Haku

FINE-061938

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-061938 (2023)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 18.12.2023

Miten vastuu asiakkaan tililtä oikeudettomasti tehdyistä ja pankin mobiilisovelluksella vahvistetuista siirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Pankkitunnusten oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus. Lausumatta jättäminen.

Tapahtumatiedot

Pankin mobiilisovellus on ladattu ja aktivoitu käyttöön laitteelle iPhone 8.9.2022 kello 9.59. Tämä on edellyttänyt asiakkaan pankkitunnusten käyttäjätunnusta, salasanaa ja tiettyä tunnuslukua tunnuslukutaulukosta sekä pankin asiakkaan puhelinnumeroon 8.9.2022 klo 9.59 tekstiviestitse lähettämää vahvistuslukua. Tekstiviesti on ollut sisällöltään seuraavanlainen:
"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellus]-sovellusta uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi 8780 laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."

Em. pankin mobiilisovellusta käyttäen on asiakkaan kahdelta tililtä tehty 9.9.2022 klo 10.16–12.45 välisenä aikana tilisiirtoja yhteismäärältään 35.900,00 euroa. Asiakkaan verkkopankkitunnukset on suljettu pankin toimesta 9.9.2022 kello 13.03.

Asiakkaan vaatimukset

Asiakas pyytää FINEä antamaan asiassa ratkaisusuosituksen, jonka mukaisesti pankki on velvollinen hyvittämään asiakkaalle pankkitileiltä sekä luotolta anastetut varat kokonaisuudessaan, laillisine korkoineen, sekä hyvittämään asiakkaalle muut asian aiheuttamat kulut ja kustannukset. Toissijaisesti pyydetään suosittamaan, että asiakkaan vastuut rajataan laissa tarkoitettuun 50 euroon. Viimesijaisesti pyydetään suosittamaan, että vastuita asiassa muulla tavoin sovitellaan. Vielä asiakas pyytää suosittamaan, että pankin tulee hyvittää asian hoitamisesta aiheutuneet asiamieskulut.

Pankki on havahtunut poikkeamaan ja sulkenut asiakkaan pankkitunnukset, mutta tämä on tehty olennaisesti liian myöhään kun asiakkaan tilit ovat jo olleet tyhjennetyt. Asiakkaalle itselleen asian tila ja tapahtunut on alkanut selvitä vasta seuraavina päivinä.

Asiakas on parhaan kykynsä mukaan pyrkinyt kertomaan siitä, kuinka hän on pankkitunnusten säilytyksen suhteen menetellyt. Asiakas on tapahtumiin liittyviin muistikuviinsa pohjaten aikaisemmin todennut, ettei hän ole vastaanottanut pankin lähettämiä tai pankin nimissä lähetettyjä tekstiviestejä. Sittemmin, pankilta saadun selvityksen ja poliisin asiaa koskevan tiedotteen perusteella on tapahtumainkulku asiakkaan muistikuvista huolimatta mitä todennäköisimmin saattanut olla seuraava: Asiakas on mahdollisesti vastaanottanut huijaustekstiviestin, joka on saanut hänet vierailemaan esimerkiksi juuri pankin verkkopankkia muistuttavalla valepankkisivustolla. Tämän jälkeen kyseisellä sivulla olisi tiedusteltu hänen verkkopankkitunnuksiaan sekä pankin tekstiviestitse lähettämää koodia. Koko tapahtumaketju ja useat oikeudettomat tilisiirrot olisivat täten edellyttäneet asiakkaalta ainoastaan yhden virheellisen kirjautumisen, sekä samassa yhteydessä tulleen tekstiviestikoodin syöttämisen valesivustolle. Näin helposti ja nopeasti toteutettu teko kasvattaa olennaisesti erehtymisen vaaraa.

Mitä asiakkaan menettelyyn suhteessa pankin mobiilisovelluksen lataamiseen liittyvään tekstiviestiin tulee, on menettelyä pidettävä korkeintaan varomattomana. Edelleen se, että valesivustolle ohjaava tekstiviesti ja oikea pankin lähettämä vahvistuskoodin sisältävä tekstiviesti ovat mitä ilmeisimmin tulleet ajallisesti samassa yhteydessä, sekä se, että viestit olisivat mahdollisesti tulleet samaan viestiketjuun oikeiden pankin lähettämien viestien kanssa, ovat olennaisesti kasvattaneet erehtymisen vaaraa.

Vaikka nimenomaan asiakkaalle todennäköisesti lähetetyn huijausviestin sisältöä ei ole laite-etsinnänkään avulla pystytty selvittämään, on edelleen todennäköistä, että viestin sisältö on ollut vastaavanlainen kuin muidenkin uhrien kohdalla. Verkkopankkikalastelujen yhteydessä lähetettävät huijausviestit ovat tarkoituksellisesti yleensä sellaisia, että ne antavat uhrin olettaa, että viestissä vaadituilla toimenpiteillä on erityinen kiire. Nopeita toimia vaativan olosuhteen luominen on epäilyksettä vaikuttanut uhrin kykyyn kyseenalaistaa myöskään mobiilisovelluksen käyttöönottoon liittyneen viestin asianmukaisuutta. Tämä ottaen huomioon erityisesti, että viesti on oikeasti tullut pankilta ja ollut siten kieleltään sekä ulkoasultaan virheetön. Edellisen pankin viestin vastaanottaminen samassa asiayhteydessä huijausviestin kanssa, mitä todennäköisimmin samaan viestiketjuun, on saattanut päinvastoin vahvistaa uhrin luottamusta myös huijausviestiä kohtaan.

Asiassa on kiinnitettävä huomiota siihen, millaisia kykyjä ja perusvaatimuksia huolelliselta pankkitunnusten haltijalta voidaan todella edellyttää liittyen etenkin palveluun, jollaista henkilö ei itse ole koskaan käyttänyt. Asiakkaalla ei koskaan ole ollut pankin mobiilisovellusta, eikä sen tarkoitus ja toiminnot ole olleet hänelle millään tapaa tuttuja. Viestin sisällön näennäisestä selkeydestä huolimatta se, että viestissä on kerrottu, että sovellusta ollaan ottamassa käyttöön uudessa laitteessa ei huolellisesti luettunakaan ole ilmentänyt asiakkaalle sitä, että sen avulla hänen tilinsä voidaan tyhjentää enempiä kyselemättä. Asiakas viittaa siihen, mitä tuomioistuin on todennut kyseisessä tapauksessa (R 23/4866) toistuvasti toteutetusta tekotavasta sekä huijausviestien sisällöstä.

Pankki on vedonnut siihen, ettei asiakkaan kertomusta voida pitää uskottavana, koska tämän kertomus olisi muuttunut. Asiakas on säännönmukaisesti kertonut tapahtumista parhaan muistinsa mukaisesti. Se mihin pankki viittaa kertomuksen muuttamisena on seurausta ainoastaan esitutkinnan etenemisen myötä tapauksesta saadusta uudesta näytöstä. On epäjohdonmukaista epäillä asiakkaan uskottavuutta sen vuoksi, että hän pitää todennäköisimpänä tapahtumainkulkuna osin sitä, mitä pankki itsekin esittää. Todettakoon, että laite-etsinnän suoritettuaan ei poliisin ollut mahdollista vahvistaa sitä, että pankin lähettämä tekstiviesti on ylipäätään saapunut matkapuhelimeen, mutta tätä vaihtoehtoa ei myöskään voitu poissulkea.

Pelkkä rikoksen uhrin muistikuviin liittyvä epäselvyys ja uhrin kyvyttömyys ymmärtää tulleensa erehdytetyksi ei ole riittävä näyttö osoittamaan törkeää huolimattomuutta. Epäselvyys on seurausta siitä, ettei asiakas teosta seuranneen huomattavan järkytyksensä vuoksi kykene muistamaan tapahtumia.

Pankki on julkisesti kertonut korvanneensa osalle tämän rikoskokonaisuuden asianomistajista näiden rikoksen johdosta menettämän omaisuuden. Pankki on lisäksi kertonut käsittelevänsä kaikki tästä rikosvyyhdistä aiheutuneet reklamaatiot tapauskohtaisesti, ja tarkistaneensa, että korvausasioissa on asiakkaita kohdeltu yhdenvertaisesti. Se, että mitä ilmeisimmin samanlaisten tekotapojen uhreiksi joutuneista osa saa korvauksen ja osa ei saa, antaa syyn vahvasti kyseenalaistaa reklamaatioiden yhdenvertaista käsittelytapaa. Vielä erikoista on se, miten asiakkaan tapaus, ainoastaan asiakkaan huijausviestejä koskevien muistikuvien puuttumisen takia olisi siinä määrin erilaisessa asemassa pankin yhdenvertaisessa käsittelyprosessissa, että korvaukset voitaisiin sen takia asiakkaalta evätä.

Lopuksi

Poliisin tiedotteesta ilmi käyvällä tavalla on todennäköisesti samojen rikollisten tekomuotojen kohteeksi joutuneita uhreja tässä asiakokonaisuudessa yli 400 kappaletta. Mahdollisista tapahtumainkuluista ilmeinen on, että asiakkaan varat olisi onnistuttu anastamaan vastaavasti kuin useimpien muidenkin uhrien; valepankkisivustolle ohjaavan huijausviestin avulla. Tämän viestin vastaanottamista asiakas ei muista, kuten ei muitakaan pankin hänelle tuona päivänä lähettämiä viestejä. Asiakkaan omat muistikuvat asiasta eivät ole ratkaisevia. Se, ettei asiakas muista vastaanottaneensa huijausviestejä, ei ole näyttö siitä, että hän olisi luovuttanut oikeudettomat maksutapahtumat mahdollistaneita tietoja rikoksentekijälle törkeän huolimattomasti tai varsinkaan tahallisesti. Se kertoo ainoastaan siitä, kuinka taidokkaasti ja uskottavasti rikoksentekijä on asiakasta erehdyttänyt. Asiakkaan hyvin mahdollisesti toimittua vastaavalla tavalla kuin monet muutkin asianomistajat tässä asiakokonaisuudessa, on asiakkaan toimintaa pidettävä ainoastaan tavanomaisen varomattomana.

Palveluntarjoajan kanta

Pankki kiistää asiakkaan vaatimukset perusteettomina.

Tapahtumankulku

Kaikki oikeudettomaksi ilmoitetut tapahtumat on vahvistettu pankin mobiilisovelluksella, joka on ladattu laitteelle iPhone 8.9.2022 klo 09.59. Mobiilisovelluksen lataamiseksi tähän laitteeseen on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset, eli verkkopankin käyttäjätunnus, salasana, järjestelmän satunnaisesti sillä hetkellä valitsema tunnuslukutaulukon tunnusluku sekä tekstiviestitse asiakkaan puhelinnumeroon 8.9.2022 klo 09.59 toimitettu vahvistuskoodi. Asiakkaan asiamies kertoo, että puhelinnumero on kyllä asiakkaan, mutta että tekstiviestiä ei olisi asiakkaalle toimitettu tai että hän ei olisi sitä vastaanottanut.

Pankki on vielä kertaalleen tarkistanut taustajärjestelmästään asiakkaan puhelinnumeroon lähetetyt tekstiviestit päivämäärältä 8.9.2022. Kyseisellä päivämäärällä järjestelmän mukaan asiakkaan numeroon on onnistuneesti toimitettu pankilta klo 09:59:31 pankin mobiilisovelluksen sisältänyt tekstiviesti ja klo 15:02:20 seuraava tekstiviesti:
”Olet kirjautumassa tunnuksillasi verkkopankkiin. Vahvistuskoodisi on 8280. Maksuttomalla [pankin mobiilisovellukselle] voit kirjautua ilman tekstiviestiä. Terveisin [Pankki]."
Kirjautumistietojen perusteella tämä kyseinen viesti liittyy asiakkaan tekemään maksuun Veikkaukselle. Maksu tehty maksunappia käyttäen ja asiakas ei ole tuolloin kirjautunut verkkopankkiin. Asiakkaan verkkopankkitunnukset on suljettu pankin toimesta 9.9.2022 kello 13.03.

Asiakas on antanut 8.9. päivän tapahtumista ja omasta toiminnastaan melko niukasti tietoa. Pankki on reklamaatioprosessin lisäselvityspyynnöissä yrittänyt selvittää asiakkaalta tapahtumankulkua kysymällä mm. mille sivustolle hän on kirjautunut ko. päivänä pankkitunnuksillaan, onko hän saanut pankin nimissä viestiä tai sähköpostia, joissa olisi pyydetty avaamaan linkki, onko häneen ottanut joku henkilö sosiaalisen median kautta yhteyttä ja pyytänyt asiakkaan pankkitunnuksia, millä sivustolla asiakas on käynyt tapahtumapäivänä ja lisäksi pankki on tiedustellut mitä hän teki vastaanottamalleen pankin mobiilisovelluksen lataamisesta kertovalle tekstiviestille. Pankki on lisäselvityspyynnössä pyytänyt asiakasta vastaamaan mahdollisimman tarkasti. Asiakas ei kuitenkaan ole pystynyt antamaan minkäänlaista selvitystä siitä, miten hän on kyseisenä päivänä verkkopankkitunnuksiaan käyttänyt.

Asiakkaan on täytynyt antaa huijaussivustolle käyttäjätunnus, salasana, (sattumanvaraisesti valittu) tunnuslukutaulukon tunnusluku ja asiakkaalle tekstiviestillä lähetetty vahvistuskoodi, jolloin pankin näkemyksen mukaan olettama törkeästä huolimattomuudesta on täyttynyt. Pankki katsoo, että erityisesti asiakkaan menettely pankin lähettämän pankin mobiilisovelluksen latauksesta kertovan tekstiviestin suhteen osoittaa maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Asiakas ei ole kertonut jo ensimmäistä reklamaatiota tehdessään tai tarkennettuihin kysymyksiin vastatessaan, missä tarkoituksessa ja millä tavoin hän on pankkitunnuksiaan käyttänyt ko. ajankohtana. Tämä kertomus olisi ollut tarpeen sen arvioimiseksi, onko asiakkaan tilanteessa ollut sellaista, mikä olisi antanut aiheen arvioida hänen kuitenkin toimineen muutoin kuin törkeän huolimattomasti. Päinvastoin asiakas on muuttanut kertomustaan pankkitunnusten käyttämisestä eri vaiheissa, ensin kiistänyt käyttäneensä niitä lainkaan ja sitten ilmoittanut pitävänsä mahdollisena, että niitä onkin käyttänyt. Asiakkaan kertomusta ei voida pitää uskottavana. Asiakkaan vaatiessa maksuvälineen myöntäjää ottamaan vastuun maksuvälineen oikeudettomasta käytöstä, voidaan asiakkaan edellyttää antavan oman selvityksensä tapahtumista ja omasta menettelystään. Ottaen huomioon asiakkaan kertomuksen muuttuminen hänen omasta menettelystään ja se tosiseikka, että hänelle lähetetty lisävahvistustunnus on annettu väärinkäyttäjälle sekä pankin tekstiviestin sisältö varoituksineen, on perusteltua katsoa asiakkaan käyttäneen maksuvälineitään törkeän huolimattomasti.

Asiakkaan asiamies lisäksi esittänyt olevan yleisessä tiedossa, että pankilla oli vuonna 2022 merkittäviä puutteita järjestelmissään, mikä on mahdollistanut tunkeutumisia asiakkaiden tileille. Tähän selvyyden vuoksi todettakoon, että pankin verkkopankkitunnuksilla tunnistautumisessa esiintyi viime vuonna järjestelmähäiriö, josta uutisoitiin laajasti. Pankki on ollut yhteydessä kaikkiin niihin asiakkaisiin, joita häiriö on koskettanut. Nyt kyseessä olevassa tapauksessa on otettu käyttöön pankin mobiilisovellus, jonka avulla asiakkaan tunnuksia on käytetty väärin. Sovelluksen käyttöönotto toisen asiakkaan nimissä ei ole ollut mahdollista em. tunnistautumisen häiriön yhteydessä. Näin ollen kyseinen häiriö ei ole vaikuttanut nyt käsiteltävään tapaukseen.

Pankin ehtojen mukaan pankki on velvollinen korvaamaan vain sen välittömän vahingon, joka on aiheutunut pankin virheestä tai laiminlyönnistä. Tällaisia välittömiä vahinkoja ovat asiakkaalle virheen selvittämisestä aiheutuneet välttämättömät selvittelykustannukset, kuten puhelinkulut tai matkakulut. Nyt kyseessä olevassa tapauksessa ei ole kyse pankin virheen aiheuttamasta vahingosta tai laiminlyönnistä, joten pankki ei ole velvollinen korvaamaan asiakkaan asiamieskuluja. Lisäksi asiamieskulut ovat joka tapauksessa välillistä vahinkoa, joita asiakasehtojen mukaan pankki ei ole velvollinen korvaamaan.

Lisäksi FINEn ohjesäännön mukaan kuluttajilta ei käytännössä voida odottaa oikeudellista asiantuntemusta, minkä vuoksi FINEllä on oltava näissä riidoissa aktiivinen rooli. FINEn toimisto ja lautakunnat voivat perustaa kuluttajalle myönteisen ratkaisunsa sellaiseenkin seikkaan, johon asiakas ei ole huomannut tai osannut vedota. Asiamiehen käyttö maksuttomassa vaihtoehtoisessa riidanratkaisufoorumissa, kuten FINEssä, on asiakkaan oman harkinnan varassa ja asiakas vastaa näistä kuluista itse.

Asiakkaan lisäkirjelmästä

Asiakkaan asiamies toteaa, että asiakas on mahdollisesti vastaanottanut huijaustekstiviestin, joka on saanut hänet vierailemaan esimerkiksi juuri pankin verkkopankkia muistuttavalla valepankkisivustolla.

Koska vastuu pankkitunnusten huolellisesta säilyttämisestä on asiakkaalla itsellään, on ainoastaan asiakkaan mahdollista kertoa, kuinka hän on pankkitunnusten säilytyksen suhteen menetellyt. Aikaisemmin asiakas kiisti jyrkästi vastaanottaneensa pankin nimissä lähetettyä huijausviestiä, joten pankki ei ole voinut tältä osin asiakkaan toiminnan huolellisuutta arvioida.

Koska huijausviestin sanallinen sisältö ei ole pankin tiedossa, ei voida arvioida sitä missä tarkoituksessa asiakas on huijaussivustolla kuvitellut verkkopankkitunnuksiaan käyttävän. Asiakkaan vastaanottamassa, pankin mobiilisovelluksen latauksesta kertovan tekstiviestissä on kuitenkin selkeästi kerrottu, että asiakkaan tunnuksilla ollaan ottamassa käyttöön pankin mobiilisovellusta uudessa laitteessa. Huolelliselta pankkitunnusten haltialta vaadittaviin perusvaatimuksiin voidaan katsoa kuuluvan sen, että hän lukee huolellisesti pankiltaan asiointinsa yhteydessä vastaanottamansa viestinnän. Mikäli asiakas olisi lukenut pankin mobiilisovelluksen vahvistuskoodin sisältämän tekstiviestin huolellisesti, olisi hänen tullut ymmärtää olla syöttämättä sitä valesivustolle. Pankki katsoo, että tältä osin asiakas on toiminut törkeän huolimattomasti. Mikäli asiakas olisi ottanut viestissä olleen kehotuksen mukaisesti yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa aiheutuneelta vahingolta voitu välttyä.

Lopuksi

Pankki katsoo, että asiakas on luovuttanut pankkitunnuksensa niitä koskevien ehtojen nimenomaisen kiellon vastaisesti sivulliselle. Asiakkaalle lähetetyssä tekstiviestissä on lisäksi todettu ”Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]." Mikäli asiakas olisi ottanut viestissä olleen kehotuksen mukaisesti yhteyttä pankkiin tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa aiheutuneelta vahingolta voitu välttyä. Asiakkaalle lähetetyssä tekstiviestissä kerrotaan selkeästi, että siinä olevaa vahvistuskoodia käytetään pankin mobiilisovelluksen käyttöönottoon uudella laitteella.

Asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakkaan on täytynyt toimia maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan käyttöönotetulla mobiilisovelluksella hyväksytyistä tapahtumista täysimääräisesti. Erityisesti asiakkaan menettely pankin lähettämän pankin mobiilisovelluksen latauksesta kertovan tekstiviestin suhteen osoittaa maksupalvelulaissa tarkoitettua törkeää huolimattomuutta.

Asiakkaan henkilökohtaisten verkkopankkitunnusten osista käyttäjätunnuksen ja salasanan rikollinen olisi saattanut saada tietoonsa jonkin aikaisemman huijauksen yhteydessä, mutta järjestelmä valitsee tunnuslukutaulukon tunnusluvun sattumanvaraisesti. Pankin mobiilisovellusta ei ole voitu ottaa käyttöön ilman tätä sattumanvaraisesti valikoituvaa tunnuslukutaulukon tunnuslukua. Jos asiakas ei itse erehdyksessä ole antanut avainlukulistan koodia ja tekstiviestitse hänelle toimitettua vahvistuskoodia, on rikollisella täytynyt olla hallussaan asiakkaan koko avainlukulista tai sen kopio sekä asiakkaan puhelin.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
- verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
- [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Ratkaisusuositus

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

FINE toteaa vastuun pankkitunnusten huolellisesta säilyttämisestä ja käyttämisestä olevan maksupalvelulain ja tunnistuslain sekä pankkitunnusehtojen mukaan tunnusten haltijalla. Tämä on luonnollista ottaen huomioon sen, että viime kädessä - riippumatta esimerkiksi tunnusten myöntäjän ohjeistuksesta tai niitä koskevien sopimusten ehdoista - ainoastaan tunnusten haltija voi vaikuttaa siihen, miten ja missä olosuhteissa hän tunnuksiaan säilyttää ja käyttää.

Tilanteissa, joissa maksuvälinettä on käytetty oikeudetta, on maksuvälineen haltijan ja maksuvälineen myöntäjän välisen vastuunjaon kannalta pääsääntöisesti ratkaisevaa se, kuinka huolellisesti maksuvälineen haltijan voidaan katsoa menetelleen maksuvälineensä suhteen. Jotta maksuvälineen haltijan huolellisuutta voitaisiin arvioida, on saatava selvitystä siitä, missä olosuhteissa ja millä tavoin hän on maksuvälinettään säilyttänyt ja käyttänyt ja miten se on päätynyt ulkopuolisen haltuun/tietoon/käyttöön. Parhaat mahdollisuudet selvityksen antamiseen on lähtökohtaisesti maksuvälineen haltijalla ja hänen vaatiessa maksuvälineen myöntäjää ottamaan vastuun maksuvälineen oikeudettomasta käytöstä, voidaan maksuvälineen haltijan edellyttää antavan oman selvityksensä tapahtumista ja omasta menettelystään. Tietoa tapahtumienkulun yksityiskohdista ei aina ole mahdollista saada eikä myös maksuvälineen haltijalta voida edellyttää, mutta hänen voidaan aina edellyttää antavan selvityksen tapahtumista ja omasta menettelystään.

Tässä tapauksessa pankki on esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.

Asiakkaan mukaan hän säilyttää tunnuksiaan paikassa, johon muilla ei ole pääsyä, ja käyttäjätunnusta ja salasanaa eri paikassa kuin tunnuslukutaulukkoa. Asiakkaan mukaan rikollinen ei ole voinut saada tunnuksia käsiinsä asiakkaalta, eikä tämä ole niitä myöskään huolimattomuudesta voinut luovuttaa. Asiakas on tapauksessa alun perin myös kiistänyt saaneensa tekstiviestiä tai sähköpostia, jossa olevan linkin kautta hän olisi voinut päätyä valesivuille. Asiakas on lisäksi kiistänyt vastaanottaneensa pankin hänen numeroonsa 8.9.2022 klo 9.59 lähettämää tekstiviestiä, jossa ollut vahvistuskoodi on ollut asiakkaan verkkopankkitunnustietojen lisäksi edellytyksenä rikollisten lataaman pankin mobiilisovelluksen aktivoimiselle. Asiakkaan asiamies on kuitenkin lisävastineessa esittänyt olevan mahdollista, ettei asiakkaan muistikuvien tekstiviestien puuttumisesta voida pitää viitteenä tapahtumainkulusta ja että asiakas onkin mahdollisesti vastaanottanut huijaustekstiviestin, joka on saanut hänet vierailemaan esimerkiksi juuri pankin verkkopankkia muistuttavalla sivulla.

FINE katsoo tapahtumien kulun jäävän asiassa esitetyn selvityksen ja erityisesti asiakkaan asiassa kertoman ja hänen puolestaan esitetyn perusteella olennaisilta osin epäselväksi. FINEn ei ole saadun selvityksen perusteella mahdollista luotettavasti arvioida, mitä tapauksessa on todennäköisimmin tapahtunut ja miten oikeudettomien maksutapahtumien toteuttamisen edellyttämät pankkitunnus- ja aktivointikooditiedot ovat voineet päätyä asiakkaalta rikollisten tietoon saati sitä, mikä on asiakkaan mahdollisesti huolimattoman menettelyn myötävaikutus tapahtumien kulkuun.

Lopputulos

Ohjesääntönsä mukaan FINE voi erityisestä syystä päättää, ettei se anna ratkaisusuositusta sen käsiteltäväksi saatetusta asiasta. Vastaavalla tavalla kuin Pankkilautakunta on esimerkiksi 13.6.2023 antamassaan ja vastaavanlaista tapausta FINE-050547 koskevassa ratkaisussaan katsonut, katsoo FINE tässä tapauksessa, että asiassa esitetyn selvityksen perusteella tapahtumien kulku jää olennaisilta osin epäselväksi eikä FINE näin ollen pysty käytettävissään olevin keinoin luotettavasti ratkaisemaan asiakkaan ja pankin välisen vastuunjaon kannalta ratkaisevaa kysymystä siitä, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut asiakkaan huolimattomuudesta ja onko asiakkaan mahdollinen huolimattomuus törkeää. Keskeisen tapahtumainkulun jäädessä tällä tavoin epäselväksi FINE päättää, ettei se anna ratkaisusuositusta tässä tapauksessa.

Asian näin päättyessä FINE ei katso aiheelliseksi lausua asiassa myöskään muilta osin. Asiakkaan vaadittua asiassa pankkia hyvittämään asian hoitamisesta aiheutuneet asiamieskulut FINE kuitenkin selvyyden vuoksi toteaa, että FINEn ohjesäännön 6 §:n mukaan FINE ei käsittele sille osoitetun valituksen tekemisestä aiheutuneiden kustannusten korvaamista.

FINE
Vakuutus- ja rahoitusneuvont

Jaostopääkkikkö Sainio                                                   
Esittelijä Hidén

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä