Tapahtumatiedot

Asiakas on vastaanottanut 2.4.2023 klo 15.41 tekstiviestin, jossa on lukenut seuraavasti:
”Omaposti: Sinulla on tärkeä henkilökohtainen viesti allekirjoitettavana, ole hyvä ja kirjaudu sisään nyt posti-fi-kirjaudu.co”
Asiakas on linkin kautta avautuneilla sivuilla käyttänyt pankkitunnuksiaan.

Asiakkaan pankkitunnustietoja sekä pankin asiakkaalle lähettämässä tekstiviestissä ollutta koodia käyttäen rikolliset ovat ladanneet ja aktivoineet käyttöönsä pankin tunnistussovelluksen. Pankki on lähettänyt asiakkaalle pankin tunnistussovelluksen aktivointikoodin kahdesti, 2.4.2023 klo 15.42 ja 17.44. Tekstiviestit ovat olleet sisällöltään seuraavanlaisia:
     ”[Pankin tunnistussovellus] Activation Code
      If you're not trying to activate [Pankin tunnistussovellus], please contact us immediately. Remember, we'll never ask you for this                code, but a fraudster would, so stay safe and don't share this code with anyone. The code to complete your
       [Pankin tunnistussovellus] activation is xxx. SMSID:xxxxxx”

Tunnistussovelluksen aktivoinnista pankki on lähettänyt asiakkaalle kahdesti 2.4.2023 klo 15.43 ja 17.44, sisällöltään seuraavanlaisen tekstiviestin:
      "Great news, you've successfully activated [Pankin tunnistussovellus]. If you're not the one trying to activate
       [Pankin tunnistussovellus] and you have received this message, please contact us immediately. SMSID:xxxxxx"

Pankin tunnistussovellusta käyttäen asiakkaan säästötilillä olleet varat on siirretty asiakkaan toiselle tilille, jolta on tämän jälkeen tehty 6.4.2023 1.800 euron tilisiirto ulkopuoliselle tilille pankin tunnistussovelluksella vahvistaen. Asiakas on huomannut em. siirron 7.4.2023 ja asiakkaan pankkitunnukset on suljettu samana päivänä asiakkaan otettua yhteyttä pankkiin.

Asiakkaan vaatimukset

Asiakas vaatii pankkia korvaamaan 1.800 euroa.
Asiakas on vastannut Omapostin nimissä tulleeseen huijausviestiin, minkä seurauksena kaikki asiakkaan tilin rahat varastettiin. Pankki ei ole valmis korvaamaan asiakkaalle mitään, sillä asiakas on saanut varoittavan viestin pankista samaan aikaan kun on tietojaan huijaukseen laittanut. Ongelma tässä on se, että asiakas ei ole ollut tietoinen viesteistä, eikä ainakaan muista, että olisi laittanut viestissä olleita koodeja mihinkään. Viestissä lukee kyllä selkeästi varoitus siitä, että joku toinen on käyttämässä asiakkaan tunnuksia. Jos asiakas olisi tällaisen viestin lukenut, voi olla varma, että hän olisi ottanut suoraan yhteyttä pankkiin. Asiakas ei siis oikeasti muista tilannetta, että olisi tämän viestin nähnyt saatikka laittanut siinä olevia numerokoodeja mihinkään. Tämän takia asiakkaasta on ihmeellistä, että huijaus ei olisi ollut mahdollinen ilman kyseisiä koodeja. Jos on käynyt niin, että asiakas olisi nämä koodit näpytellyt, ei hän ole ollut tietoinen seurauksista, minkä vuoksi asiakkaan käytöstä ei voisi sanoa törkeäksi huolimattomuudeksi. Tämä vaihtoehto kuulostaa asiakkaan mielestäni täysin järjettömältä, koska hän ei olisi ikinä antanut tunnuksia mihinkään, jos olisi lukenut viestin sisällön.

Jos asiakas olisi ymmärtänyt, että joku on rahoja varastamassa, olisi hän tietenkin ottanut yhteyden pankkiin niin nopeasti kuin mahdollista. Asiakas on kuitenkin yleisesti erittäin tarkka omista pankkitunnuksistaan eikä oikeasti nyt ymmärrä miten tämä on mahdollista. Asia on kokonaisuutena nyt erittäin epäreilu ja olisi ollut esimerkiksi kohtuullista saada soitto pankilta jos he huomaavat, että joku käyttää asiakkaan tunnuksia.

Palveluntarjoajan kanta

Pankki kiistää asiakkaan vaatimuksen.

Perustelut

Asiakas on saanut viestin tuntemattomasta numerosta, missä on kehotettu kirjautumaan Omapostiin allekirjoitettavana olevan tärkeän viestin vuoksi. Tietämättä sitä, onko asiakas ollut rekisteröitynyt OmaPosti-palvelun käyttäjä tai toisen pankin vastaavan nimisen palvelun käyttäjä, asiakkaan epäilyksen olisi tullut herätä jo senkin perusteella, että viesti näyttää tulleen selvästi tavanomaisesta kännykkänumerosta ja tämän kaltaisista huijauksista on varoitettu jo useamman vuoden ajan julkisuudessa ja pankin omissa kanavissa, kuten verkkosivuilla ja mobiilipankin viesteinä. Asiakas on kertomansa mukaan luovuttanut linkin kautta pankkitunnuksensa huijaussivustolla.

Pankki on lähettänyt 2.4.2023 klo 15.42 ja 17.44 pankin tiedossa olevaan asiakkaan puhelinnumeroon aktivointikoodin pankin tunnistussovelluksen aktivointia varten tekstiviestillä. Samaan puhelinnumeroon on lähetetty myös klo 15.43 ja 17.44 tieto pankin tunnistussovelluksen onnistuneesta aktivoinnista.

Asiakas on huomannut 7.4.2023, että säästötilin varat oli siirretty asiakkaan toiselle tilille ja siirretty siitä tuntemattomalle ulkopuoliselle tilille. Asiakkaan pankkitunnukset on suljettu samana päivänä asiakkaan yhteydenoton takia. Tililtä oli kuitenkin 6.4.2023 ehditty tekemään tilisiirto 1.800 euroa. Tapahtuma oli hyväksytty vahvalla sähköisellä tunnistamisella asiakkaan nimissä olevalla pankin tunnistussovelluksella.

Pankki viittaa maksupalvelulain 53 ja 62 §:iin ja pankin Onlinepalveluihin sovellettavien Sähköisen asioinnin ehtojen tunnisteen säilyttämistä ja katoamisvastuuta koskevaan kohtaan mukaan:

   "Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon.
    Pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä.           Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille."

Ehtojen turvallisuutta ja tietoturvaa koskevan kohdan mukaan:
   "Pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista joko asiakkaan tai käyttäjän antamien yhteystietojen                perusteella asiakkaalle tai käyttäjälle tai yleisesti pankin sähköisissä kanavissa."

Pankin verkkosivuilla olevassa turvallisuusohjeessa on varoitettu mm. seuraavasti:
    "Älä koskaan luovuta pankkitunnuksiasi kenellekään tai syötä niiden tietoja tekstiviestillä, puhelinsoitolla tai sähköpostilla tulleen               pyynnön perusteella."

Asiakas on saanut kaksi kertaa tekstiviestin liittyen pankin tunnistussovelluksen aktivointiin, jossa on varoitettu huijausmahdollisuudesta ja nimenomaisesti kielletty jakamasta koodia ulkopuolisille. Asiakas ei kertomansa mukaan muista saaneensa viestiä tai että olisi laittanut viestissä olleita koodeja mihinkään. Aktivoinnin jälkeen asiakas on saanut toisen viestin, jossa on myös pyydetty ottamaan yhteyttä pankkiin, jos hän ei ole itse aktivoimassa sovellusta. Asiakkaalla on käyttäessään pankin palveluita velvollisuus reagoida pankin lähettämiin viesteihin, sillä niiden avulla pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista. Jos asiakas ei ole täysin ymmärtänyt viestin sisältöä, olisi hänen siinä vaiheessa tullut keskeyttää kirjautuminen ja varmistua tekemiensä toimien asianmukaisuudesta. Vahinko olisi ollut vältettävissä vielä silloinkin, jos asiakas olisi reagoinut aktivoinnin jälkeen lähetettyihin tekstiviesteihin, koska siirrot tililtä on toteutettu vasta muutaman päivän jälkeen. Pankin näkemyksen mukaan asiakkaan menettely on tässä tapauksessa ollut kokonaisuutena arvioiden törkeän huolimatonta, minkä takia hän vastaa itse aiheutuneesta vahingosta.

Sopimusehdot ja lainsäädäntö

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
     Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on         kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen                  myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
      Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän          vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
   Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle                              havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
      Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai                  oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos              oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
      1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
      2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
      3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan                         maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
      Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on        enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai          törkeän huolimattomasti.
      Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
       1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu                  maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
       2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1                      kohdassa tarkoitettu ilmoitus;
      3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
      4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
   Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä,
    jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
   Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty       maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman
   tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili           siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 3 momenttien mukaan
     Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
     1)käyttää maksutiliään tietoverkon välityksellä;
     2)käynnistää sähköisen maksutapahtuman;
     3)toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
     […]
    Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten                              turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
      […]

Pankin onlinepalveluja koskevien sähköisen asioinnin ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Sähköinen tunnistaminen ja sähköinen allekirjoitus -kohdan mukaan:
   Online-palvelua voi käyttää Pankin hyväksymillä tunnisteilla, kuten pankkitunnuksilla. Tunniste on luonnollisen henkilön ja sähköisen        allekirjoittamisen väline.
    Kun asiakas tai käyttäjä ottaa yhteyttä Pankkiin, Pankki tunnistaa tunnisteella asiakkaan ja käyttäjän ja asiakas ja käyttäjä tunnistavat         Pankin. Tunnisteen käyttö vastaa asiakkaan ja käyttäjän tunnistamista perinteisestä henkilöllisyyttä osoittavasta asiakirjasta
     (sähköinen tunnistaminen). […]

Pankkitunnusehtojen Tunnisteen säilyttäminen ja katoamisvastuu -kohdan mukaan

  Tunnisteet ovat henkilökohtaiset, eikä niitä saa luovuttaa kolmannelle tai toisten henkilöiden, sovellusten tai palveluiden käyttöön. […]
  Asiakas ja käyttäjä sitoutuvat säilyttämään Pankin hyväksymät tunnisteet niiden käyttöohjeiden mukaan huolellisesti ja siten, ettei            sivullisen ole mahdollista saada niitä tietoonsa tai käyttää niitä. Pankkitunnusten salaista salasanaa on aina säilytettävä erillään muista      tunnistautumisvälineistä, mieluiten vain muistissa. Kun asiakas tai käyttäjä saa uudet pankkitunnukset, Pankin antama salasana on heti     vaihdettava.
   Asiakas vastaa hallussaan olevien tunnistetietojen huolellisesta säilyttämisestä siten, että ne eivät joudu sivullisen tietoon. Pankki ei         koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä.
   Tunnistetietoja ei koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes Pankille.
   Asiakkaan tai käyttäjän on heti ilmoitettava Pankille, jos hän tietää tai epäilee, että pankkitunnusten salainen salasana,                                tunnistussovelluksella varustettu puhelin tai muu mobiililaite, tunnuslukulaite, pikatunnistuksella varustettu puhelin tai muu vastaava        tunnistetieto, jota voi käyttää väärin, on joutunut sivullisen tietoon tai haltuun. […]

Pankkitunnusehtojen Turvallisuus ja tietoturva -kohdan mukaan:
   "Pankin verkkosivuilla on tietoa online-asioinnin turvallisuudesta. Tietoja kulloinkin vallitsevien tietoturvauhkien edellyttämistä                    tarpeellisista laite- ja ohjelmistovaatimuksista löytyy myös Viestintäviraston Internet-sivuilta.
    […]
   Turvallisen asioinnin varmistamiseksi Pankki suosittelee, että asiakas ja käyttäjä
    - lukevat säännöllisesti Pankin ja Viestintäviraston Internet-sivujen turvallisuusohjeita
    - pyrkivät kaikin kohtuullisin keinoin varmistamaan, että heidän käyttämänsä laitteet, ohjelmat, järjestelmät ja tarpeelliset                              tietoliikenneyhteydet ovat riittävät turvalliset sekä ne ja tarpeelliset tietoturvaohjelmat on päivitetty säännöllisesti.
   Pankki ilmoittaa petolliseen toimintaan tai turvallisuuteen liittyvistä uhkista joko asiakkaan tai käyttäjän antamien yhteystietojen                 perusteella asiakkaalle tai käyttäjälle tai yleisesti pankin sähköisissä kanavissa.     

Pankkitunnusehtojen Määritelmät -kohdan mukaan

  […]Pankkitunnukset = pankin tarjoamat tunnisteet, jotka koostuvat tunnistautumisvälineistä ja yksilöivistä tiedoista tai ominaisuuksista,     ja jotka yhdessä käytettyinä muodostavat palvelussa tunnistautumiseen tarvittavat tunnisteet sekä tunnistamisen ja todentamisen             välineet. Pankin eri jakelukanavissa voidaan käyttää kanavakohtaisia tunnistautumisvälineitä.[…]
   Tunniste = pankkitunnukset tai muu Pankin hyväksymä tunniste, jolla asiakas tai käyttäjä tunnistetaan sähköisesti ja jolla voi tehdä           sähköisen allekirjoituksen.[…]
   Tunnistuspalvelu = palvelu, jossa asiakas tai käyttäjä voi tunnisteella tunnistautua sähköisesti ja tehdä sähköisiä allekirjoituksia                  asioidessaan kolmannen osapuolen kanssa, kuten tunnistussovellus.[…]

Ratkaisusuositus

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Tapahtumienkulku

FINE katsoo riidattomaksi, että asiakas avannut hänelle entuudestaan tuntemattomasta puhelinnumerosta 2.4.2023 klo 15.41 hänelle lähetetyssä tekstiviestissä olleen linkin. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
”Omaposti: Sinulla on tärkeä henkilökohtainen viesti allekirjoitettavana, ole hyvä ja kirjaudu sisään nyt posti-fi-kirjaudu.co”

Asiakas on linkin kautta avautuneilla rikollisten luomilla valesivuilla syöttänyt pankkitunnustietojaan. Rikolliset ovat nämä tiedot valesivujen kautta saatuaan syöttäneet ne omalle laitteelleen lataamalleen pankin tunnistussovellukseen, minkä seurauksena pankki on lähettänyt asiakkaalle tekstiviestitse pankin tunnistussovelluksen aktivointikoodin 2.4.2023 klo 15.42. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:

   "[Pankin mobiilisovellus] Activation Code
     If you´re not trying to activate [pankin mobiilisovellus], please contact us immediately.
     Remember, we´ll never ask for you for this code, but a fraudster would, so stay safe and don´t share this code with anyone.
     The code to complete your [pankin mobiilisovellus] activation is xxxxxx]
     SMSID: 2504411794".

Pankki on lähettänyt asiakkaalle samanlaisen tekstiviestin myös 2.4.2023 klo 17.44.

FINE katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt valesivuille ainakin toisen em. aktivointikoodeista, jonka saatuaan rikolliset ovat voineet aktivoida käyttöönsä pankin tunnistussovelluksen. Pankki on ilmoittanut tunnistussovelluksen aktivoimisesta asiakkaalle tekstiviesteillään klo 15.43 ja 17.44:
    "Great news, you've successfully activated [Pankin tunnistussovellus]. If you're not the one trying to activate
      [Pankin tunnistussovellus]and you have received this message, please contact us immediately. SMSID:xxxxxx"

Rikolliset ovat tehneet vahingon aiheuttaneen ko. riidanalaisen 1.800 euron tilisiirron neljä päivää myöhemmin 6.4.2023 pankin mobiilisovelluksella vahvistaen.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan pankki ei koskaan pyydä pankkitunnusten tietoja sähköpostilla tai muutoin, kun pankki ottaa asiakkaaseen tai käyttäjään yhteyttä, eikä tunnistetietoja saa koskaan saa antaa sähköpostilla tai puhelimella niitä kysyvälle, ei edes pankille.

Asiakas on käyttänyt pankkitunnuksiaan hänelle entuudestaan tuntemattomasta numerosta lähetetyssä tekstiviestissä olleen linkin kautta avautuneilla sivuilla mitä ilmeisimmin tunnistautumistarkoituksessa.

FINE kiinnittää huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen heidän asiointiaan koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa yleisesti tunnetun palvelun tai palveluntarjoajan nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.

FINE kiinnittää kuitenkin huomiota myös siihen, että tässä tapauksessa asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää tulleen tavanomaisesta ja asiakkaalle entuudestaan tuntemattomasta matkapuhelinnumerosta. Ottaen lisäksi huomioon, että pankki on turvallisuusohjeissaan kieltänyt asiakkaitaan syöttämästä pankkitunnustietoja tekstiviestillä tulleen pyynnön perusteella, FINE katsoo, että vaikka asiakkaan saamassa tekstiviestissä olleen linkin kautta avautuneet sivut olisivatkin näyttäneet aidoilta Omapostin sivuilta, on asiakas pankkitunnuksiaan sivuille syöttäessään laiminlyönyt pankkitunnusehtojen mukaisia huolellisuusvelvollisuuksiaan lievää huolimattomuutta osoittavalla tavalla.

Edelleen ja erityisesti FINE katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin tunnistussovelluksen aktivointikoodin sisältäneen englanninkielisen tekstiviestin asiakkaan olisi tekstiviestin sisältö huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuille. FINE katsoo, että em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollutta aktivointikoodia käytetään, ja toisaalta varoitetaan huijauksista.  Mikäli asiakas olisi tuossa tilanteessa ottanut viestissä olleen ohjeen mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. FINE katsoo myös, että vaikka asiakas ei olisi ymmärtänyt englanninkielisen tekstiviestin sisältöä ja siinä olleen koodin tarkoitusta, olisi hänen siinäkin tapauksessa tullut ymmärtää keskeyttää asiointinsa.

FINE kiinnittää huomiota myös pankin noin minuutti em. tekstiviestin jälkeen asiakkaalle lähettämään uuteen tekstiviestiin, jossa onnitellaan pankin tunnistussovelluksen onnistuneesta aktivoinnista ja kehotetaan ottamaan välittömästi yhteyttä pankkiin, jos ei ole itse yrittänyt aktivoida sovellusta. FINE katsoo, että koska asiakas ei ollut itse yrittänyt tuossa tilanteessa aktivoida pankin tunnistussovellusta, olisi hänen huolellisesti toimiessaan tullut myös tämän jälkimmäisen viestin johdosta sulkea tunnuksensa.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. FINE katsoo, että tässä tapauksessa asiakkaan ensin syötettyä pankkitunnustietojaan hänelle tekstiviestitse lähetetyn linkin kautta avautuneilla sivuilla asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii.

Pankkilautakunnan vastaavanlaisia tapauksia koskevan ratkaisukäytännön ja tässä tapauksessa saadun selvityksen perusteella sekä erityisesti pankin lähettämien pankin tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin ja sovelluksen käyttöönotosta kertoneen tekstiviestin sisältö huomioiden FINE katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n ja pankkitunnusehtojen mukaisia velvollisuuksiaan tavalla, joka poikkeaa selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen FINE katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Lopputulos

FINE ei suosita asiassa hyvitystä.

FINE

Vakuutus- ja rahoitusneuvonta

 Jaostopäällikkö Sainio
Esittelijä Hidén