Haku

FINE-059114

Tulosta

Asianumero: FINE-059114 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.11.2023

Vastaako pankki asiakkaalle oikeudettomista tilisiirroista aiheutuneesta vahingosta sillä perusteella, että pankki olisi laiminlyönyt velvollisuuksiaan asiakkaalleen aiheutuvan vahingon rajoittamisessa? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Poikkeuksellinen maksutapahtuma. Maksunpalautuspyyntö. Vahingon rajoittaminen. Lojaliteettivelvollisuus.

Tapahtumatiedot

Asiakas on ollut 8.8.2022 hakeutumassa verkkopankkiinsa hakukonetta käyttäen, kun hän on päätynyt asioimaan rikollisten luomille pankin sivuilta näyttäneille valesivuille. Tämän seurauksena rikolliset ovat onnistuneet lataamaan ja aktivoimaan käyttöönsä klo 16.51 asiakkaan nimissä olevan pankin tunnistussovelluksen, jota käyttäen rikolliset ovat tehneet oikeudettomia tilisiirtoja asiakkaan ja hänen lastensa tileiltä, joiden käyttöoikeus asiakkaalla oli. Viimeinen tilisiirto ulkopuoliselle suomalaiseen pankkiin B on tehty 8.8.2022 klo 18.09.

Asiakas huomasi tulleensa huijatuksi ja oli yhteydessä pankin asiakaspalveluun 8.8.2022 klo 19.07. Puhelun aikana asiakkaan verkkopankki suljettiin ja tunnistussovelluksen lataaminen estettiin. Lisäksi asiakasta ohjeistettiin tekemään rikosilmoitus, jotta maksunpalautuspyyntö saadaan tehtyä. Pankki ilmoitti verkkohuijauksesta pankin keskusrahalaitokselle 8.8.2022 klo 20.44. Pankki toimitti 9.8.2022 klo 13.43 asiakkaan rikosilmoituksen sekä petosperusteisen palautuspyynnön keskuspankilleen, josta ne on toimitettu samana päivänä edelleen pankkiin B. Asiakkaalle on ilmoitettu 18.9.2022, ettei varoja saada palautettua.

Pankki on korvannut oikeudettomista siirroista ne, jotka on tehty asiakkaan täysi-ikäisten lasten tileiltä, joiden käyttöoikeutta asiakkaalla ei olisi enää lasten täysi-ikäistyttyä tullut olla.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan alaikäisten lastensa rahat, 5.059 euroa.

Asiakas joutui 8.8.2022 verkkopankkihuijauksen kohteeksi. Asiakkaan verkkopankkitunnusten alla olevilta lasten tileiltä siirrettiin rahat (9.000 euroa) yhdelle tilille, josta ne lähtivät siirtona pankkiin B. Pankki myönsi virheensä sen suhteen, että täysi-ikäisten lasten tilien olisi pitänyt siirtyä pois verkkopankkitunnuksien alta heidän tultuaan täysi-ikäisiksi ja korvasi heidän menettämänsä rahat. Kolmen alaikäisen rahoja pankki ei ole suostunut korvaamaan.

Asiakkaan mielestä pankki ei tehnyt kaikkea voitavaansa tilisiirron pysäyttämiseksi tai rahojen jäädyttämiseksi, siirron oikeellisuuden tarkistamiseksi. Pankista B asiakkaan saaman tiedon mukaan kyseinen siirto olisi voitu pysäyttää, jos olisi toimittu heti. Myös pankin C turvallisuuspuolelta oli ihmetelty, eikö näin suurta tilisiirtoa tarkisteta, varsinkin kun kyseessä on alaikäisen tili, jolta ei yleensä tällaisia summia siirry. Pankki ilmoitti, että heidän rahaliikenteensä kulkee keskuspankin kautta ja väittämänsä mukaan he eivät pysty niihin vaikuttamaan.

Pankista B kerrottiin, että jos tilisiirto tapahtuu ennen klo 14, niin raha siirtyy reaaliajassa. A on toimittanut kuvakaappauksen pankin B kanssa käydystä chat-keskustelusta. Jos siirto tehdään klo 14 jälkeen, niin kuin tässä tapauksessa, raha siirtyy vasta seuraavana pankkipäivänä. Tämä todistaa jo sen, että pankki ei ole toiminut vaadittavalla nopeudella. Pankilla olisi ollut hyvin aikaa pysäyttää siirto. Jos pankin ja Keskuspankin välinen toiminta olisi ollut tarpeeksi ripeää, olisi tilisiirto saatu jäädytettyä ja tarkistettua. Jos asia olisi tarkistettu keskuspankissa samana iltana, eikä seuraavan päivän iltapäivänä, olisi siirto ehditty jäädyttää pankissa B. Muilla pankeilla on valmiudet tähän huomattavasti paremmat ja tehokkaammat, sekä tilisiirtojen valvonta on järjestetty paremmin. Pankin turvallisuustoimet eivät ole ajantasaiset.

Rikospoliisi toi 2.6.2023 esille, että raha oli siirtynyt pankin B tilille vasta 9.8.2022, kun huijaus tapahtui asiakkaan pankin tileillä 8.8.2022. Asiakkaan yhteydenotto pankin asiakaspalveluun tapahtui 2 tuntia tapahtuman jälkeen noin klo 19. Poliisin kuulemisessa tuli myös ilmi, että siinä ajankohdassa samalle pankin B pankkitilille oli yritetty vastaavanlaista pankkisiirtoa, mutta tämä oli saatu pysäytettyä sen pankin toimesta, josta sitä oli yritetty siirtää.

Pankki on korvausvelvollinen, koska asiakas on olettanut pankin pystyvän pysäyttämään rahojen siirron, kun asiakas on itse ollut yhteydessä pankkiin jo kahden tunnin kuluttua tapahtuneesta. Asiakkaan mahdollisuus toimia ja vaikuttaa loppuu tähän eikä hänellä ole ollut mahdollisuutta enää puuttua tilisiirron kulkuun.

Pankin vastineesta käy ilmi, että pankin toiminnassa on ollut viive tiedon välittämisessä Keskuspankille ja sitten vielä pidempi viive Keskuspankin toiminnasta yhteydenoton suhteen pankin B suuntaan. Pidempi viive on syntynyt siitä, että Keskuspankki on vaatinut rikosilmoitusta ennen toimeen ryhtymistä. Tämä lienee pankin oma päätös, sillä maksupalvelulain 40 § momentti 4 toteaa: ”Edellä 1–3 momentissa tarkoitetun ajankohdan jälkeen maksutoimeksianto voidaan peruuttaa vain, jos maksupalvelun käyttäjä ja asianomaiset palveluntarjoajat niin sopivat.” Eli maksupalvelulaki mahdollistaa toimeksiannon peruuttamisen yhteisellä sopimuksella.

Rikosilmoituksen asiakas teki ja se kirjattiin poliisilaitoksella 9.8.2023 klo 8.07. Asiakas jäi suoraan kaupungin keskustaan odottamaan päästäkseen mahdollisimman pian pankkiin tekemään rahanpalautuspyynnön ja jättämään rikosilmoituksen sinne. Pankista soitettiin klo 9.24 ja annettiin aika pankkiin klo 13.15, vaikka asiakas oli valmis menemään sinne heti. Asiakas ei pystynyt vaikuttamaan pankin antamiin aikatauluihin. Jos olisi toimittu heti aamulla nopeasti, rahojen siirtyminen olisi voitu estää. Asiakkaan mielestä pankin tulisi tietää, missä ajassa rahasiirrot välittyvät ja tehdä kaiken voitavansa, että tällaiset siirrot voidaan pysäyttää ja estää.

Pankki toteaa, että Keskuspankilta ei ole saatu aikataulutietoja palautuspyynnöstä pankkiin B, koska kyseessä ei ole julkinen tieto. Koska pankki tai heidän maksujen välitysliikennettä suorittava taho Keskuspankki ei suostu kertomaan asianosaisille palautuspyynnön ajankohtaa, on asia tulkittava niin, että pankki ei ole toiminut ajoissa tai riittävän huolellisesti vahingon estämiseksi.

Pankki seuraa asiakkaiden maksuliikettä ja pyytää tilitapahtumista tarvittaessa lisäselvityksiä. Riskienhallinnallisista syitä pankki ei voi avata seurannassa käytettyjä malleja tarkemmin. Malleissa on selkeitä puutteita, koska tällaista erittäin poikkeuksellista tapahtumaa ei ole saatu keskeytettyä.

Johtopäätöksenä voidaan todeta, että pankin omien toimien seurauksena maksutoimeksiannon keskeyttäminen on viivästynyt niin pitkään, että se ei ole ollut enää mahdollinen. Pankki olisi kyennyt jäädyttämään siirron keskuspankkinsa kautta, jos toiminta olisi ollut tarpeeksi nopeaa ja pankin turvallisuuspuoli ajan tasalla. Asiakkaan mielestä maksuliikenteen poikkeustapausten ja epätavallisten tilisiirtojen seuraaminen on pankissa puutteellista, varsinkin kun siirto on lähtenyt alaikäisen tililtä.

Pankin vastine

Asiakas vaatii, että pankki korvaa alaikäisten lasten tilivarat (5.059 euroa), joita ei petosperusteisen maksupalautuspyynnön perusteella saatu palautettua. Asiakkaan käsityksen mukaan pankki ei ole toiminut vaadittavalla nopeudella tilisiirron pysäyttämisessä sekä pimittänyt tahallisesti asiakkaalta tietoja, minkä vuoksi pankki on asiakkaan käsityksen mukaan korvausvelvollinen. Vaatimuksensa tueksi asiakas on selvittänyt muutaman muun pankin toimintaa, mutta valituksessa ei ole tarkkaan kuvattu mistä tiedot on hankittu, onko tiedot antanut kyseisen pankin toiminnoista vastaava taho vai joku muu. Lisäksi asiakas tuo ilmi pankin vastuun siitä, että pankki automaattisesti tunnistaa poikkeavia maksutapahtumia ja pysäyttää ne.

Pankin vastaus

Asiakkaan käsityksen mukaan pankki ei ole toiminut vaadittavalla nopeudella Suomen pankki B:hen menneen SEPA-tilisiirron pysäyttämisessä sekä lisäksi pankki on pimittänyt tahallisesti asiakkaalta tietoja, minkä vuoksi pankki on asiakkaan käsityksen mukaan korvausvelvollinen. Asiakas edellyttää, että asiassa arvioidaan nimenomaan pankin menettelyä, kun tilisiirtoja, joihin suostumus on annettu vahvasti sähköisesti tunnistettuna, käsitellään tai yritetään pysäyttää maksujen käsittelyjärjestelmistä.

Asiakas joutui huijatuksi 8.8.2022 kirjautuessaan pankin verkkopalveluun vastoin pankin ohjeistuksia Google-hakupalvelun kautta. Asiakas kertoo ihmetelleensä verkkopankin toimintaa tuolloin. Huijari on ladannut pankin tunnistussovelluksen, jolloin asiakas on saanut pankilta kaksi tietoturvavaroitus-tekstiviestiä, joiden olisi osaltaan pitänyt herättää asiakasta ottamaan yhteys varsinkin, kun hän ihmetteli verkkopankin hitautta. Tunnuslukusovellus on ladattu 8.8.2022 klo 16.51.44. Asiakkaan verkkopankkiin oli liitetty hänen lastensa tilit, joiden kesken tehtiin tilisiirtoja 8.8.2022 klo 18.07.55-18.08.34 sekä viimeinen tilisiirto ulkopuoliselle pankkiin B klo 18.09.37.

Asiakas huomasi myöhemmin tulleensa huijatuksi ja oli yhteydessä pankin asiakaspalveluun 8.8.2022 klo 19.07.39, jonka puhelun aikana asiakkaan verkkopankki suljettiin sekä estettiin verkkopankin/tunnistussovelluksen lataaminen. Lisäksi asiakasta ohjeistettiin tekemään rikosilmoitus, jotta maksunpalautuspyyntö saadaan tehtyä. Edellä kuvattu puhelu kestää keskimäärin 30–45 minuuttia. Pankki on ilmoittanut verkkohuijauksesta pankin keskusrahalaitokselle 8.8.2022 klo 20.44.

9.8.2022 klo 13.43 pankki toimitti rikosilmoituksen sekä petosperusteisen palautuspyynnön Keskuspankille, josta ne on toimitettu 9.8.2022 edelleen pankkiin B. Pankki ei ole saanut Keskuspankilta kellonaikaa, jolloin pyyntö on lähetetty eteenpäin, koska se ei ole julkista tietoa eikä Keskuspankki siten luovuta tietoa. Keskuspankki on vastannut seuraavasti:

Euromääräisten maksujen eli SEPA-tapahtumien oikaisupyynnöt välitetään pankkien välillä eurooppalaisen maksujenvälitystoimijan sääntökirjan mukaisesti ja niitä käsitellään siinä määritettyjen käsittelyprosessien mukaisesti. Nämä prosessit aikatauluineen eivät ole julkista tietoa.
Suomessa toimivien SEPA-alueen pankkien välillä ei ole erillistä kansallista prosessia petostapausten käsittelyä varten. Petostapahtumien osalta varoja pyydetään takaisin lähettämällä SEPA oikaisupyyntö pankkien välillä. SEPA oikaisupyyntöjen lähettäminen saajan pankkiin ei itsessään takaa varojen saamista takaisin varojen vastaanottajalta edes silloin, kun saajan tilillä olisi varoja.
Tämän selvityksessä olevan tapahtuman osalta petosperusteinen oikaisupyyntö on välitetty [pankista] ensimmäisessä välityssyklissä sen jälkeen, kun tieto oikaisupyynnöstä on tullut välittävän pankin käsittelyyn.

Asiakkaalle on ilmoitettu 18.9.2022, ettei varoja saada palautettua. Pankki ei ole itse maksujenvälityksen osapuoli, vaan pankin keskuspankkina toimii pankkiryhmän Keskuspankki, minkä vuoksi pankki ei voi itse suoraan olla yhteydessä muihin maksuliikepankkeihin, vaan kaikki yhteydenpito tapahtuu pankin keskuspankin kautta. Näin varmistetaan osaltaan myös asian mahdollisimman nopea hoito, toisen pankin edustajan asianmukainen tunteminen yhteydenotoissa. Pankin omissa sisäisissä ohjeissa toimihenkilöitä ohjeistetaan olemaan yhteydessä keskuspankkiin mahdollisimman nopeasti, kun tieto mahdollisesta huijauksesta on saatu. Pankki ei ole itse maksujenvälityksen osapuoli, vaan pankin keskuspankki on, jonka kautta yhteydenpito maksuliikennepankkeihin tapahtuu.

SEPA-maksut lähetetään (käsittää myös SEPA-maksut Suomessa toimivien pankkien tileille) Keskuspankin järjestelmistä EBA clearingiin useamman kerran päivässä, jossa maksut käsitellään omien sääntöjen mukaisesti. Näihin EBA clearingin aikoihin pankki/keskuspankki ei voi vaikuttaa.

Pankki on pyytänyt Keskuspankilta lisäselvitystä asiaan liittyen ja Keskuspankki on ilmoittanut pankille, ettei pankkiin B mennyttä SEPA tilisiirtoa voitu enää estää, kun Keskuspankki sai asiasta tiedon. Keskuspankki teki petosperusteisen palautuspyynnön, kun sai pankilta tarvittavat tiedot 9.8.2022.

Asiakas on nostanut kirjelmässään vaatimuksen automaattisesta maksutapahtumien seurannan sekä tapahtumien pysäyttämisestä. Pankki seuraa asiakkaiden maksuliikettä ja pyytää tilitapahtumista tarvittaessa lisäselvityksiä. Riskienhallinnallisista syitä pankki ei voi avata seurannassa käytettyjä malleja tarkemmin.

Asiaan liittyviin tilisiirtoihin on annettu suostumukset vahvasti sähköisesti tunnistautuneena. Maksutoimeksiantoa ei voi yksipuolisesti peruuttaa sen jälkeen, kun pankki on toteuttanut asiakkaan antaman maksutoimeksiannon (Maksupalvelulaki 40 §). Tässä tapauksessa maksutoimeksianto on toteutettu, kun verkkopankissa asiakkaan tunnuksilla tehdyt maksut on veloitettu asiakkaan tililtä ja maksut välitetty maksujen selvitykseen ja edelleen saajan pankille. Ilman pätevää syytä maksajan pankki ei voi vaatia maksua palautettavaksi. Jotta pankki välttyy perusteettomilta maksujen palautuspyynnöiltä, vaaditaan petosperusteisissa tapauksissa asiakkaan tekemä rikosilmoitus. Pankki on kuitenkin ilmoittanut tapahtumasta ohjeidensa mukaisesti heti tiedon saatuaan Keskuspankille pyrkien estämään asiakkaan vahingot, mutta Keskuspankki ei ole tuolloin voinut tehdä enää mitään, kun maksu on välittynyt jo eteenpäin, minkä seurauksena maksua on vaadittu takaisin petosperusteisella maksunpalautuspyynnöllä siinä onnistumatta.

Pankki katsoo toimineensa asiassa maksupalvelulain ja hyvän pankkitavan mukaisesti, eikä näin ollen ole korvausvelvollinen menetetyistä tilivaroista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat: 
- Selvitys asiakkaan puheluista pankin asiakaspalvelun kanssa 8.8.2022 klo 19.07 ja 9.8.2022 9.24 
- Asiakkaan ja pankin väliset verkkopankkiviestit 17.8.-10.11.2022
- Kuvakaappaus chat-viesteistä asiakkaan ja pankki B:n välillä
- Tutkintailmoitus (Ilmoitusaika 9.8.2022 klo 8.07)

Ratkaisusuositus

Kysymyksenasettelu

Asian ratkaisemiseksi Pankkilautakunnan on arvioitava, onko pankki laiminlyönyt velvollisuuksiaan asiakkaalleen aiheutuvan vahingon rajoittamisessa korvausvastuun synnyttävällä tavalla.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 40 §:n mukaan
Maksupalvelun käyttäjä ei voi peruuttaa maksutoimeksiantoa sen jälkeen, kun maksajan palveluntarjoaja on vastaanottanut sen, jollei 2–4 momentista muuta johdu.

Luottolaitostoiminnasta annetun lain 15 luvun 1 §:n mukaan
Sen lisäksi, mitä muualla tässä laissa säädetään, luottolaitoksen on noudatettava hyvää pankkitapaa.

Asian arviointi

Tapauksessa on riidatonta, että rikolliset ovat asiakkaan verkkopankkitunnuksia ja pankin asiakkaalle tekstiviestitse lähettämää aktivointikoodia käyttäen aktivoineet käyttöönsä omalle laitteelleen pankin tunnistussovelluksen, jota käyttäen vahvistetut oikeudettomat tilisiirrot pankki on sopimusehtojen mukaisesti välittänyt pankki B:hen. Edelleen riidatonta on, että niiden maksupalvelulain säännösten ja pankkitunnuksia koskevien ehtojen mukaan, jotka koskevat maksuvälineen oikeudetonta käyttöä, asiakas vastaa tehdyistä tilisiirroista. Riitaista asiassa on sen sijaan se, olisiko vahingon määrää voitu rajoittaa pankin nopeammalla toiminnalla sekä se, onko pankki toiminut asianmukaisesti ja ilman aiheetonta viivästystä ottaessaan yhteyttä pankkiin B, ja onko pankki mahdollisten laiminlyöntiensä vuoksi korvausvelvollinen oikeudettomista tilisiirroista aiheutuneesta vahingosta.

Tapauksessa viimeinen tilisiirto pankkiin B on tehty 8.8.2022 klo 18.09 ja asiakas oli klo 19.07 yhteydessä pankin asiakaspalveluun. Pankki ohjeisti asiakasta tekemään rikosilmoituksen, jotta maksunpalautuspyyntö saadaan tehtyä. Asiakas teki seuraavana päivänä 9.8.2023 klo 8.07 rikosilmoituksen poliisilaitoksella ja sai varattua pankkiin ajan klo 13.15 ilmoituksen toimittamista varten. Pankki toimitti 9.8.2022 klo 13.43 rikosilmoituksen sekä petosperusteisen palautuspyynnön Keskuspankille, josta ne on toimitettu samana päivänä 9.8.2023 selvittämättömäksi jääneenä ajankohtana edelleen pankkiin B. Asiakkaalle on ilmoitettu 18.9.2022, ettei varoja saada palautettua.

Asiassa ei ole esitettykään, että pankilla olisi ollut sopimukseen perustuva velvollisuus olla asiakkaan ilmoituksen jälkeen yhteydessä pankki B:hen ko. maksujen palauttamiseksi. Pankkilautakunta kuitenkin katsoo, että pankin ja asiakkaan väliseen pankkiasiakkuutta koskevaan sopimussuhteeseen liittyen pankilla on ollut hyvään pankkitapaan, sopimusoikeudelliseen lojaliteettivelvollisuuteen ja pankin asemaan maksupalveluntarjoajana perustuen velvollisuus rikoksesta aiheutuvien vahinkojen rajoittamiseksi opastaa asiakasta varojen katoamisen estämiseksi tehtävistä toimista ja myös toimia rikoksesta aiheutuvien vahinkojen rajoittamiseksi.

Pankkilautakunta katsoo, että sinänsä pankin ohjeistus rikosilmoituksen tekemisestä on ollut asianmukainen ja toimialalla yleisesti noudatettujen käytäntöjen mukainen. Pankilta ja pankkiryhmän Keskuspankilta kohtuudella edellytettävien neuvojen ja toimien ylittävältä osin pankki ja Keskuspankki olisivat voinut hyvän asiakaspalvelun ja asiakkaan edun nimissä ryhtyä asiakkaan pyynnöstä laajempiinkin ja varhaisempiin toimiin yhteydenotoissaan pankkiin B, mutta tällaisiin toimiin ryhtymättömyyttä ei voida tässä tapauksessa pitää korvausvastuun perusteena. Lisäksi Pankkilautakunta katsoo, että asiassa on jäänyt osoittamatta, että pankki B olisi todennäköisesti estänyt varojen siirron eteenpäin ja palauttanut varat, vaikka pankki olisi toiminut asiassa nopeammin.

Pankin velvollisuus estää maksutapahtumia

Asiakas on lisäksi vedonnut siihen, että pankin pitäisi seurata epätavallista maksuliikennettä ja pankin olisi pitänyt estää siirrot varsinkin kun siirrot ovat lähteneet alaikäisen tililtä.

Pankkilautakunta toteaa, että maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.

Lopputulos

Pankkilautakunta ei suosita asiaa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Ahlroth
Atrila
Piilo
Pulkkinen

Tulosta