toteaa, ettei se, miten korttitiedot ovat joutuneet sivulliselle, ole ratkaisevaa. Tietenkin tämä on oleellista ja ratkaisevaa, ja se on ratkaisevaa liittyen maksutapahtuman oikeudettomuuteen, ja se on ratkaisevaa liittyen asiakkaan huolellisuuteen.

Pankki esittää konemaisesti katsovansa asiakkaan antaneen suostumuksensa riidanalaisille maksuille hyväksymällä sen omaan laitteeseensa rekisteröidyssä tunnistussovelluksessa. Tapahtumien kulku on kaikilla tiedossa eikä asiakkaan valituksessa sen kiistämisestä ole kyse. Lainmukaisuusnäkökulmassaan pankki esittää perusteettomia epäilyjä ja lopussa yksioikoisesti toteaa maksutapahtuman toteutumisen itsessään olevan peruste tulkita sen olevan asiakkaan vastuulla. Pankin vastaus jää monin osin vajaaksi, eikä pankki siinä kattavasti vastaa valituskirjeen oikeudettomuusharkintaa käsitteleviin kohtiin.  Vastauksissa on jätetty ottamatta kantaa seuraaviin asiakkaan esiin nostamiin asioihin: maksuvälinevarkauden osuuteen maksun oikeudellisuusarvioinnissa, sopimusehtojen mukaisuusarviointiin, maksutoimeksiantopalvelun käyttöön tunnistautumistapahtumassa, tunnistussovelluksen käytössä koettuun ongelmallisuuteen, jne.

Asiakas viittaa maksupalvelulain 86 a § (Asiakasvalitusten käsittely) 2 momenttiin, jonka mukaisesti pankki ei ole vastauksissaan toiminut: ”Vastauksessa on otettava kantaa kaikkiin valituksessa esitettyihin seikkoihin...” Saaduista vastauksista ei voi olla saamatta vaikutelmaa, että asiakkaan esittämään reklamaatioon ei ole perehdytty tarvittavassa määrin.

Pankki neuvoo asiakasta tunnistautumissovelluksensa käytössä seuraavasti: ”Vahvistuspyynnöissä mainitaan selkeästi, koskeeko vahvistuspyyntö esimerkiksi kirjautumista verkkopankkiin tai maksun vahvistusta”. Tämä ero on toki ollut asiakkaan tiedossa. Se että hotellin viestityksessä on ollut tekstihäilyvyyttä (esimerkiksi 'confirm the discount'), ei ole merkityksellistä asiakkaan näkökulmasta. Ja häilyvät sanavalinnat on mahdollista päätellä johtuneen kirjoittajan eli hotellivirkailijan vieraan kielen taidon vajavuudesta. Hotellimaksu on ollut joka tapauksessa tarkoitus maksaa, joko ennakkoon tai saavuttaessa hotelliin, ja tunnistussovelluksen näyttämät maksutiedot ovat olleet majoitusmaksun mukaiset.

Asiakas on ollut FINE:en yhteydessä tammikuun lopussa ja tuolloin saanut asiantuntijavastauksen, jossa viitataan pankkilautakunnan käsittelemään tapaukseen FINE-042253. Tuossa mainitussa esimerkkitapauksessa asiakkaalle kielteinen ratkaisu on perustunut siihen, että asiakas on antanut riidanalaisten maksujen vahvistukset tunnuslukusovelluksessaan, jossa on ennen vahvistusten antamista näkynyt kulloinkin vahvistettavan tapahtuman tiedot. Tämä esimerkkitapaus kuitenkin oleellisesti poikkeaa nyt riidanalaisesta tapauksesta. Esimerkkitapauksessa ei ole ollut maksuvälinevarkautta ja muuta maksuun liittyvää tietomurtoa, siinä ei ole myöskään ollut taustalla aitoa maksuaihetta vaan maksutapahtumat pohjautuvat verkkourkintaan, mikä luo asiakkaalle mahdollisuuksia tiedostaa huijaus, ja esimerkin tunnistautumistapahtumassa asiakkaan näkymässä (sekä ensi- että lisävahvistuksessa) on ollut sellaiset tiedot, joiden pohjalta asiakas olisi pitänyt voida havahtua huomaamaan maksutapahtuman vilpillisyys. Nyt kyseessä olevaa, riidan alaiseksi asetettavaa tapausta vastaavaa aiempaa FINE-ratkaisusuositusta ei tietokannasta ole löytynyt.

6 Yhteenveto

Asiakas katsoo, että maksutapahtuma on oikeudeton maksupalvelulain 38 §:n mukaisesti. Ottaen huomioon tapahtunut maksuvälinevarkaus, ja maksutapahtuman hyväksymisen yhteydessä asiakkaan nähtävillä olleet tiedot, ja tietämättömyys tapahtuneesta maksuvälinevarkaudesta, asiakkaan ei ole katsottava tehneen kyseessä olevaa maksua vain sillä perusteella, että asiakas on kirjoittanut tunnistussovellukseen tunnusluvun.

Luottokortin oikeudeton käyttö ei johdu myöskään asiakkaan huolimattomuudesta tai siitä, että asiakas on laiminlyönyt pankin ehtojen mukaiset velvollisuutensa. Lisäksi koska tunnistautumistapahtuman yhteydessä sekä tunnistussovelluksen jumiutuminen epänormaalin pitkäksi ajaksi että maksun saajan verkkosivuston ponnahdusikkunaviestitys välittivät asiakkaalle samaa tietoa siitä, että kulloinenkin maksuyritys on epäonnistunut, asiakkaan uudelleentunnistautumisyritykset eivät ole osoitus asiakkaan huolimattomuudesta.

Maksutapahtuma on oikeudeton, ja koska maksupalvelulain 62 §:stä ei muuta johdu, lain 63 §:n mukaisesti palveluntarjoajan on palautettava maksutapahtuman rahamäärä asiakkaalle.

Pankin vastine

Pankki kiistää asiakkaan vaatimukset. Asiakkaalle on ennen maksunvahvistusta näytetty olennaiset maksutiedot, ja asiakas on hyväksynyt maksut omassa pankin tunnistussovelluksessaan. Näin ollen pankki ei katso olevansa vastuussa riidanalaisista korttimaksuista.

Tapahtumainkulku

Kaikki riidanalaiset maksut on tehty pankin asiakkaalle myöntämällä MasterCard -luottokortilla. Maksut on vahvistettu asiakkaan omassa käytössä olleella pankin tunnistussovelluksella, joka on aktivoitu asiakkaan käyttöön 10.11.2020.

Asiakas on saanut kustakin riidanalaisesta korttimaksusta sovellukseensa herätteen, jonka sisältö ilmenee 16.1.2023 tapahtumalokista. Tapahtumalokilta ilmenee, että asiakas on saanut tunnistussovellukseensa viisi herätettä korttimaksuista, joista hän on vahvistanut neljä maksua aikavälillä klo 20.03–20.09. Neljän onnistuneen maksun jälkeen huijarit ovat yrittäneet vielä viidettä 748 euron korttimaksua samalle maksunsaajalle klo 20.13. Tämän maksun asiakas on jättänyt hyväksymättä.

Ennen maksunvahvistusta pankinsovelluksessa on lukenut ”Nets pyytää vahvistusta [rivinvaihto] Haluatko suorittaa Mastercard korttimaksun?”. Lisäksi sovelluksessa on lukenut allekkain maksunsaajan nimi, maksun määrä, valuutta, asiakkaan kortin neljä viimeistä numeroa sekä veloituksen päivämäärä. Pankin tunnistussovelluksessa korttimaksut vahvistetaan asiakkaan henkilökohtaisella tunnuslukukoodilla, eli vahvaa sähköistä tunnistamista käyttäen. Riidanalaisten tapahtumien jälkeen asiakas on ensimmäisen kerran kirjautunut mobiilipankkiinsa viidennen veloitusyrityksen jälkeen klo 20.14. Riidanalaisia maksuja edeltävällä kirjautumistapahtumalla klo 18.43 ei vaikuta olevan liityntää riidanalaisiin tapahtumiin ajallisesti tai muutoinkaan, kuten ei muillakaan asiakkaan MasterCard-kortilla 16.1.2023 tapahtumilla.

Asiakas on noin tunnin kuluttua riidanalaisten tapahtumien jälkeen ilmoittanut maksuvälineiden oikeudettomasta käytöstä sulkupalveluun, ja hänen korttinsa ja pankkitunnuksensa on suljettu 16.1.2023 klo 21.05.

Sovellettava lainsäädäntö ja sovellettavat sopimusehdot

Pankki viittaa maksupalvelulain 38, 40, 53, 54 ja 62 §:in sekä lainvalmisteluaineistoon.

Pankin korttiehtojen kortinhaltijan vastuuta koskevan mukaan kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan pankille tai muun korttiominaisuuden myöntäneelle yritykselle hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla pankin hyväksymällä tunnisteella. Tilinomistaja ja yhteisvastuullinen kortinhaltija vastaavat kaikilla tiliin liitetyillä korteilla tehdyistä tapahtumista sekä kaikista niistä korttitapahtumista, jotka on tehty ennen kuin pankki on vastaanottanut irtisanomisilmoituksen.

Kortin käyttämistä koskevan kohdan mukaan ennen korttitapahtuman hyväksymistä, kuten tunnusluvun näppäilemistä, muun pankin hyväksymän tunnisteen tai lähimaksuominaisuuden käyttämistä, kortinhaltijan on tarkistettava tapahtumaan merkityn valuutan, maksun määrän ja maksutavan oikeellisuus.

Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.

Pankki viittaa myös pankkitunnusehtojen kohtaan Kuluttaja-asiakkaan vastuu tunnistautumistietojen käytöstä Verkkopankkipalvelussa.

Vastuu pankkitunnuksilla vahvistetuista korttimaksuista

Asiakas on kertonut vastaanottaneensa 15.1.2023 alkaen WhatsApp-viestejä, joiden hän on olettanut liittyvän todelliseen hotellivaraukseensa. Luottaen saamiinsa WhatsApp-viesteihin ja huijaussivustolla olleeseen informaatioon, asiakas on mm. omasta aloitteestaan neuvotellut hinnanalennuksesta, asioinut WhatsApp-viestissä olleen linkin kautta auenneella sivustolla, sekä vahvistanut riidanalaiset maksut huijareilta saamiensa ohjeiden mukaisesti pankin omassa sovelluksessa. Asiakas on huijaussivuston antamaan informaatioon perustuen luullut, että maksut eivät olisi menneet läpi, joten hän on vahvistanut neljä peräkkäistä 748 euron korttimaksua samalle maksunsaajalle ”Flutterwave”.

Tapahtumainkulun perusteella vahinko on aiheutunut siitä, että asiakas on ensisijaisesti luottanut WhatsApp-viesteissä ja huijaussivustolla saamansa informaatioon, eikä pankin tunnistussovelluksen näyttämiin todellisiin maksutietoihin. Riidanalaiset maksut ovat edellyttäneet pankin tunnistussovelluksessa tehdyn maksunvahvistuksen lisäksi sitä, että korttiveloitukseen tarvittavat tiedot ovat olleet huijareiden tiedossa. Korttiveloituksen tekemiseen tarvittavat tiedot ovat kortinhaltijan nimi sekä kortin numero, voimassaolotieto ja kortin tunniste (CVC2-koodi).

Riidanalaiset maksutapahtumat ovat seurausta ns. spear phising -tyyppisestä tietojenkalastelusta, jossa huijarit ovat saavuttaneet asiakkaan luottamuksen todelliseen matkavaraukseen liittyvillä tiedoilla, ja saaneet hänet itse vahvistamaan riidan kohteena olevat maksut. Tyypillisesti tällaista kohdennettua huijausta edeltää muu tietojenkalastelu. Huijarit ovat hyväksikäyttäneet näin hankkimiaan henkilökohtaisia tietoja kohdennetussa huijauksessa, joka on johtanut taloudelliseen vahinkoon. Asiakkaan mukaan hänen henkilökohtaisten tietojensa joutuminen huijareille on johtunut Booking.com-sivuston tietovuodosta.

Henkilö- tai luottokorttitietojen vuotaminen Booking.com-sivustolta ei ole pankin tiedossa, eikä tästä mainita esim. Booking.com-sivustolla tai EU:n julkisissa tietosuojarikkomusraporteissa. Booking.com-tilin haavoittuvuuksia on ainakin vuodesta 2018 käsitelty lukuisissa internet-julkaisuissa, joiden perusteella Booking.com-tilin kaappaus vaikuttaisi mahdolliselta kalastelemalla käyttäjän todennuskoodi sekä väärinkäyttämällä Booking.com-sivuston kirjautumismekanismia. Tilin hakkerointi kuitenkin edellyttäisi aina esim. sähköpostiviestissä olevan huijauslinkin klikkaamista sekä Booking.com-tilin todennuskoodin antamista huijaussivustolle.

Pankilla on ensi käden tietoa vain pankin palveluihin kohdistuvista kalastelukampanjoista, joita voi olla käynnissä samanaikaisesti useita erilaisia, ja joista pankki varoittaa asiakkaitaan. Tapahtumainkulun perusteella vaikuttaa kuitenkin todennäköiseltä, että huijarit olisivat ensin päässeet tavalla tai toisella käsiksi asiakkaan Booking.com-tilin tietoihin. Valituksessa ei ole otettu tarkemmin kantaa siihen, onko asiakas ennen riidanalaisia maksutapahtumia esim. vastaanottanut Booking.comin nimissä kalastelusähköposteja, ja jos on, miten hän on reagoinut niihin.

Asiassa jäänee epäselväksi, onko riidanalaisten maksujen taustalla asiakkaan Booking.com-tiliin kohdistunutta tietojenkalastelua. Myöskään siitä, miten korttitiedot olisivat joutuneet sivulliselle, ei liene saatavilla pitävää selvitystä. Asiakas on valituksessaan kiistänyt syöttäneensä korttiveloitukseen tarvittavia korttitietojaan WhatsApp-viestistä auenneelle huijaussivustolle, ja kertonut korttitietojensa joutuneen huijareille Booking.com-sivuston tietovuodon yhteydessä.

Jos asiakas olisi joutunut Booking.com-kalastelun uhriksi, pankki pitää jossakin määrin epätodennäköisenä, että korttiveloitukseen tarvittavat tiedot olisi kalasteltu hänen Booking.com-tililtään. Näin siksi, että EU-alueen tietosuojakäytäntöihin ei kuulu kaikkien korttitietojen käyttäminen luottokortin yksilöinnissä, vaan vakiintuneesti käytetään vain neljää viimeistä kortinnumeroa. Myös Pankki käyttää tätä suojakeinoa omassa mobiilisovelluksessaan. Joka tapauksessa pankki katsoo, ettei se, miten korttitiedot ovat joutuneet sivulliselle, ole ratkaisevaa arvioitaessa riidanalaisten maksujen oikeudettomuutta tai asiakkaan huolellisuutta.

Pankki on jättänyt riidanalaiset maksut asiakkaan vastuulle, sillä korttimaksut on vahvistettu asiakkaan omalle laitteelle rekisteröidyllä pankin tunnistussovelluksella, eli käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Asiakas on olennaiset maksutiedot nähtyään hyväksynyt riidanalaiset korttimaksut. Tapahtumalokin perusteella asiakas on jättänyt hyväksymättä vasta viidennen samansuuruisen maksun klo 20.13, ja tarkistanut luottokorttitapahtumat verkkopankistaan klo 20.14. Riidanalaiset korttimaksut on vahvistettu ennen maksuvälineiden sulkemista klo 21.05.

Ensisijaisesti pankki katsoo asiakkaan antaneen suostumuksensa riidanalaisille maksuille hyväksymällä sen omaan laitteeseensa rekisteröidyssä pankin tunnistussovelluksessa, eli pankin kanssa sovitulla tavalla. Riidanalaisia maksuja ei siten tule pitää maksupalvelulain 38 §:ssä säädetyllä tavalla oikeudettomana.

Jos maksu katsottaisiin oikeudettomaksi, pankki katsoo, että asiakkaalle on tällöinkin muodostunut vastuu oikeudettomista maksuista. Asiakkaan huolellisuusvelvoitteen laiminlyönti on tapahtumainkulkua koskevan kokonaisarvioinnin perusteella ja vahinkoriskin suuruus huomioiden katsottava maksupalvelulain 62 §:ssä säädetyllä tavalla törkeän huolimattomaksi tai tahalliseksi. Koska maksunvahvistuksessa on käytetty henkilökohtaisia turvatunnuksia, eikä riidanalaisten korttimaksujen tietoja ole tarkistettu pankin tunnistussovelluksessa, asiakkaan menettelyssä korostuu enemmänkin tahallisuus kuin törkeä huolimattomuus.

Pankki pitää asiakkaan joutumista tietojenkalastelun uhriksi erittäin valitettavana. Pankki pitää asiakkaiden yhdenvertaisen kohtelun kannalta tärkeänä, että tietojenkalasteluun liittyvä vastuunjakokäytäntö on yhdenmukaista.

Selvitykset

Valitus koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin korttiehdot
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Kuva valesivustolta
- Asiakkaan whatsapp-keskustelu hotellivarauksen muuttamisesta
- Rikosilmoitus
- Kuva hotellin lähettämästä booking.com:n kautta lähettämästä varoitusviestistä 18.1.2023

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. korttitapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin korttiehdot ja pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot (Pankkitunnusehdot).

Korttiehtojen Kortinhaltijan vastuu -kohdan mukaan

Kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan [pankille] tai muun korttiominaisuuden myöntäneelle yritykselle:
- hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla [pankin] hyväksymällä tunnisteella.
- käyttämällä korttia internetissä
[…]

Korttiehtojen Kortin käyttäminen -kohdan mukaan

”[…]
Ennen korttitapahtuman hyväksymistä, kuten tunnusluvun näppäilemistä, muun pankin hyväksymän tunnisteen tai lähimaksuominaisuuden käyttämistä, kortinhaltijan on tarkistettava tapahtumaan merkityn valuutan, maksun määrän ja maksutavan oikeellisuus.
[…]

Korttiehtojen [Pankin] oikeudet -kohdan mukaan

[Pankilla] on oikeus vastata kortilla tehtyä käteisnosto ja/tai korttiostotapahtumaa koskevaan katetiedusteluun ja varata tapahtumalle kate korttiin liitetyltä tililtä.
[Pankki] on oikeutettu veloittamaan korttiin liitetyltä tililtä käteisnostot ja maksut, jotka kortinhaltija on hyväksynyt esim. käyttämällä korttia yhdessä tunnusluvun kanssa tai muun [pankin] hyväksymän tunnisteen kanssa, käyttämällä korttia internetissä, […]. [Pankki] vastaa siitä, että veloitukset kirjataan korttiin liitetylle tilille.
[…]

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan

Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Asian arviointi

Pankkilautakunta katsoo tapauksessa olevan riidatonta, että asiakas on itse vahvistanut ko. korttimaksut puhelimessaan olleella pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen kunkin vahvistuksen antamista näkynyt asianmukaisesti korttimaksujen tiedot mukaan lukien maksun euromäärä ja saaja sekä lukenut seuraavaa: ”Nets pyytää vahvistusta. Haluatko suorittaa Mastercard korttimaksun?” Pankkilautakunta katsoo riidattomaksi, että ennen vahvistusten antamista asiakas on nähnyt tunnuslukusovelluksessaan vahvistettavien tapahtumien tiedot.

Vaikka asiakas on antanut em. vahvistukset tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen ja korttiehtojen mukaiset suostumuksensa pankille maksutapahtumien veloittamiselle korttiinsa liitetyltä tililtä. Näin ollen Pankkilautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle korttimaksuista asiakkaalle aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Hidén

Jäsenet:
Ahlroth
Atrila
Piilo
Tervonen

Tulosta