Haku

FINE-060159

Tulosta

Asianumero: FINE-060159 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 29.11.2023

Hur fördelar sig ansvaret mellan kunden och banken för utlandsbetalningar som gjordes i kundens nätbank? Obehörig användning av betalningsinstrument. Vårdslöshet som innehavaren av betalningsinstrumentet visat.

Uppgifter om händelseförloppet

I kundens nätbank gjordes 3.3.2023 kl. 11.29–11.56 fem obehöriga gireringar till ett sammanlagt belopp av 44 000 euro. För att gärningsmannen skulle kunna bekräfta betalningstransaktionerna krävdes kundens bankkoder (användarkod, lösenord och nyckeltalskortets säkerhetskod) samt bekräftelsekoder som banken via textmeddelande skickade till kundens nummer beträffande varje betalning.

Textmeddelandena kom emellertid inte till kundens mobil utan till brottslingarnas telefon, till vilken brottslingarna i kundens namn hade beställt ett nytt SIM-kort.

Banken har ersatt kunden för den sista av gireringarna, som gjordes 3.3.2023 kl. 11.56 (4 000 euro), och dessutom har polisen lyckats återbörda 24 000 euro till kunden. Därmed är det belopp som kunden inte har återfått sammanlagt 16 000 euro.

Bankens spärrade kundens personliga bankkoder då kunden var i kontakt med banken den 3.3.2023 kl 14.00.

Kundens yrkanden hos FINE

Kunden yrkar på att banken ersätter 44 000 euro.

Lördagen den 25.2 ringde en man angående en husbil kunden hade till salu. Några timmar senare dök två män upp för att titta på bilen. De ville försäkra sej om att bilens historia var okej, för isåfall skulle det bli affär och deras far skulle hämta bilen redan inkommande onsdag. Kunden gick in på kontoret och loggade in på Traficom för att visa bilens historia. Männen kom med in på kontoret, men de har inte haft tillgång till eller kunnat se kundens användarkod eller lösennord med blotta ögat. De har heller inte kunnat se kundens nyckeltal med blotta ögat. Användarkoden och lösenordet kunden har i minnet, inte på någon lapp. Kunden var i allra högsta grad väldigt försiktig och anser inte att han varit vårdslös.

Männen ansåg att bilens historia var okej och de skakade hand på en affär. De skulle sätta in pengar samma helg, så kunden väntade sig pengar senast på tisdag. Inga pengar hade ännu kommit till hans konto på onsdag, så han försökte ringa dem flera gånger utan svar. Kunden blev orolig ifall de kunnat få bilens försäljarkod på något sätt, så han ringde Traficom och ändrade bilens försäljarkod för att försäkra sig om att ingen kunde ta bilen i sitt namn. Kunden gjorde även en anmälan om den märkliga händelsen till polisen den 1.3.2023 i förebyggande syfte.

Fredagen den 3.3. slutade kundens mobiltelefon att fungera. Kunden försökte ladda telefonen och starta om den, men den fungerade inte. Kunden råkade se att bankdirektören hade kontaktat kunden via e-post angående ett lån på 35 000 euro som kunden påstås skulle ha sökt. Kunden kontaktade ca klockan 13.30 bankdirektören på en gång som frågade om kunden satt in pengar (totalt 44 000 euro) åt X och Y samma dag. Det hade han inte gjort. Kunden känner inte dem. Kunden åkte genast till polisstationen där han gjorde en brottsanmälan.

Bankdirektör sade klockan 13.30 att han försökt stoppa transaktionen, men att det redan var för sent. Han skulle även ringa banken B omedelbart för att få dem att spärra X och Y konton på grund av grovt bedrägeri. Kontantuttagen har skett mellan klockan 16.09–17.18. Detta borde inte vara möjligt om banken B fått information om bedrägeriet och spärrat kontona kl 13.30 samma dag. När kunden frågade bankdirektör hur detta kunde vara möjligt, svarade han att han nog försökt ringa banken B, men inte fått tag på dem. Han sa att det alltid är svårt att få tag på folk på andra banker, så han lämnade det ogjort.

Kunden anser att det var bankens skyldighet att meddela banken B omedelbart för att förhindra bedrägeri och penningtvätt. Om banken hade meddelat banken B på en gång, så skulle kontona blivit spärrade och kunden skulle ha fått tillbaka sina pengar.

Kunden kontaktade 3.3. polisen och de fick tag i banken B som stängde brottslingarnas konto omedelbart. Men tyvärr så hade de hunnit lyfta 20 000 euro klockan 16 samma dag. Om banken hade tagit kontakt med banken B klockan 13.30 så hade detta aldrig hänt. Så ifall banken hade följt lagen om förhindrande av penningtvätt och finansiering av terrorism, så skulle kunden inte ha förlorat några pengar.

Kunden förstår fortfarande inte hur männen kunnat få kännedom om nätbankskoderna och lösenordet. Allt kunden visade var bilens uppgifter på Traficom. Kunden har aldrig varken visat eller gett någon annan sina koder eller lösenord. Det var även därför kunden bara kontaktade polisen och Traficom, eftersom han tänkte att de kanske fått bilens försäljningskod när kunden visade uppgifterna om bilen. Känns långsökt att behöva meddela banken ifall man misstänker en sådan sak. Detta hade ju inget med banken att göra.

Nyckeltalskortet har aldrig hamnat hos gärningsmännen. Kortet har varit i kundens hand och sedan i skrivbordslådan bredvid sig. Därav finns inga andra alternativ än att de använt teknisk utrustning (kamera eller videokamera). Kunden förstår annars inte hur de kunnat få reda på nyckeltalen. Tyvärr finns det inga bevis för att de använt sej av teknisk utrustning. Kunden ringde polisen, men de svarade att de inte kan bevisa något förrän gärningsmännen är fast. Enligt teorin har de haft kamera eller videokamera. Andra alternativ kommer kunden inte på i detta skede.

Angående inloggningen så får man även alltid en kod till mobiltelefonen. Det borde därför inte vara möjligt att få tillgång till någon annans konto. Men eftersom dessa män kapade kundens telefonnummer för några timmar så lyckades de.

Utredning av grovt bedrägeri

Detta ärende utreds som grovt bedrägeri hos polisen. Det handlar om en nationell liga som har utfört samma brott nyligen. Männen har använt sej av teknisk utrustning för att komma åt bankens användarkod och lösenord och polisen säger att det gäller ett mycket avancerat brott som de aldrig sett tidigare. Polisens tekniker har även varit på plats för att få DNA från husbilen och även analyserat kundens videoövervakningskamera. Det utreds även till vem, vart och varför Telia har gett ett nytt SIM-kort åt någon främmande person. Bankens tilläggskoder skickas som sms och har hamnat i fel händer.

Kunden undrar varför bankerna inte kontrollerar stora transaktioner med tanke på lagen om förhindrande av penningtvätt och finansiering av terrorism? Isåfall kunde transaktionen ha stoppats.

Tjänsteleverantörens bemötande

Samtliga betalningstransaktioner har gjorts med kundens nätbankskoder. Enligt bankens logginformation har transaktionerna bekräftats med kundens användarkod, lösenord samt nyckeltalskortets säkerhetskod. Dessutom har händelserna bekräftats med de tilläggskoder som skickats som SMS till kundens telefonnummer.

Banken bestrider inte kundens påstående om att de textmeddelanden som banken skickat till kundens telefonnummer inte nått honom i och med att SIM-kortet bytts ut.

Banken har 27.3.2023 beslutat att ersätta den ena reklamerade transaktionen om 4 000 euro. Innan betalningstransaktionen om 4 000 euro gjordes den 3.3.2023 kl 11.56 hade motsvarande belopp överförts från kundens kreditkort till kundens personliga konto. Med beaktande av ärendets beklagliga natur valde banken att ersätta kunden detta belopp och 4 000 euro (samt ränta om 16,81 euro) har således den 31.3.2023 betalats till kundens kreditkonto. Denna transaktion behandlas således inte mera i detalj i detta bemötande, eftersom kunden redan erhållit ersättning till denna del.

Polisen har i ärendet lyckats ta i beslag totalt 24 000 euro, och denna summa har betalats till kundens konto den 18.4.2023. Den skada som kunden lidit är således 16 000 euro vilket utgör det teoretiska maximala kravbeloppet.

Enligt betaltjänstlagen 53 § skall innehavaren av ett betalningsinstrument använda detta i enlighet med villkoren för beviljande och användning. Innehavaren skall i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter.

Enligt bankens allmänna villkor för de tjänster som används med personkundens bankkoder, förbinder sig kunden att förvara bankkoderna noga och delarna av koderna på skilda ställen så att ingen har möjlighet att få reda på dem eller använda dem.

Kunden har uppgett att två personer varit omkring honom när han den 25.2.2023 loggade in på Traficoms e-tjänster med sina personliga bankkoder. Vid detta tillfälle har en utomstående person fått kännedom om kundens användarkod till bankens nätbank, därtillhörande lösenord samt nyckeltalskortets säkerhetskoder. Banken anser att när kunden på det ovan beskrivna sättet har använt sina personliga bankkoder på ett sådant sätt att en utomstående person lyckats få reda på samtliga delar av bankkoderna, har han handlat i strid med avtalsvillkoren för användningen och förvaring av bankkoder. Banken anser att kunden agerat grovt vårdslöst.

Enligt bankens allmänna villkor är kunden skyldig att underrätta banken omedelbart om bankkoderna försvunnit eller om de har råkat eller kan ha råkat i händerna på utomstående eller om utomstående fått eller kan ha fått del av dem.

Kunden har i sin utsaga till FINE konstaterat att han uppfattat händelsen som märklig då två personer kom för att bekanta sig med husbilen som han hade till försäljning. Kunden har enligt egen utsaga anmält den märkliga händelsen till polisen redan 1.3.2023 samt varit i kontakt med Traficom för att försäkra sig om att bilen inte förts över i en annan persons namn. Trots att kunden uppfattat situationen som märklig har han inte varit i kontakt med banken i detta skede. Banken anser att på basen av allmän livserfarenhet borde kunden ha förstått situationens verkliga natur då den utlovade inbetalningen inte inkommit på kontot. Enligt kunden borde köpesumman ha synts på hans konto senast tisdagen 28.2.2023. Kunden borde senast i samband med att han varit i kontakt med polisen och Traficom den 1.3.2023 även underrättat banken om att en utomstående kan ha fått del av bankkoderna. Banken spärrade kundens personliga bankkoder omedelbart då kunden var i kontakt med banken den 3.3.2023 kl 14.00.

Banken har i ärendet efterföljt lagen om förhindrande av penningtvätt och av finansiering av terrorism. Banken har vid hanteringen av ärendet följt de processer som finns gäller bekämpande av bedrägerier. Myndighetskontakt samt kontant med övriga banker gällande bedrägerifall sköts inom banken av en central enhet och inte via de enskilda kontoren.

Med hänvisning till ovan anförda anser banken att kunden agerat grovt vårdslöst vid användandet av bankkoderna. Dessutom har kunden försummat sin skyldighet att utan ogrundat dröjsmål anmäla till banken att en utomstående person har fått del av bankkoderna. Av ovannämnda orsaker, anser sig banken inte till någon del vara ersättningsskyldig för de reklamerade transaktionerna.

Utredningar

Utöver parternas skrivelser angående klagomålet har följande handlingar getts in till nämnden:
- En skriftlig bekräftelse av att brottsanmälan gjorts (Anmälningsdatum: 3.3.2023)
- Sidan 3/3 i undersökningsanmälan.
- Kvitto på transaktionen
- Allmänna villkor för de tjänster som används med personkundens bankkoder

Beslutsrekommendation

Frågeställning

För att avgöra ansvarsfördelningen mellan kunden och banken behöver Banknämnden bedöma om den obehöriga användningen av kundens betalnings-      instrument kan anses vara en följd att kunden av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen samt graden av kundens eventuella vårdslöshet.

Tillämplig lagstiftning och villkor

I 53 § (Skyldigheter som gäller betalningsinstrument) i betaltjänstlagen föreskrivs följande i 1–2 mom.:
Innehavaren av ett betalningsinstrument ska använda detta i enlighet med villkoren för beviljande och användning. Innehavaren ska i synnerhet vidta skäliga åtgärder för att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter. Villkoren för beviljande och användning av betalningsinstrumentet får inte vara ogrundade, oskäliga eller diskriminerande. Innehavarens skyldighet att skydda betalningsinstrumentet och tillhörande personliga säkerhetsbehörighetsuppgifter inträder när han eller hon tar emot dem.

I lagens 54 § (Anmälan om att betalningsinstrument förlorats) föreskrivs följande i 1 mom.:
Innehavaren av ett betalningsinstrument ska utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som tjänsteleverantören utsett om att betalningsinstrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.

I lagens 62 § (Betaltjänstanvändares ansvar för obehörig användning av betalningsinstrument) föreskrivs följande:
En betaltjänstanvändare som har ingått avtal om ett betalningsinstrument med en tjänsteleverantör ansvarar för användningen av ett betalningsinstrument som har förlorats eller orättmätigt innehas av någon annan eller för annan obehörig användning av betalningsinstrumentet endast om den obehöriga användningen beror på att betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet
1) har överlåtit det till någon som inte är behörig att använda det,
2) av vårdslöshet har försummat sina skyldigheter enligt 53 § 1 mom., eller
3) har försummat att utan ogrundat dröjsmål efter upptäckten underrätta tjänsteleverantören eller någon annan som denne utsett om att betalnings-   instrumentet har förlorats, orättmätigt innehas av någon annan eller används obehörigen.
I de fall som avses i 1 mom. 2 och 3 punkten är betaltjänstanvändarens ansvar för obehörig användning av betalningsinstrumentet högst 50 euro. Denna begränsning tillämpas dock inte om betaltjänstanvändaren eller någon annan innehavare av betalningsinstrumentet har handlat avsiktligt eller grovt vårdslöst.
Betaltjänstanvändaren ansvarar inte för obehörig användning av betalnings-  instrumentet
1) till den del som betalningsinstrumentet har använts efter att tjänsteleverantören eller någon annan som denne utsett har underrättats om att betalningsinstrumentet förlorats, orättmätigt innehas av någon annan eller används obehörigen,
2) om tjänsteleverantören har försummat att se till att en innehavare av ett betalningsinstrument har möjlighet att när som helst göra anmälan enligt 1 punkten,
3) om betalningsmottagaren vid användningen av betalningsinstrumentet inte vederbörligen har försäkrat sig om betalarens rätt att använda instrumentet, eller
4) om tjänsteleverantören inte har krävt stark kundautentisering av betalaren.
Trots 3 mom. är betaltjänstanvändaren ansvarig för obehörig användning av ett betalningsinstrument, om användaren eller någon annan innehavare av betalningsinstrumentet avsiktligt har lämnat en oriktig anmälan eller annars handlat bedrägligt.

I lagens 63 § (Tjänsteleverantörens ansvar för obehöriga betalningstransaktioner) föreskrivs följande i 1 mom.:
Om en betalningstransaktion har genomförts obehörigen och om inte något annat följer av 62 § ska tjänsteleverantören till den kund vars medel har använts för att genomföra transaktionen omedelbart och senast följande bankdag efter det att tjänsteleverantören har noterat eller underrättats om transaktionen återbetala transaktionens belopp till kunden eller återställa det debiterade betalkontots kontoställning till vad den skulle ha varit om debiteringen inte hade ägt rum.

Utöver betaltjänstlagen gäller bankens allmänna villkor för de tjänster som används med personkundens bankkoder (villkor för bankkoderna). Avsnittet Kundens ansvar för användningen av bankkoderna i nättjänster i villkoren för bankkoderna motsvarar de till förmån för konsumenter tvingande bestämmelserna i 62 § i betaltjänstlagen.

I avsnittet Användning av bankkoderna i nättjänsterna i villkoren för bankkoderna sägs följande:
Användningen av bankkoderna förutsätter att kunden och banken har avtalat om användningen av kodema i avtalet om nätbanken.
De bankkoder som har beviljats personkunder är även identifieringsverktyg i enlighet med lagen om stark autentisering och elektroniska betrodda tjänster om inte annat uttryckligen anges.
Banken ger eller skickar kunden de personliga koderna med vilka kunden identifierar sig enligt anvisningarna i nättjänsten. Användningen av kodema motsvarar identifieringen av kunden ur en handling som bevisar identiteten.
Den tjänsteanslutning som har öppnats med kodema får inte användas av tredje part.
När kunden använder kodema i bankens tjänst enligt anvisningarna i tjänsten motsvarar detta kundens underskrift. Alla betalningar, uppdrag, ansökningar, avtal och övriga viljeförklaringar och meddelanden binder en kund som identifierat sig i tjänsten efter att dessa skickats till banken enligt anvisningarna i tjänsten.

I avsnittet Förvaring av bankkoderna i villkoren för bankkoderna sägs följande:
De bankkoder som har överlåtits till en kund är personliga. Koderna får inte överlåtas till annan person, inte ens en familjemedlem och inte heller till en separat applikation eller tjänst som banken inte har godkänt. Om kunden ger sina koder till en tredje part ansvarar kunden för de åtgärder som görs i hans eller hennes namn. Med avvikelse från det ovannämnda kan kunden använda kodema för att genomföra de tjänster som produceras av leverantörer av betalningsinitierings- och kontoinformationstjänster som avses i betaltjänstlagen.
Kunden förbinder sig att förvara bankkoderna noga och delama av koderna på skilda ställen så att ingen har möjlighet att få reda på dem eller använda dem. Alla delar av koderna får inte förvaras på samma ställe, såsom i plånboken eller handväskan. Kunden ska regelbundet kontrollera att kodema finns i säkert förvar.

I avsnittet Anmälan om att bankkoderna förkommit eller råkat i utomståendes besittning eller kännedom i villkoren för bankkoderna sägs följande:
Om kodema har försvunnit eller om de har råkat eller kan ha råkat i händerna på utomstående eller om utomstående har fått eller kan ha fått del av dem, är kunden skyldig att underrätta banken om detta omedelbart. Banken ska underrättas också om bara en del av koderna har råkat i utomståendes händer eller kännedom.
Anmälan kan göras under bankens öppettider personligen på bankens verksamhetsställen eller per telefon till den kundtjänst som banken har angett. Utanför bankens öppettider ska anmälan göras till spärrtjänsten, tfn +358 20 333.

Bedömning

Händelseförloppet

Banknämnden anser att det i ärendet är ostridigt att de som gjort de omtvistade obehöriga betalningstransaktionerna har fått kännedom om/tillgång till kundens bankkoder (användarkod, lösenord och nyckeltalskort) i samband med att de två männen sex dagar före transaktionerna, lördag 25.2.2023, kom för att titta på en husbil som kunden hade utannonserat till försäljning. Det är omtvistat på vilket sätt en utomstående har fått kännedom om/tillgång till kundens bankkodsuppgifter. 

Enligt kunden finns användarkoden och lösenordet bara i hans minne, och när han använde dem kunde männen inte se dem med blotta ögat, utan de måste ha använt teknisk utrustning. Enligt kunden har nyckeltalskortet inte råkat i händerna på gärningsmännen. Kunden hade det i handen, och sedan låg det i en skrivbordslåda bredvid kunden. Enligt kunden finns det därför inga andra alternativ än att de använde teknisk utrustning, t.ex. en kamera. Kunden uppger att han var väldigt försiktig. Han anser att han inte varit vårdslös.

Banken har hänvisat till att kunden har berättat att han hade två personer omkring sig när han loggade in i Traficoms tjänst med sina bankkoder. Banken anser att eftersom kunden använde sina koder på ett sådant sätt att en utomstående lyckades komma underfund med alla delar av bankkoderna handlade han grovt vårdslöst. Dessutom hänvisar banken till att kunden berättat att han själv har konstaterat att han tyckte det var märkligt att två personer kom för att titta på husbilen som han hade till salu. Han rapporterade den egendomliga händelsen till polisen redan 1.3.2023 och kontaktade Traficom för att säkerställa att ingen annan tar bilen i sitt namn. Enligt bankens uppfattning borde kunden på basis av allmän livserfarenhet ha förstått situationens verkliga natur i och med att den utlovade betalningen inte kom in på hans konto senast tisdag 28.2.2023, och han borde ha kontaktat också banken när han kontaktade polisen och Traficom.

Banknämnden anser utifrån den utredning som lagts fram i ärendet att en utomstående måste ha fått kännedom om kundens användarkod och lösenord, vilka ingår i bankkoderna, när kunden skrev dem på datorns tangentbord för att logga in i Traficoms tjänst och att det här skedde så att den utomstående antingen direkt lyckades se kunden mata in dem eller videofilmade inmatningen utan att kunden lade märke till det. Vidare anser nämnden att gärningsmännen måste ha fått tillgång till nyckeltalskortets innehåll i dess helhet och att det sannolikt gick till så, att en utomstående lyckades fotografera nyckeltalskortet utan att kunden upptäckte det medan kunden använde nättjänsten och kortet t.ex. låg på bordet. En annan möjlighet är att gärningsmannen efter det här, när kunden hade lagt kortet i skrivbordslådan, skaffade sig tillfälle att fotografera nyckeltalskortet utan att kunden lade märke till saken.

I fallet är det ostridigt att gärningsmännen lyckades beställa ett nytt SIM-kort hos kundens operatör. Efter att det nya SIM-kortet 3.3.2023 hade tagits i bruk slutade kundens SIM-kort fungera, och gärningsmännen tog i sin egen telefon emot textmeddelanden till kunden, bland dem textmeddelanden från banken som gällde bekräftelse av de omtvistade betalningarna.

På basis av de utredningar som parterna gett in har det förblivit oklart hur gärningsmännen lyckades med att i kundens namn beställa ett nytt SIM-kort hos kundens operatör. Inte heller har banken hänvisat till att omständigheter som anknyter till bedömningen av kundens vårdslöshet har en koppling till de åtgärder som beställningen av ett nytt SIM-kort förutsätter och till det framgångsrika genomförandet av dem. Därmed beaktar nämnden vid sin nedannämnda bedömning av kundens förfarande inte hur beställningen av ett nytt SIM-kort har skett och hur kundens förfarande möjligtvis medverkade till att beställningen lyckades. 

Användning och förvaring av bankkoder

Enligt villkoren för bankkoderna är bankkoder personliga, och koderna får inte överlåtas till annan person. I villkoren för bankkoderna förbinder sig kunden att förvara bankkoderna noga och delarna av koderna på skilda ställen så att ingen har möjlighet att få reda på dem eller använda dem. Alla delar av koderna får inte förvaras på samma ställe, såsom i plånboken eller handväskan. Kunden ska regelbundet kontrollera att koderna finns i säkert förvar.

Banknämnden anser att det i säker och omsorgsfull användning av bankkoderna och i de skäliga åtgärder som en omsorgsfull innehavare av bankkoderna förutsätts vidta ingår att innehavaren strävar efter att använda sina koder på ett sådant sätt att ingen utomstående kan se delar av koderna eller inmatning av dem direkt så att den utomstående får kännedom om dem. Det som i en enskild situation kan förutsättas i fråga om omsorgsfullheten hos en innehavare av bankkoder påverkas av omständigheterna kring händelsen, och en omsorgsfull kodinnehavare bör ägna särskild uppmärksamhet också åt dem. När koder används i utomståendes närvaro bör en omsorgsfull kodinnehavare ägna särskild uppmärksamhet åt att skydda bl.a. inmatningen av användarkoden och lösenordet så att ingen utomstående får kännedom om dem. I en situation där en kodinnehavare inte kan förvissa sig om att användningen av koderna är säker och om att ingen utomstående får tillgång till/kännedom om någon del eller några delar av koderna, bör en omsorgsfull kodinnehavare enligt nämndens uppfattning låta bli att använda koderna.  

I det här fallet använde kunden sina koder i ett rum där två personer som han inte kände från tidigare befann sig. Kunden har i fallet inte utrett på vilket sätt han t.ex. försökte skydda inmatningen av sin användarkod och sitt lösenord i de främmande personernas närvaro eller hur han förvissade sig om att de utomstående inte i något som helst skede hade möjlighet att fotografera kundens nyckeltalskort.

I ärendet har det delvis förblivit oklart hur gärningsmännen fick tillgång till/    kännedom om de olika delarna av kundens bankkoder. Även om händelse-      förloppets början, där köparkandidaterna kom för att titta på kundens husbil som enligt en annons var till salu och de ville förvissa sig om att bilens historia var okej, inte i sig kan anses vara suspekt använde kunden ändå sina koder i samma rum som de främmande personerna, och Banknämnden anser utifrån den utredning som lagts fram i ärendet att de utomstående fick kännedom om koderna därför att kunden av vårdslöshet försummade sina skyldigheter enligt 52 § i betaltjänstlagen och villkoren för bankkoderna. Nämnden anser i synnerhet att det att fotograferingen av nyckeltalskortet lyckades visar att kundens ovarsamhet i fråga om det adekvata skyddandet av koderna var allvarlig.

Görandet av spärranmälan

I villkoren för bankkoderna sägs det att om koderna har försvunnit eller om de har råkat eller kan ha råkat i händerna på utomstående eller om utomstående har fått eller kan ha fått del av dem, är kunden skyldig att underrätta banken om detta omedelbart. Banken ska underrättas också om bara en del av koderna har råkat i utomståendes händer eller kännedom.

I det aktuella fallet har delarna av bankkoderna inte försvunnit, men Banknämnden behöver bedöma om det i händelseförloppet har framkommit något som skilde sig från det vanliga och som gjorde att kunden, om han hade gått omsorgsfullt till väga, borde ha förstått att utomstående kunde få kännedom om koderna och att han borde ha gjort en spärranmälan i ett tidigare skede än vad som nu skedde.

När kunden inte hade fått in betalningen för husbilen på sitt konto före onsdag 1.3 och inte fick tag på köparna per telefon blev han orolig för att de på något sätt hade fått tag på bilens försäljarkod. Kunden kontaktade Traficom för att ändra försäljarkoden och gjorde också en anmälan om den märkliga händelsen till polisen. Kunden anser att saken inte hade något med banken att göra och att det är långsökt att han skulle ha behövt kontakta också banken. Enligt hans uppfattning hade ju inga utomstående kunnat komma över koderna. 

Banken har hänvisat till kundens utsaga att han uppfattade det som märkligt att de två personerna kom på besök för att titta på husbilen. Banken har ansett att kunden på basis av allmän livserfarenhet borde ha förstått situationens verkliga natur i och med att den utlovade betalningen inte kom in på hans konto se-nast tisdag 28.2.2023 och att han borde ha kontaktat också banken när han kontaktade polisen och Traficom.

Med beaktande av att kunden i efterhand började tvivla på avsikterna hos de män som hade besökt honom så att han kontaktade också polisen och att han använde sina bankkoder i männens närvaro anser Banknämnden att kunden om han hade gått omsorgsfullt till väga borde ha varit medveten också om risken för att utomstående skulle få kännedom om hans bankkoder och att han därför borde ha gjort en spärranmälan till banken. Utifrån den samlade utredningen i ärendet och den omständigheten att kunden utgående från det han erfarit inte på något sätt föreställde sig möjligheten att utomstående kunde ha fått tag på hans koder anser nämnden emellertid att kundens försummelse av villkoren för bankkoderna i fråga om spärrning av koderna dock inte visar att han ställer sig likgiltig till de säkerhetsrisker som hänför sig till innehavet och användningen av koderna.

Sammandrag

Banknämnden anser att kunden av vårdslöshet, på ett sätt som visar på allvarlig ovarsamhet, försummade sina skyldigheter enligt 53 § 1 mom. i betaltjänstlagen och enligt villkoren för bankkoderna. När hänsyn dock tas till den samlade utredningen i ärendet och till att de textmeddelanden genom vilka de omtvistade betalningarna bekräftades inte nådde kunden utan gick direkt till de brottslingar som gjorde de obehöriga betalningarna, anser Banknämnden att kundens agerande enligt en samlad bedömning inte visar på sådan grov vårdslöshet som avses i betaltjänstlagen. Banknämnden anser därmed att kundens ansvar för den skada som den obehöriga användningen av kundens bankkoder medförde begränsar sig till 50 euro.

Slutsats

Banknämnden rekommenderar att banken åtar sig att svara för den skada som den obehöriga användningen av bankkoderna medfört, till den del den över-   stiger 50 euro.

Banknämnden var enhällig.

BANKNÄMNDEN

Ordförande Sillanpää                                     
Sekreterare Hidén

Medlemmar

Ahlroth
Atrila
Piilo
Tervonen

Tulosta