Haku

FINE-062855

Tulosta

Asianumero: FINE-062855 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.03.2024

Miten vastuu asiakkaan tililtä tehdyistä ja pankin mobiilisovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on saanut 4.10.2022 klo 14.27 tekstiviestin, joka on tullut samaan tekstiviestiketjuun pankin viestien kanssa ja jossa on lukenut seuraavasti:
”Estimme [pankin mobiilisovellus]. kirjaudu sisään tästä: https://[pankki]-tili-turvallisuus.org poistaaksesi eston, muuten tili suljetaan pysyvästi.”

Asiakas on linkin kautta avautuneilla pankin sivuilta näyttäneillä sivuilla käyttänyt pankkitunnuksiaan tarkoituksenaan kirjautua pankin palveluun.

Asiakas on saanut klo 14.34 sekä 15.01 pankilta em. viestin kanssa samaan viestiketjuun pankin mobiilisovelluksen käyttöönottoon vaadittavan vahvistuskoodin sisältäneet tekstiviestit, joissa on molemmissa lukenut seuraavasti:
"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellusta] uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi **** laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."

4.10.2022 klo 14.35 ja klo 15.01 käyttöönotetuilla asiakkaan nimissä olevilla pankin mobiilisovelluksilla vahvistettiin klo 14.41-15.14 välisenä aikana yhteensä 10.118,00 euron vahingon aiheuttaneet oikeudettomat tilisiirrot. Asiakas on sulkenut pankkitunnuksensa soittamalla pankin asiakaspalveluun 4.10.2022 klo 16.04.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan 10.118,00 euron huijatut varat.

Asiakas sai 4.10.2022 tekstiviestin pankista pankin mobiilisovelluksen estosta, jonka poistamiseksi asiakkaan oli kirjauduttava tekstiviestissä olleeseen linkkiin. Viesti tuli samaan viestiketjuun pankin lähettämien viestien kanssa. Sen vuoksi asiakas ei osannut epäillä huijausta. Hän oli siinä käsityksessä, että pankin mobiilisovellus vaati päivittämistä ja meni linkistä olevalle sivustolle päivittämään sovellusta. Linkistä aukesi identtinen pankin mobiilisovellus ja asiakas kirjautui normaalisti sisään käyttäen verkkopankkitunnuksiaan, salasanaa ja vahvistuskoodia.

Asiakas sai pankilta viestin, joka lisäsi asiakkaalle varmuuden, että hän on päivittämässä pankin mobiilisovellusta aina kuten ennenkin. Asiakkaalle ei ollut tässä vaiheessa ollut epäilystäkään huijauksesta. Asiakas ei missään vaiheessa lähettänyt sähköpostilla tai viestillä tunnuksiaan kenellekään. Asiakas oletti kaiken tapahtuneen pankin mobiilisovelluksessa. Asiakkaalle oli todella tärkeää, että pankin mobiilisovellus toimii, koska asiakkaan oman tilin lisäksi hänellä oli myös kolme käyttöoikeustiliä, tiekunnan, ry:n ja kuolinpesän tili.

Päivityksen jälkeen asiakas meni testaamaan, toimiko pankin mobiilisovellus. Kirjauduttuaan asiakas huomasi heti, että tilillä tehtiin oikeudettomia siirtoja. Myös muut käyttöoikeustilit olivat tyhjennetty. Suurin osa rahoista on siirretty kolmelta käyttöoikeustililtä, joilta on siirretty rahat suoraan tai kiertämällä toisen käyttöoikeustilin kautta asiakkaan tilille. Ry:n tilille oli asetettu nosto raja 1.500 euroa. Siitä huolimatta kaikki rahat olivat saatu siirrettyä asiakkaan tilille. Lisäksi luottoraja käytettiin kokonaan eli yht. 3.000 euroa. Suurin osa huijatuista rahoista ei siis ole asiakkaan omia rahoja.

Paniikissa asiakas soitti heti ensimmäiseen saamaansa pankin palvelunumeroon ja odotti n. 15 min vastausta puheluun. Pankin virkailija sulki tilin ja ohjeiden mukaisesti asiakas poisti pankin sovelluksen ja tekstiviestit puhelimelta.

Pankki onnistui 6.10.2022 peruuttamaan neljä tilisiirtoa yhteensä 1.332,00 euroa, jotka palautuivat asiakkaan tilille. Asiakkaalle on jäänyt epäselväksi, missä vaiheessa pankki rupesi selvittämään siirtotapahtumia ja olisiko siirrot voitu peruuttaa/jäädyttää heti tapahtuman jälkeen.

Asiakas katsoo, että pankin olisi tullut kyetä peruuttamaan niitä lukuisia ja epätyypillisiä tilisiirtoja, joita rikolliset tekivät hänen pankkitililtään. Jos pankki olisi saman tien ryhtynyt peruuttamaan siirtoja saatuaan asiakkaalta tiedon rikollisesta toiminnasta, vahinkoja olisi voitu ainakin huomattavasti rajata ellei estää kokonaan. Pankin asiakaspalvelu ei suhtautunut asiaan sen vaatimalla vakavuudella.

Asiakas ihmettelee myös, miten on mahdollista, että rikolliset onnistuivat nopeasti asiakkaan yksillä tunnuksilla tekemään kaikki tilisiirrot eri tilien välillä ja nostamaan luottoa. On mahdollista, että pankin järjestelmä on altis väärinkäytöksille tavalla, jota ei voida katsoa yksinomaan asiakkaan vastuulla olevaksi.

Asiakas ei ole aktiivinen uutisten seuraaja eikä omista televisiota. Ennen tapausta asiakas ei ole ollut tietoinen tämän kaltaisista huijauksista. Asiakas ei siis tietoinen millä tavoin ja missä forumissa tapauksista on ilmoitettu.

Asiakas katsoo, ettei hän ole rikkonut maksupalvelulain säännöksiä tai sopimusehtoja törkeällä huolimattomuudella. Pikemminkin hän katsoo toimineensa kuten huolellinen toimija.

Pankin vastine

Pankin lokitietojen mukaan kaikki reklamoidut tapahtumat on vahvistettu pankin mobiilisovelluksella. Sovellukset, joilla tapahtumat on vahvistettu, on ladattu laitteille Xiaomi 220333QNY 4.10.2022 klo 14.35 ja Samsung SM-A137F 4.10.2022 klo 15.01.

Pankin mobiilisovelluksen käyttöönottoon on tarvittu asiakkaan henkilökohtaiset verkkopankkitunnukset eli verkkopankin käyttäjätunnus, salasana ja ainakin yksi satunnaisesti valittu tunnuslukutaulukon tunnusluku sekä tekstiviestillä lähetetty vahvistuskoodi.

Pankki on lähettänyt sovelluksen käyttöönottoon tarvittavat vahvistuskoodit tekstiviestillä asiakkaan numeroon 4.10.2022 klo 14.34 sekä 15.01. Tämän jälkeen asiakkaan reklamoimat oikeudettomat tapahtumat tehtiin 4.10.2022 klo 14.41-15.14 välisenä aikana. Pankkitunnukset on suljettu asiakkaan puhelun johdosta kello 16.04. Oikeudettomat tapahtumat on siis toteutettu hyvissä ajoin ennen asiakkaan yhteydenottoa pankkiin.

Asiakkaan mahdollisella 15 minuutin pituisella jonotusajalla ei näin ollen ollut merkitystä. Jonotusaika ei myöskään olisi ollut näin pitkä, mikäli asiakas olisi pankin asiakaspalvelunumeron sijaan soittanut pankin sulkupalveluun Digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen mukaisesti: "Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun[...]"

Asiakas antoi verkkopankkitunnukset tekstiviestillä saamastaan linkistä avautuneelle sivustolle vastoin pankin digitaalisia palveluja koskevien ehtojen nimenomaista kieltoa. Asiakas antoi pankin tekstiviestitse lähettämän vahvistuskoodin huijaussivustolle, vaikka tekstiviestin selkeän sanamuodon mukaan se oli tarkoitettu pankin mobiilisovelluksen käyttöönottoon ja siinä yksiselitteisesti varoitettiin antamasta koodia verkkosivuille. "Älä anna tätä koodia milloinkaan verkkosivuille."

Huijarit pystyvät lähettämään tekstiviestinsä niin että ne tulevat puhelimessa samaan viestiketjuun, jossa pankin aidosti lähettämät tekstiviestit näkyvät. Pankilla ei valitettavasti ole keinoja puuttua tähän toimintaan. Liikenne- ja viestintävirasto Traficom pyrkii yhdessä teleoperaattorien ja keskusrikospoliisin kanssa estämään tällaisen lähettäjätietojen väärentämisen jatkossa. Tekstiviestitse saapuvat kalasteluviestit ovat kuitenkin olleet usein esillä mediassa ja yhteiskunnallisessa keskustelussa.

Yllä todetusti, asiakkaan verkkopankkitunnukset ja tekstiviestinä lähetetty koodi ovat päätyneet rikollisille ja pankki katsoo, että asiakas on toiminut maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti verkkopankkitunnuksiaan säilyttäessään ja vastaavan oikeudettomista tapahtumista seuranneesta vahingosta täysimääräisesti.

Asiakkaan mukaan ry:n tilillä olisi ollut 1.500 euron nostoraja. Asiakkaalla on käyttöoikeus kyseiseen tiliin ja reklamoidut tapahtumat oli tehty hänen verkkopankkitunnuksillaan. Pankki on tarkistanut järjestelmistään, että kyseisen tilin vuorokausikohtainen maksuraja asiakkaan verkkopankkitunnuksilla on ollut 50.000 euroa 16.6.2020 alkaen. Kyseisen tilin vuorokausikohtainen nostoraja on laskettu 2.000 euroon 7.11.2022, eli nyt käsillä olevien oikeudettomien maksutapahtumien jälkeen.

Edellä mainitun tilin omistajan vuorokausikohtainen maksuraja on voinut olla tapahtumien aikaan tuo 1.500 euroa, mutta kyseiset turvarajat ovat asiakaskohtaisia, eivät tilikohtaisia. Tilin käyttöoikeuden haltija on voinut määrittää tilille omat haluamansa vuorokausikohtaiset turvarajat. Lisähuomiona vielä, että kyseiseltä tililtä tehdyt reklamoidut tapahtumat ovat määritelmällisesti omien tilien välisiä siirtoja, joita kyseinen turvaraja ei edes rajoita.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus asiakkaan rikollisilta 4.10.2022 klo 14.27 saamasta tekstiviestistä samassa viestiketjussa pankin klo 14.34 asiakkaalle lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin kanssa.
- Pankin digitaalisten palvelujen ja tunnistusvälineiden yleiset ehdot
- Pankin korttiehdot
- Tiliote

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistusvälineiden oikeudettomasta käytöstä maksuvälineenä vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Määritelmät -kohdan mukaan
Pankin tunnistusvälineitä ovat
· verkkopankkitunnukset, jotka koostuvat antamastamme käyttäjätunnuksesta, valitsemastasi henkilökohtaisesta salasanasta sekä tunnusluvusta, joka ilmenee tunnuslukutaulukosta.
· [Pankin mobiilisovelluksen] tunnistaminen, joka koostuu mobiililaitteeseen ladatusta sovelluksesta, valitsemastasi henkilökohtaisesta tunnusluvusta ja/tai biometrisestä tunnisteesta kuten sormenjäljestä tai kasvonpiirteistä. [Pankin mobiilisovelluksen] tunnistamisen voit ottaa käyttöösi [Pankin mobiilisovelluksessa].

Pankkitunnusehtojen Tunnistusvälineitä koskevat velvollisuutesi -kohdan Tunnistusvälineiden säilyttäminen -alakohdan mukaan
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.

Verkkopankkitunnusten eri osia ei siis saa säilyttää samassa paikassa, kuten käsilaukussa, lompakossa tai kotona samassa säilytyspaikassa.
Huomioi erityisesti seuraavat asiat:
· Et saa missään tilanteessa kertoa verkkopankkitunnuksia tai tekstiviestillä lähettämäämme vahvistuskoodia suullisesti sinulle tulleessa puhelussa, sähköpostissa tai muussa viestissä niitä kysyvälle.
· Et saa käyttää verkkopankkitunnuksia verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sinulle sähköpostilla tai muulla sähköisellä tavalla.
Tarkista olosuhteiden vaatimalla tavalla säännöllisesti, että verkkopankkitunnusten osat tai [pankin mobiilisovelluksen] sisältävä laitteesi ovat tallessa.
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkkopankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun.
Et saa kirjautua verkkopankkiin tai hyväksyä tunnistusvälineilläsi maksuja, jos olet luovuttanut laitteesi etäyhteydellä toisen hallintaan. Et saa käyttää verkkopankkitunnuksia laitteella, jossa on havaittu tai epäillään olevan haittaohjelma.
Sinulla on kuitenkin oikeus tunnistautua tunnistusvälineillämme maksupalvelulain mukaisiin ulkopuolisen palveluntarjoajan maksutoimeksiantopalveluihin tai tilitietopalveluihin.

Pankkitunnusehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Palveluiden asiattoman käytön estämiseksi sinun pitää ilmoittaa meille välittömästi, jos tunnistusvälineet tai niiden osa (verkkopankin salasana, tunnuslukutaulukko, [pankin mobiilisovelluksen] sisältävä laite tai [pankin mobiilisovelluksen] tunnusluku) on kadonnut tai on syytä epäillä sivullisen saattaneen saada ne haltuunsa tai tietoonsa.
Tee katoamisilmoitus ensisijaisesti 24 tuntia vuorokaudessa avoinna olevaan sulkupalveluun: […]

Asian arviointi

Tapahtumienkulku

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan luullessaan asioivansa pankkinsa kanssa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen asentamisen omille Xiaomi- ja  Samsung-laitteillaan. Tämän johdosta pankki on lähettänyt 4.10.2022 klo 14.34 ja klo 15.01 asiakkaalle mobiilisovelluksensa aktivoinnin edellyttämän vahvistuskoodin sisältäneet tekstiviestit, jotka ovat olleet sisällöltään seuraavanlaisia:
"Hei! Verkkopankkitunnuksillasi ollaan ottamassa käyttöön [pankin mobiilisovellusta] uudessa laitteessa. Jos olet itse ottamassa käyttöön [pankin mobiilisovellusta], anna vahvistuskoodi **** laitteessasi olevaan [pankin mobiilisovellukseen]. Älä anna tätä koodia milloinkaan verkkosivuille. Jos epäilet huijausta, ota yhteyttä [pankkiin]. Terveisin [pankki]."
Pankin viestit ovat tulleet asiakkaan puhelimessa samaan viestiketjuun rikollisten lähettämän aiemman viestin kanssa.

Pankkilautakunta katsoo riidattomaksi, että asiakas on laittanut myös tekstiviestitse saamansa koodit em. linkistä avautuneilla sivuilla sitä varten varattuun sarakkeeseen. Koodit saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevat pankin mobiilisovellukset omille laitteilleen ja tehdä riidanalaiset oikeudettomat maksutapahtumat em. mobiilisovelluksilla vahvistaen.

Asiakkaan menettelyn arviointi

Pankkitunnusehdoissa nimenomaisesti kielletään verkkopankkitunnusten käyttäminen verkkopankkiin kirjautumiseen, tunnistautumiseen tai muun pankkiasian hoitamiseen, jos linkki kirjautumissivulle on lähetetty sähköpostilla tai muulla sähköisellä tavalla.

Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.

Pankkilautakunta kuitenkin kiinnittää huomiota siihen, että asiakkaan puhelimessa rikollisten lähettämä tekstiviesti näyttää lähettäjätiedon mukaan tulleen pankilta ja on ollut samassa viestiketjussa pankin lähettämien oikeiden viestien kanssa. Lautakunta katsoo, ettei yleiseen tietämykseen voida tapahtuma-aikana katsoa kuuluneen tietoa tämänkaltaisista verkkourkinta-tapauksista ja erityisesti siitä, että rikolliset voivat lähettää pankin nimissä tekstiviestejä, jotka näkyvät uhrien puhelimissa samassa viestiketjussa pankin lähettämien aitojen tekstiviestien kanssa. Tämän lisäksi lautakunta katsoo, ettei asiakkaan voida tässä tapauksessa edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä, ja ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin - ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat - lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttaa siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta etenkään, jos viesti tulee asiakkaan puhelimessa samaan viestiketjuun pankin lähettämien aitojen viestien kanssa.

Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta tai mobiilisovellukselta näyttävät sivut ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa - käsityksensä mukaan päivittääkseen pankin mobiilisovelluksensa - käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla asiakas ei ole saanut pankilta sisäänkirjautumista koskevaa tekstiviestiä vaan pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin. Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti, mihin viestissä ollut vahvistuskoodi tulee syöttää, kielletään syöttämästä koodia verkkosivuille ja kehotetaan ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa pankin mobiilisovellusta käyttöön.

Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Lautakunta katsookin, että mikäli asiakas olisi käsityksensä mukaan ollut linkin kautta avautuneilla sivuilla kirjautumassa pankin verkkopalveluun, olisi hänen em. viestin saatuaan tullut - erityisesti viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.

Asiakas on tässä tapauksessa lukenut saamansa viestit, mutta on kertomansa mukaan tässä yhteydessä kuitenkin ymmärtänyt, että pankki on asiakkaan saamassa ensimmäisessä - tosiasiassa rikollisten pankin nimissä lähettämässä - tekstiviestissä mainitun mukaisesti lukinnut pankin mobiilisovelluksen ja että pankin mobiilisovellus vaati päivittämistä. Asiakas lähti tekemään päivitystä ja linkin kautta aukesi asiakkaan käsityksen mukaan pankin mobiilisovellus, johon asiakas kirjautui käyttäen verkkopankkitunnuksiaan, salasanaa ja vahvistuskoodia.

Pankkilautakunta on jo edellä katsonut, että pankin mobiilisovelluksen vahvistuskoodin on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Näin ollen asiakas ei tosiasiassa ole avannut puhelimessaan ollutta pankin mobiilisovellusta eikä linkkikään ole sovellusta avannut, vaan asiakas on pankin mobiilisovelluksen vahvistuskoodin saadessaan asioinut valesivuilla.

Pankkilautakunta pitää saadun selvityksen perusteella todennäköisenä, että linkistä on avautunut valesivut, jotka ovat ulkonäöltään näyttäneet pankin mobiilisovellukselta, ja joilla rikolliset ovat voineet esittää asiakkaalle näkymän, jonka mukaan hänen oma lukittu mobiilisovelluksensa olisi päivitettävä tai aktivoitava uudelleen käyttöön. Tältä osin lautakunta katsoo, että huolellisesti toimivan pankin mobiilisovelluksen käyttäjän tulisi huomata, jos hän ei tosiasiassa ole avannut sovellusta, vaan asioi edelleen selaimessa. Edelleen lautakunta kuitenkin katsoo, että jos asiakas on puhelimensa näytön näkymän perusteella luullut olevansa pankin mobiilisovelluksessa, joka on lukkiutunut ja joka on tämän vuoksi pitänyt päivittää tai aktivoida uudelleen käyttöön, on hänen tällöin pankilta saamansa vahvistuskoodit sisältäneet tekstiviestit olleet juuri niitä, joita asiakas on tuossa tilanteessa perustellusti voinut odottaa saavansa.

Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt pankin jälkimmäisissä tekstiviesteissä olleiden vahvistuskoodien liittyneen hänen lukitun mobiilisovelluksensa päivittämiseen ja uudelleen käyttöönottoon, ja hän linkistä avautuneen ja matkapuhelimensa näyttönäkymän perusteella käsittänyt syöttävänsä pankkitunnustietojaan ja sovelluksen vahvistuskoodia tekstiviestin ohjeistuksen mukaisesti sovellukseen sen käyttöönottoa varten, lautakunta katsoo, ettei asiakkaan menettely varomattomuudestaan huolimatta kokonaisuutena kuitenkaan osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta