Haku

FINE-059980

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-059980 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.03.2024

Miten vastuu asiakkaan verkkopankissa oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on ollut 4.3.2023 hakeutumassa verkkopankkiinsa, kun hän on päätynyt rikollisten luomille pankin sivuilta näyttäneille valesivuille, joilla hän on käyttänyt pankkitunnuksiaan kirjautuakseen verkkopankkiinsa.

Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 4.3.2023 klo 17.36 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin tunnistussovellus. Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin tunnistussovelluksen nimi X ja viestissä on lukenut seuraavaa:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTTIN. XXXX"

Pankki on lähettänyt asiakkaalle vielä toisen tekstiviestin klo 17.38:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin nimi.

Em. viestien lisäksi pankki on lähettänyt asiakkaalle vielä kaksi tekstiviestiä samalta lähettäjältä klo 17.39 ja klo 17.44, yhden Internetkonttorin sisäänkirjautumista varten ja toisen maksun vahvistamista varten.

Em. tunnistussovellusta hyväksi käyttäen asiakkaan verkkopankkiin on kirjauduttu ja 7.3.2023 klo 01.12-01.15 välisenä aikana on tehty kymmenen yhteisarvoltaan 99.000 euron oikeudetonta tilisiirtoa asiakkaan tililtä. Yksi oikeudettomista maksutapahtumista, 8.900 euroa, on saatu palautettua asiakkaan tilille.

Asiakkaan verkkopankkitunnukset ja em. tunnistussovellus on suljettu 7.3.2023 em. tapahtumien jälkeen.

Asiakkaan valitus

Asiakas ei näe, että hänen osaltaan olisi tapahtunut asiassa minkäänlaista huolimattomuutta tai laiminlyöntiä. Asiakkaan pankkitunnukset ja laitteet ovat olleet jatkuvasti asiakkaan hallussa, eikä asiakas ole luovuttanut tunnuksia tai laitteita kolmannelle taholle.

Asiakas katsoo, että pankki on selvästi laiminlyönyt velvollisuuksiaan pitää nettipankkinsa turvallisena, ja vaatii, että pankki ottaa vastatakseen tilin oikeudettomasta käytöstä aiheutuneet vahingot täysimääräisesti.

Tapahtumien kuvaus

Lauantaina 4.3.2023 asiakas teki asuntokaupat klo 14-15 välisenä aikana ja ostajat tekivät omilta tileiltään toisessa pankissa tilisiirrot asiakkaan tilille, kokonaissumma 100.000 euroa. 6.3. maanantaina asiakas kävi verkkopankissa katsomassa, olivatko rahat tulleet, eivät olleet. 7.3. tiistaina pankista soitettiin, että tililtä oli nostettu useassa erässä 99.000,00 euroa kymmenelle ulkomaisille tileille alle kymmenen minuutin aikana. Samalla pankki ilmoitti sulkeneensa tilin ja siihen liitetyt palvelut.

Asiakas on käyttänyt verkkopankkia ainoastaan omalta kannettavalta tietokoneeltaan, kirjautunut pankkiin käyttäjätunnuksella, salasanalla ja paperisella tunnuslukutaulukolla. Lisäksi pankki on jokaisella kirjautumiskerralla lähettänyt kertakäyttöisen tekstiviesti-pin-koodin. Asiakas ei ole ollut kirjautuneena verkkopankkiin siirtojen aikaan, eikä ole niitä hyväksynyt tunnusluvuilla eikä erillisillä tekstiviestivahvistuksilla.

Pankki toteaa, ettei ole korvausvelvollinen vedoten ehtojensa asiakkaan vastuuta koskevaan kohtaan. Alkuperäisessä, 23.5.2002 allekirjoitetussa sopimuksessa näitä ehtoja ei ole kuvattu, ja siinä vuorokausikohtaiseksi maksurajaksi oli sovittu 1680 euroa/vrk. Pankki ei liittänyt vastaukseensa mitään lisätietoja kyseisistä ehdoista tai niiden muutoksista eikä ehtoja ole saatavissa julkisesta internetistä.  Pankin toimittamien ehtojen mukaan asiakas saa rekisteröidä ja hyväksyä maksutoimeksiantoja yhteensä enintään pankin kanssa sopimaansa enimmäismäärään asti. Ehdoissa ei kuitenkaan ole mainintaa siitä, että enimmäismäärää voitaisiin muuttaa verkkopankissa. Pankin verkkosivuilla 24.4.2023 todetaan edelleen, että maksujen vuorokautista ylärajaa voi muuttaa vain ottamalla yhteyttä asiakaspalveluun tai lähimpään konttoriin. Miten ja millaisella sopimuksella asiakas on hyväksynyt ja antanut suostumuksen sille, että tätä enimmäismäärä voidaan muuttaa verkko- tai mobiilipankissa?

Perustuen pankin toimittamiin tietoihin siitä, mistä maasta verkkopankkiin on kirjauduttu ja että tämä on tehty laitteella joka ei ole missään vaiheessa ollut asiakkaan käytössä, pankki on tiennyt tai olisi pitänyt tietää, että verkkopankissa tehdyssä maksurajan nostossa ei ole kyse asiakkaan tekemästä oikeustoimesta ja näin ollen tämä uusi sopimus digitaalisista palveluista ei ole oikeustoimilain mukaisesti sitova.

Pankin mukaan tili olisi hakkeroitu jo 4.3.2003 noin klo 17 aikoihin ja kirjautumisyrityksellään asiakas mahdollisti X:n aktivoimisen sivullisille. Asiakas ei ole itse tällaista X:n aktivoinnin mahdollistamista nähdäkseen tehnyt. Jälkikäteen asiakas totesi, että hänen puhelimeensa on tullut 4.3.2023 X:n aktivointiin liittyvä epämääräinen tekstiviesti, jossa ei ole mitään viittausta siihen, että viesti olisi pankin lähettämä. Samassa yhteydessä tullutta kertakäyttöistä koodia asiakas ei ole käyttänyt. Tietokone, puhelin ja pankkitunnukset ovat jatkuvasti olleet asiakkaan hallussaan, vaikka hän ei ole näitä tekstiviestejä viikonlopun aikana katsonut. 

Pankin lähettämiä viestejä löytyy usean lähettäjätiedon alta, esim. aktivointikoodi X:lle näkyy viesteissä lähettäjätiedon 'X' kohdalla ja tämä ei millään tavalla viittaa kyseisen pankin aikaisemmin lähettämiin viesteihin. On erittäin epäjohdonmukaista ja harhaanjohtavaa, että pankin lähettämät viestit näkyvät monella eri lähettäjätiedolla. Ei voida olettaa, että iäkäs käyttäjä osaa yhdistellä näitä eri lähettäjätiedolla varustettuja viestejä toisiinsa ja toisaalta tunnistaa niitä osaksi pankin virallista kommunikaatiota taikka tietää, mitä tekstiviesti koskien X:ää ilman mitään viittausta kyseiseen pankkiin tarkoittaa. Kontekstista irrallisena, tämä vaikuttaa enemmän huijausviestiltä kuin ko. pankin lähettämältä viralliselta viestiltä.

Ei voida myöskään olettaa, että tekstiviestejä luetaan jokainen vuorokausi (pankin viesti, jossa mainitaan 24 h tunnin raja). Asiakas lukee tekstiviestejä ainoastaan silloin, kun tietää asioivansa verkkopankissa ja osaa odottaa pankin tekstiviestillä pin-koodia sisäänkirjautumisen tai maksujen vahvistamiseen.

Verkkopankin yleinen turvallisuus

Pankin tulisi tehdä kaikki mahdolliset toimenpiteet, jotta verkkopankin käyttö olisi turvallista; myös siitä syystä, että pankkitunnukset hyväksytään virallisena tunnistautumistapana ja sähköisenä allekirjoituksena. On kohtuutonta, että pankki yrittää vierittää syyn verkkopankin turvallisuudesta yksinomaan asiakkaalle, jolla ei käytännössä ole juurikaan mahdollisuutta nähdä tai havainnoida sitä, mitä tällaiselle täysin pankin verkkosivua muistuttavalle väärennetylle sivustolle kirjautuessa taustalla tapahtuu.

X:n käyttöönotto ja sen käyttö erilaisiin toimenpiteisiin on tehty liian yksinkertaiseksi ja helpoksi, jättäen liian vähäiseen rooliin pankille kuuluvat asiakkaiden tietoturvallisuutta lisäävät tarkistukset ja kontrollit. Pankin toimittamista lokitiedoista käy mm. ilmi, että verkkopankkiin on kirjauduttu Marokossa sijaitsevasta ip-osoitteesta, muutamaa minuuttia myöhemmin suomalaisesta ip-osoitteesta ja tämän jälkeen yksinomaan marokkolaisesta ip-osoitteesta. Miten on mahdollista, että pankin velvollisuutena ei ole tarkkailla ja seurata tällaisia poikkeamia ja verrata niitä asiakkaan aikaisempaan käyttäytymiseen verkossa. Asiakas ei ole aktivoinut pankin tunnistussovellusta 20 vuoden verkkopankin historian aikana ja nyt yllättäen se tapahtuu marokkolaisesta ip-osoitteesta ja sellaisella iPhonella, jota ei ole millään tavalla tunnistettu laitteeksi, joka olisi asiakkaan omassa käytössä.

Pankin ehdoissa mainitaan, että pankilla on oikeus välittömästi keskeyttää digitaalisten palveluiden käyttö, jos on syytä epäillä, että palvelun turvallinen käyttö vaarantuu tai digitaalista allekirjoitusta käytetään väärin. Tällaisessa tilanteessa pankin olisi pitänyt välittömästi keskeyttää palveluiden käyttö, kun näin merkittävä poikkeama sisäänkirjautumisessa on tapahtunut.

Pankki on julkaissut tietoja tietojenkalastelusta verkkosivuillaan ja erilaisista turvallisuusohjeista verkkopankin sisäänkirjautumissivulla ja sen kautta lähetetyissä viesteissä. Missään näistä ei kuitenkaan ole tuotu selkeästi esille sitä, kuinka helposti tunnistussovellus voidaan kaapata ja suositeltu tämän käyttöönottoa tai ohjeistettu asiakasta, miten se pitäisi ja kannattaisi tehdä. Asiakas on ollut tietämätön kertakäyttöisten tunnusten käyttöön liittyvästä riskistä ja siitä, että niiden avulla tunnistussovellus voidaan kaapata rikolliseen toimintaan kytkeytyvän sivuston kautta. Pankilla on laaja velvollisuus tuntea asiakkaansa ja tämän pitäisi kattaa myös esim. asiakkaan käyttäytyminen verkkopankissa ja sisältää pankin antaman selkeän ohjeistuksen ja opastuksen turvalliseen verkkopankin käyttöön.

Pankin vastine

Pankki on tutkinut maksutapahtumat ja selvityksestä ilmenee, että asiakkaan yrittäessä kirjautua sisään pankin Internetkonttoriin 4.3.2023 klo 17.35 hän päätyi pankin nimissä olevalle väärennetylle kotisivulle käytettyään Google-hakukonetta. Pankin selvityksestä ilmenee, että asiakas käytti henkilökohtaista käyttäjätunnustaan, salasanaansa, tunnuslukuja tunnuslukutaulukostaan sekä tekstiviestinä lähetettäviä kertakäyttöisiä tunnuslukuja yrittäessään kirjautua sisään. Yhdessä hänen klo 17.36 vastaanottamistaan tekstiviesteistä luki "Aktivointikoodi [X]:lle. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTTIN. XXXX". Viestin lähettäjä oli [X]. X:n aktivointi edellytti tekstiviestin lukemista ja aktivointikoodin syöttämistä, eli tekstiviesti ei ole voinut jäädä huomaamatta. Viimeistään tämän viestin yhteydessä asiakkaan olisi pitänyt huomata kyseessä olevan X:n aktivointi ja ryhtyä toimenpiteisiin. Luovuttamalla viestissä olleen kertakäyttöisen tunnusluvun sekä henkilökohtaisen käyttäjätunnuksensa, salasanansa, uuden tunnusluvun tunnuslukutaulukostaan sekä uuden kertakäyttöisen tunnusluvun, jonka hän vastaanotti tekstiviestissä, jossa luki "Koodi: XXXX [pankin] tekstiviestivahvistus.", asiakas mahdollisti X:n aktivoimisen sivulliselle.

Asiakas vastaanotti samaan puhelinnumeroon vielä yhden tekstiviestin klo 17.38: "[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.". Tämän tekstiviestin lähettäjä oli pankki, sama lähettäjä kuin asiakkaan aikaisemmin vastaanottamissa tekstiviesteissä pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Viesti päätyi samaan viestiketjuun hänen aikaisemmin pankilta saamiensa tekstiviestien kanssa. Heti saatuaan tämän tekstiviestin asiakas sai vielä kaksi tekstiviestiä samalta lähettäjältä klo 17.39 ja klo 17.44, yhden Internetkonttorin sisäänkirjautumista varten ja toisen maksun vahvistamista varten. Asiakkaan olisi pitänyt näin ollen nähdä myös tekstiviesti, jossa kehotettiin poistamaan X tai soittamaan sulkupalveluun, jos hän ei ollut aktivoinut sitä itse. Koska asiakas ei reagoinut tähän tekstiviestiin 24 tunnin kuluessa, X:n aktivointi voitiin suorittaa loppuun ja ulkopuolinen pystyi suorittamaan kaikki valituksen kohteina olevat maksutapahtumat aktivoidulla X:llä. Maksutapahtumat hyväksyttiin vasta yli kaksi vuorokautta edellä mainitun kirjautumisyrityksen jälkeen. Asiakas vastaanotti tekstiviestejä samalta pankki-nimiseltä lähettäjältä tämän jälkeen, sekä 5.3.2023 että 6.3.2023. Asiakkaalle oli näin ollen aikaa ryhtyä toimenpiteisiin aktivoidun X:n poistamiseksi ennen kuin sivullinen suoritti maksutapahtumat.

Pankki edellyttää, että asiakas huomaa, jos hänen matkapuhelimeensa Internetkonttorin sisäänkirjautumisen yhteydessä lähetetyn tekstiviestin lähettäjä ja sisältö poikkeavat siitä, mitä hänelle on lähetetty aiemmin pankin Internetkonttorin sisäänkirjautumisen yhteydessä. Asiakas vastaanotti tekstiviestin, joka erosi sekä lähettäjältään että sisällöltään tekstiviesteistä, joita hän on aiemmin vastaanottanut sisäänkirjautumisen yhteydessä, ja viestin sisällöstä käy selvästi ilmi, että hän aktivoi toiminnon saamallaan kertakäyttöisellä tunnusluvulla. Syötettyään X:n aktivointiin tarkoitetun kertakäyttöisen tunnusluvun asiakas vastaanotti vielä yhden tekstiviestin, jossa häntä kehotettiin poistamaan aktivoitu X Internetkonttorissa tai Mobiilipankissa tai ottamaan yhteyttä sulkupalveluun, jos hän ei ollut aktivoinut sitä itse. Asiakas ei kuitenkaan reagoinut tekstiviestin kehotukseen poistaa aktivoitu X, eikä ottanut yhteyttä sulkupalveluun. Asiakas ei myöskään ottanut viipymättä yhteyttä pankkiin, kun sisäänkirjautumisyritys poikkesi oleellisesti aikaisemmista sisäänkirjautumisyrityksistä pankin Internetkonttoriin. Pankki haluaa myös korostaa, että X:n voi aktivoida ainoastaan pankin Mobiilipankissa, eikä Internetkonttorin sisäänkirjautumissivulla lue missään kohdassa, että sisäänkirjautumissivun kautta voisi aktivoida X:n.

Kun sivullinen sai otettua X:n käyttöön, se saattoi käyttää asiakkaan Internetkonttoria ilman, että pankki tai asiakas olivat tietoisia siitä. Sivullinen pystyi näin ollen nostamaan asiakkaan pankkitilin päivittäistä maksurajaa ja suorittamaan oikeudettomat maksutapahtumat hyväksymällä ne aktivoidulla X:llä. Kun asiakas nostaa päivittäisen maksurajaansa Internetkonttorin kautta, hänen ja pankin väliin syntyy uusi sopimus digitaalisista palveluista. Uusi sopimus löytyi silloin Internetkonttorista kohdasta "Sopimukset ja ehdot". Tieto Internetkonttorin päivityksestä, sekä mahdollisuudesta nostaa tilin vuorokautista maksurajaa, on ollut kaikkien pankin asiakkaiden saatavilla Internetkonttorin kirjautumissivulla 9.2.2021 lähtien.

Pankin digitaalisten palvelujen yleisten ehtojen Yleistä-kohdan mukaisesti yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla. On asiakkaan vastuulla tarkistaa, että URL-osoite vastaa pankin osoitetta, mikä ilmenee digitaalisten palvelujen yleisistä ehdoista, erityisesti, jos käyttää hakukonetta ja valitsee linkin pankin verkkosivustolle hakutulosten joukosta.

Käytettäessä digitaalista allekirjoitusta, joka vastaa asiakkaan omakätistä allekirjoitusta, asiakkaalta edellytetään huolellista toimintaa, ja digitaalisten palvelujen yleisten ehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaisesti asiakas sitoutuu suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään, ja olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle ja seuraamaan pankin antamia ohjeita, sekä olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle. Ehdoista käy myös ilmi, että digitaalisella allekirjoituksella tarkoitetaan myös X:ää. "Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi."

Syksyllä ja talvella 2022-2023 pankki on julkaissut tietoa pankin nimissä tehdystä tietojenkalastelusta sekä verkkosivustollaan että pankin Internetkonttorin sisäänkirjautumissivulla. Sen lisäksi pankki on lähettänyt syksyllä 2022 Internetkonttorin ja mobiilipankin kautta asiakkailleen inbox-viestejä, joissa oli turvallisuusohjeita liittyen Internetkonttorin sisäänkirjautumiseen. Inbox-viesteistä käy selvästi ilmi, että pankin Internetkonttoriin on kirjauduttava käyttämällä osoitetta www.[pankki].fi, ja että hakukoneen, kuten Googlen tai Bingin, käyttäminen voi johtaa huijaussivustolle.

Edellä mainitun valossa pankki katsoo, että Internetkonttorin sisäänkirjautumisyrityksellään 4.3.2023 asiakas on menettelyllään laiminlyönyt digitaalisten palvelujen yleisten ehtojen mukaiset velvollisuutensa siinä määrin, että valituksen kohteina olevat maksutapahtumat eivät ole ehtojen korvausvelvollisuuden eivätkä maksupalvelulain 62 §:n piirissä.

Koskien digitaalisten palvelujen ehtoja

Digitaalisten palvelujen yleisten ehtojen mukaan pankilla on oikeus muuttaa sopimusta, ehtoja ja palveluhinnastoa. Pankki ilmoittaa muutoksesta asiakkaalle kirjallisesti tai digitaalisesti. Muutos tulee voimaan aikaisintaan kahden (2) kuukauden kuluttua siitä, kun ilmoitus muutoksesta on toimitettu asiakkaalle.

Sopimus, ehdot ja palveluhinnasto jatkuvat muutetun sisältöisinä, jollei asiakas kirjallisesti tai digitaalisesti vastusta muutosta muutoksen ehdotettuun voi-maantulopäivään mennessä. Mikäli asiakas vastustaa muutosta, asiakkaalla on oikeus irtisanoa sopimus päättymään heti tai myöhemmästä ajankohdasta lukien, kuitenkin viimeistään muutoksen voimaantulopäivästä lukien. Pankki lähettää aina asiakkailleen ilmoituksen yleisten ehtojen muutoksista ennen muutosten voimaantuloa. Kulloinkin voimassa olevat digitaalisten palvelujen yleiset ehdot ovat nähtävillä asiakkaan Internetkonttorissa ja Mobiilipankissa sekä pankin verkkosivustolla.

Pankki viittaa maksupalvelulain 3 luvun 30 §:än (Puitesopimuksen muuttaminen palveluntarjoajan aloitteesta), joka mahdollistaa puitesopimuksen muuttamista palveluntarjoajan toimesta. Pankki on toiminut maksupalvelulain edellyttämällä tavalla.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Sähköisesti tehty rikosilmoitus (7.3.2023)
- Sopimus digitaalisista palveluista (23.5.2002)
- Kuvakaappaus pankin asiakkaalle lähettämästä tekstiviestistä
- Kuva asiakkaan puhelimesta, jonka näytössä on näkynyt asiakkaan vastaanottamia tekstiviestejä eri lähettäjiltä
- Digitaalisten palvelujen yleiset ehdot
- Internetkonttorin sisäänkirjautumissivulla julkaistu informaatio, 13.10.2022 ja 22.11.2022
- Inbox-viestit, joissa oli turvallisuusohjeita, ja jotka lähetettiin pankin asiakkaiden Internetkonttoreihin 29.9.2022 ja 13.10.2022
- Pankin verkkosivustolla julkaistu informaatio
- Liite sisäänkirjautumisista ja hyväksymisistä aktivoidulla X:llä

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 30 § (Puitesopimuksen muuttaminen palveluntarjoajan aloitteesta.) mukaan
Jos palveluntarjoaja ehdottaa muutoksia puitesopimukseen, ehdotus on toimitettava maksupalvelun käyttäjälle kirjallisesti tai muulla pysyvällä tavalla vähintään kaksi kuukautta ennen muutosten ehdotettua voimaantulopäivää. Ennen tätä päivää maksupalvelun käyttäjä voi joko hyväksyä muutokset tai vastustaa niitä. Palveluntarjoajan on vastaavasti ilmoitettava maksupalvelun käyttäjälle, jos muissa tiedoissa, jotka palveluntarjoajan on 11-15 §:n mukaisesti annettava, tapahtuu muutoksia.
Jos puitesopimukseen sisältyy ehto, jonka mukaan maksupalvelun käyttäjän katsotaan hyväksyneen palveluntarjoajan ehdottamat sopimusehtojen muutokset, jollei hän ennen muutosten ehdotettua voimaantulopäivää vastusta niitä, maksupalvelun käyttäjää on muutosehdotuksessa muistutettava hänen oikeudestaan vastustaa muutoksia. Maksupalvelun käyttäjällä on muutosten ehdotettuun voimaantulopäivään saakka oikeus irtisanoa puitesopimus päättyväksi heti tai myöhemmästä ehdotettua voimaantulopäivää edeltävästä ajankohdasta lukien. Muutosehdotuksessa on mainittava tästä oikeudesta.

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Yleistä -kohdan mukaan
"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[...]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."

Pankkitunnusehtojen Määritelmät -kohdan mukaan
”[…]
Kuluttaja on luonnollinen henkilö, joka solmii sopimuksen pääasiassa muuta kuin mahdollisesti harjoittamaansa elinkeinotoimintaa varten.
[…]”

Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan

”Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.

Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”

Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]"

Asian arviointi

Tapahtumienkulku

Pankki on esittänyt tapauksessa selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan pankin tunnistussovelluksen X, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo asiassa selvitetyksi, että kun asiakkaan tarkoituksena 4.3.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa.

Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 4.3.2023 klo 17.36 sovelluksensa käyttöönottoa koskevan aktivointikoodin sisältäneen tekstiviestin:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTTIN. XXXX"
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin em. pankin verkkosivuilta näyttäneille valesivuille. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen.

Pankki on lähettänyt asiakkaalle vielä toisen tekstiviestin klo 17.39:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X]:tä, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin nimi.

Em. viestien lisäksi pankki on lähettänyt asiakkaalle vielä kaksi tekstiviestiä lähettäjätietonaan pankin nimi klo 17.39 ja klo 17.44, yhden Internetkonttorin sisäänkirjautumista varten ja toisen maksun vahvistamista varten. Pankkilautakunta katsoo todennäköiseksi, että asiakas on valesivuilla tapahtuneen kirjautumisyrityksensä jälkeen päätynyt pankin oikeille verkkosivuille, joilla asioimiseen em. viimeisimmät pankin tekstiviestit ovat liittyneet. Tapauksessa on jäänyt epäselväksi, millä tavalla asiakas on päätynyt rikollisten luomilta valesivuilta oikeille pankin verkkosivuille, mutta lautakunta pitää mahdollisena, että valesivut ovat ohjanneet asiakkaan eteenpäin pankin oikeille sivuille sen jälkeen kun rikolliset ovat saaneet tavoittelemansa pankkitunnus- ja aktivointikooditiedot tietoonsa valesivujen kautta.

Pankin tunnistussovellus X:n aktivoiduttua seuraavana päivänä rikolliset ovat tästä yli vuorokauden jälkeen kirjautuneet asiakkaan verkkopankkiin sovelluksella vahvistaen ja vahvistaneet tunnistussovelluksella 7.3.2023 klo 01.12-01.15 riidanalaiset 99.000 euron tilisiirrot ulkomaille.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.

Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä.

Vaikka pankki on mm. tiedotteillaan pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista huijauksista ja myös hakukoneen käyttämisestä, Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan tekstiviestin sijaan X:n aktivointikoodin sisältäneen tekstiviestin X-nimiseltä lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olevan muotoilultaan suppea ja informaatioarvoltaan heikko ja edelleen ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on sekoittanut pankilta tekstiviestitse saamansa koodin tavanomaiseen pankin lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Aktivointikoodi-tekstiviestin puutteista huolimatta se eroaa pituudeltaan tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä, sen lähettäjätietona asiakkaan puhelimessa on ollut pankin nimen sijaan X ja siinä todetaan isoin kirjaimin, että viestissä olevaa koodia käytetään vain X:n aktivointiin. Asiakkaan syötettyä viestissä olleen aktivointikoodin kiinnittämättä huomiota em. seikkoihin tekstiviestissä Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan.  

Pankki on noin 3 minuuttia em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle toisen tekstiviestin, jossa pankki kertoo X:n aktivoituvan 24 tunnin kuluttua ja pyytää poistamaan X:n tai soittamaan sulkupalveluun, jos ei ole itse aktivoinut X:ää. Asiakas on tämän jälkimmäisen viestin osalta todennut, ettei voida olettaa asiakkaan lukevan tekstiviestejä jokainen vuorokausi ja että hän lukee tekstiviestejä ainoastaan silloin, kun tietää asioivansa verkkopankissa ja osaa odottaa pankin tekstiviestejä. Asiakas on lisäksi vedonnut siihen, että hän on käyttänyt verkkopankkia ainoastaan kannettavalta tietokoneeltaan ja paperisella tunnuslukutaulukolla, eikä voida olettaa, että iäkäs käyttäjä osaa yhdistellä eri lähettäjätiedolla varustettuja viestejä toisiinsa taikka tietää, mitä tekstiviesti koskien X:ää ilman mitään viittausta kyseiseen pankkiin tarkoittaa.

Pankkilautakunta on vastaavanlaisessa verkkourkintatapauksessa FINE-049807 antamassaan ratkaisusuositussaan katsonut pankin tunnistussovelluksen aktivoitumisesta kertoneen tekstiviestin osalta, että vaikka huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit, ei huolellisenkaan pankkitunnustenhaltijan voida edellyttää seuraavan jatkuvasti puhelintaan ja lukevan kaikki vastaanottamansa pankin viestit välittömästi, mikäli hän ei ole tunnuksiaan juuri käyttämässä.

Tässä tapauksessa Pankkilautakunta kuitenkin katsoo asiakkaan pankin oikeilla verkkosivuilla jatkunut asiointi huomioon ottaen, että asiakkaan on täytynyt huomata myös pankin nimellä olleeseen viestiketjuun 4.7.2023 klo 17.39 tullut X:n aktivoitumisesta kertova tekstiviesti, mutta hän on jättänyt viestin huomioimatta ja sen sisältöön reagoimatta tavalla, jota huolelliselta pankkitunnusten haltijalta voidaan edellyttää. Toisin kuin tapauksessa FINE-049807 tässä tapauksessa tunnistussovellus on aktivoitunut tekstiviestissä kerrotun mukaisesti vasta 24 tunnin kuluttua em. viestin lähettämisen jälkeen ja sovelluksen oikeudeton käyttö on tapahtunut yli kahden vuorokauden jälkeen viestin vastaanottamisesta, ja näin ollen on ilmeistä, että asiassa tapahtuneelta vahingolta olisi vältytty, mikäli asiakas olisi viestissä olleen ohjeen mukaisesti esimerkiksi ollut yhteydessä sulkupalveluun. Asiakkaan jätettyä tällä tavoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta katsoo asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.

Ottaen kuitenkin huomioon, että iäkäs asiakas on itse käyttänyt pankin digitaalisia palveluita ainoastaan tietokoneeltaan ja paperista tunnuslukutaulukkoa käyttäen, eikä hän ei ole käsittänyt mitä tekstiviesti koskien X:ää ilman viittausta pankkiin tarkoittaa, ja hänen asiointinsa on jatkunut onnistuneesti pankin oikeassa verkkopankissa, lautakunta katsoo edellä todetusta huolimatta, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Pankkilautakunta toteaa lisäksi, ettei pankki ole osoittanut toimittaneensa asiakkaalle ehdotustaan maksurajojen muuttamista koskevien sopimusehtojen muutoksesta maksupalvelulain 30 §:ssä tarkoitetulla tavalla kirjallisesti tai muulla pysyvällä tavalla.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittaen. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä