Tapahtumatiedot
Asiakas on saanut 15.3.2023 klo 13.35 rikollisten pankin nimissä lähettämän tekstiviestin:
”Online-käyttösi on jäädytetty epätavallisen toiminnan vuoksi. Palauta käyttöoikeus noudattamalla ohjeita https://[pankki]-fi-digipalvelut.co”
Asiakas on asioinut viestissä olleen linkin kautta avautuneilla pankin verkkosivuilta näyttäneillä rikollisten luomilla valesivuilla.
Asiakkaan pankkitunnustietoja (käyttäjätunnus, salasana, luku avainlukulistasta) sekä pankin asiakkaalle 15.3.2021 klo 13.51.25 lähettämässä tekstiviestissä ollutta koodia käyttäen on ladattu ja aktivoitu käyttöön pankin tunnistusväline. Em. tekstiviesti on ollut sisällöltään seuraavanlainen:
"Read carefully! Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named 13oeh. To prevent fraud, continue only if you yourself have downloaded [pankki] 's mobile app and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code 36400 only on [pankki] 's mobile app. Don 't enter or give this code anywhere else, as that puts your personal information at risk. If you suspect a scam, call [pankki] Deactivation Service now. [pankki]”
Pankin tunnistusväline on aktivoitu käyttöön 15.3.2023 klo 13.52 ja tunnistusvälineellä vahvistaen asiakkaan tililtä on tehty klo 13.58-14.03 yhteensä 3.613 euron tilisiirrot.
Myös asiakkaan omalle laitteelle on ladattu ja aktivoitu käyttöön pankin tunnistusväline. Pankki on lähettänyt aktivointia koskevan tekstiviestin asiakkaalle 15.3.2023 klo 14.04:
"Lue huolella! Tunnuksillasi ollaan ottamassa käyttöön uutta [pankin tunnistustussovellusta] puhelimessa nimeltä i phone Miia. Väärinkäytösten estämiseksi jatka vain, jos olet itse ladannut [pankin mobiilisovelluksen] ja olet aktivoimassa uutta [pankin tunnistusvälinettä]. Vahvista käyttöönotto puhelimessasi koodilla 90621 vain [pankin mobiilisovelluksessa]. Älä syötä tai luovuta koodia muualle, jotta tietosi eivät vaarannu. Jos epäilet huijausta, ilmoita asiasta heti [pankin sulkupalveluun]. [pankki]"
Hetkeä myöhemmin rikolliset ovat tunnistautuneet pankin tunnistusvälineellä asiakkaan puhelinoperaattorin palveluun ja aktivoineet 15.3.2023 klo 14.08 eSIM-kortin. Rikolliset ovat tehneet pankin tunnistusvälineellä vahvistaen asiakkaan nimissä pankille 12.000 euron luottohakemuksen. Luottosopimusta koskevan vahvistustekstiviestin pankki on lähettänyt asiakkaan numeroon rikollisten laitteelle klo 14.11. Luotto on vahvistettu, mutta sitä ei kuitenkaan nostettu asiakkaan tilille, eikä siitä ole aiheutunut vahinkoa.
Asiakas on ollut yhteydessä pankin puhelinpalveluun 15.3.2023 klo 14.26 ja asiakkaan verkkopalvelutunnukset on lukittu tämän puhelun aikana.
Asiakkaan vaatimukset
Asiakas vaatii pankkia korvaamaan 3.613 euroa.
Asiakas oli avannut tekstiviestin, joka oli pankin nimissä. Asiakas meni linkkiin ja siellä kysyttiin asiakkaan nimeä. Sen asiakas ehti sinne laittaa eli vain nimensä, mutta poistui heti kun luottokortin tietoja kysyttiin. Asiakas ei ymmärrä, miten rahat on voitu viedä ilman hänen lupaansa, jos kerran hän ei ole pankkitietojaan huijaussivuilla antanut.
Pankin viestissä lukee, että väärinkäytösten estämiseksi jatka vain jos olet itse ladannut pankin sovelluksen ja olet aktivoimassa uutta tunnistusvälinettä. Asiakas ei itse ole tätä uutta ladannut ja hän meni heti puhelimen sovelluksen kautta verkkopankkiin ja kysyi viestin kautta pankilta, mitä tarkoittaa digipalvelun poisto. Kun asiakas laittoi pankille viestin, rahat olivat tallella. Pankki voi tarkistaa viestin kellonajan. Asiakas ei saanut koskaan tähän vastausta. Asiakas poistui pankin sivuilta ja meni noin 10 minuutin päästä katsomaan, onko viestiin vastattu. Kun asiakas meni verkkopankkiin, häneltä kysyttiin myös käyttäjätunnuksia. Sen jälkeen asiakas on käynyt vain verkkopankissa sovelluksen kautta. Jos pankki kysyy tunnuksia, niin totta kai asiakas on luottanut pankin sivuihin.
Kun verkkopankki aukeni, niin kaikki rahat olivat poissa. Asiakas ei saanut nostoista mitään ilmoitusta. Asiakas hätääntyi ja hänen miehensä antoi puhelimensa, jolla asiakas soitti pankille katkaistakseen tilinsä ja korttinsa. Kun asiakas pääsi läpi odotettuaan linjalla ainakin 30 min hän sai kuulla, että asiakkaalle oli otettu 12.000 täsmäluotto sekä Google pay, josta tuli vain ilmoitus 17.3.2023. Täsmäluoton asiakas sai peruttua, mutta puhelun aikana selvisi, että asiakkaan oma puhelin oli mykkänä. Yhtään viestiä asiakas ei pankilta saanut kuin sen, että joku muu on tekemässä pankin tunnistusvälinettä. Vaikka asiakas ei silloin ole ehtinyt sellaista avata, koska oli jo pankin linjoilla odottamassa.
Operaattorilta selvisi, että asiakkaan nimissä ja numerolle oli otettu e-sim-kortti jota asiakas ei itse ollut tilannut. Tätä on selvitetty poliisin, Elisan ja Traficomin kautta. Vaikka asiakas on pyytänyt, että hänen puhelimensa tutkitaan niin tutkinnanjohtaja ei siihen suostunut. Asiakas ei siis voi todistaa, että hänen laitteeltaan ei ole annettu tietoja kuin pankille.
Pankki väittää, että asiakas on törkeästi antanut huijaussivuille käyttäjätunnuksensa, salasanansa ja vaihtuvan avainluvun jollekin, mitä hän ei ole tehnyt. Asiakas tietää, ettei itse ole antanut mitään tunnuksiaan väärään paikkaan. Asiakas on ainoastaan avannut viestin ja antanut sinne vain nimensä. Huijaussivulta asiakas on poistunut ja antanut vain oman puhelimensa sovelluksessa pankin verkkopankkiin tunnuksensa, ei huijaussivulle missään nimessä. Viestejä asiakas ei ole saanut, koska asiakkaan puhelinnumero oli käytössä jollain muulla sinä aikana, kun puhelin oli mykkä.
Asiakas on luullut voivansa pitää rahojaan turvallisesti pankissa. Asiakas ei ole millään tavoin laiminlyönyt huolellisuusvelvollisuutta tai toiminut huolimattomasti. Asiakas on asentanut matkapuhelimeensa pankin mobiilisovelluksen pankin ohjeiden mukaisesti ja säilyttänyt puhelimensa huolellisesti. Asiakas on suojannut puhelimensa kasvotunnuksella sekä erillisellä tunnusluvulla. Asiakas ei myöskään ole luovuttanut puhelintaan muiden henkilöiden käyttöön eikä ole luovuttanut pankkitunnuksiaan kenellekään muulle henkilölle.
Palveluntarjoajan kanta
Tapaukseen liittyvät yksityiskohdat ja kokonaisarviointi huomioon ottaen pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti verkkopalvelutunnuksensa käytössä.
Selvitys tapahtumasta
Asiakkaan selvityksen mukaan hän on saanut viestin, jossa on ollut linkki huijaussivustolle, johon hän on kertomansa mukaan syöttänyt ainoastaan nimensä. Varmaa kuitenkin on, että asiakkaan pankkitunnuksen kaikki osat ovat päätyneet ulkopuolisen haltuun / tietoon ja asiakkaan kertoma tapahtumakulku huomioon ottaen, todennäköisin vaihtoehto on, että huijaussivustolle on annettu kirjautumistiedot (käyttäjätunnus, salasana, vaihtuva avainluku).
On riidatonta, että asiakkaan tunnuksilla on luotu uusi tunnistusväline, jolla siirrot on vahvistettu. Asiakkaan tunnuksiin liitettyyn puhelinnumeroon on lähetetty pankin toimesta turvallisuussyistä 15.3.2021 klo 13:51:25 tekstiviesti ja tunnistusvälineen luominen on vahvistettu syöttämällä viestissä mainittu koodi.
Samaan asiakkaan numeroon on 15.3.2023 klo 14:04:19 lähetetty viesti, jossa mainitulla koodilla on vahvistettu tunnistusvälineen luominen. Kyse on asiakkaan itsensä tekemästä laiteliitoksesta.
Tämän jälkeen 15.3.2023 klo 14:11:32 asiakkaalle on vielä lähetetty viesti:
"You are making a Special Consumer Credit agreement for 12 100 €. Confirm the agreement by entering the code 1519 in your mobile app. [pankki]"
Tämä viesti on vahvistettu ensimmäisen viestin jälkeen ulkopuolisen luomalla uudella tunnistusvälineellä.
Ensimmäinen tekstiviesti on kertonut asiakkaalle uuden tunnistusvälineen luomisesta. Viestissä asiakkaalle on kerrottu, että tunnistusvälinettä luodaan puhelimeen, joka on nimetty "13oeh". Viestissä asiakasta on varoitettu mahdollisesta väärinkäytöksestä ja ohjattu hyväksymään toimenpide ainoastaan, jos asiakas itse on luomassa uutta tunnistusvälinettä pankin mobiilisovelluksessa. Viestissä kerrottu uusi tunnistusväline on luotu syöttämällä viestissä ollut koodi pankin mobiilisovellukseen puhelimessa "13oeh". Puhelimeen "13oeh" luodulla tunnistusvälineellä on tehty asiakkaan valituksen kohteena olevat varojen siirrot ja myöhemmin myös vahvistettu lainahakemus.
Uuden tunnistusvälineen aktivoimiseen on tarvittu kaikki verkkopalvelutunnuksen osat (käyttäjätunnus, salasana ja vaihtuva avainlukulistan numero) sekä tekstiviestissä ilmoitettu numerokoodi. Asiakkaalle lähetetyssä tekstiviestissä on kerrottu yksityiskohtaisesti mitä ollaan tekemässä ja kuinka asiakkaan tulee toimia, jos ei ole itse aktivoimassa uutta laitetta. Tästä huolimatta asiakas on syöttänyt tunnistusvälineen aktivointikoodin huijaussivustolle.
Asiakas on ollut yhteydessä pankin puhelinpalveluun 15.3.2023 klo 14:26:59. Asiakkaan verkkopalvelutunnukset on lukittu tämän puhelun aikana.
Asiakas on kertonut, että hänen nimissään on luotu uusi eSIM. Pankin selvityksen mukaan tilisiirrot on tehty ennen eSIM:n aktivoimista, joten sillä ei ole ollut vaikutusta vahingon syntymiseen. eSIM on todennäköisesti aktivoitu ennen luoton nostoa, joten luotonnostosta lähtenyt tekstiviesti on lähetetty normaalisti asiakkaan lisävahvistusnumeroon, mutta viesti on päätynyt laitteeseen, johon eSIM on aktivoituna, eli tässä tapauksessa ulkopuolisen laitteeseen. Luottoa ei kuitenkaan ollut nostettu asiakkaan tilille, joten tästä ei ole aiheutunut vahinkoa.
Pankin toimet asiakkaiden varoittamiseksi
Väärinkäytösten ehkäisemiseksi pankki on aktiivisesti varoittanut asiakkaitaan verkkopalvelutunnusten kalastelukampanjoista muun muassa seuraavilla [pankki].fi:n tiedotteilla:
3.3.2023 Varoitus: rikolliset kalastelevat verkkopankkitunnuksia tekstiviesteillä
9.1.2023 Varoitus: rikolliset kalastelevat pankkitunnuksia tekstiviesteillä
28.11.2022 Varoitus: rikolliset kalastelevat [pankin] nimissä verkkopankkitunnuksia tekstiviesteillä
10.10.2022 Varoitus: huijausviestejä [pankin] nimissä
Pankki on ohjeistanut asiakkaitaan olemaan luovuttamatta verkkopankkitunnuksia, mikäli tunnuksia kysytään sähköpostilla tai puhelimitse sekä lisäksi ohjeistettu, ettei verkkopankkiin saa kirjautua sähköpostitse tulleen linkin kautta. Lisäksi pankki on ohjeistanut, että kirjauduttaessa verkkopankkiin, tulee kirjoittaa verkkopankin osoite (www.[pankki].fi) selainriville itse tai käyttää tallennettua kirjanmerkkiä. Jos mahdollista, asiointiin on suositeltu käytettävän pankin mobiilisovellusta.
Sääntely ja sopimusehdot
Pankki viittaa maksupalvelulain 38 §:n 1 momenttiin, 53 §:n 1 momenttiin, 62 §:iin sekä pankin tunnusten ja verkkopalveluiden yleisiin ehtoihin.
Asiakkaalle pankin verkkopalvelusopimuksen tekemisen yhteydessä on myös annettu Tärkeää tietoa tunnuksista -niminen asiakirja, jossa todetaan
"Älä kerro tunnuksiasi puhelimessa tai sähköpostissa. Pankki, poliisi tai viranomainen ei koskaan kysy tunnuksiasi puhelimitse tai esim. sähköpostin välityksellä. Näin toimii ainoastaan rikollinen.
Jos luovutat tunnuksesi toiselle henkilölle tai sovellukselle, olet yksin vastuussa kaikesta tunnusten käytöstä. Tunnukset saa syöttää vain [pankin] hyväksymiin sovelluksiin ja palveluihin."
Asian arviointi
Pankki on useaan otteeseen vuosien 2022 ja 2023 aikana varoittanut asiakkaitaan tietojenkalastelusta. Pankki katsoo, yleisen tietämyksen ja pankin antamien varoitusten perusteella, että asiakkaan tulisi olla tietoinen tunnusten turvallisesta käytöstä.
Siirrot tehneellä taholla on täytynyt ollut käytössään asiakkaan pankin verkkopalvelutunnuksen käyttäjätunnus ja salasana sekä tarvittava avainlukulistan numero, joka on mahdollista saada vain asiakkaan hallussa olevasta paperisesta avainlukulistasta. Ei ole muuta mahdollisuutta kuin että tiedot on annettu huijaussivustolle, johon asiakas on ilmeisesti mennyt saamansa viestin linkistä. Tyypillisesti huijaussivustot muistuttavat pankin sivuja, joten mikäli henkilö ei toimi huolellisesti, hän saattaa ajatella toimivansa pankin sivulla. Asiakkaan hyväksyttyä tunnistusvälineen aktivoinnin laitteeseen "13oeh" on rikollinen voinut tällä uudella tunnistusvälineellä aktivoida eSim:n ja tehdä siirtoja ja hakea luottoa asiakkaan tiedoilla. Tunnusten ja tunnistusvälineen aktivointikoodin luovuttaminen ulkopuoliselle katsotaan maksupalvelulain mukaiseksi törkeäksi huolimattomuudeksi.
Pankki on aina kieltänyt asiakkaitaan kirjautumaan linkin kautta palveluihinsa mm. Tärkeää tietoa tunnuksia -asiakirjassa sekä viestinnässään muutoinkin. Lisäksi asiakas on laiminlyönyt tarkastaa verkko-osoitteen, jolle tietonsa on syöttänyt. Asiakas on saanut pankilta tekstiviestin, joka on sisältänyt tiedon siitä, että asiakkaan tunnuksilla ollaan luomassa uutta pankin tunnistusvälinettä. Kun huomioon otetaan kirjautuminen linkin kautta ja se, että asiakas ei ole tarkastanut verkko-osoitetta, jolla tunnuksiaan käyttää sekä se, että asiakas on joko jättänyt lukematta pankin lähettämät viestit tai ainakin jättänyt huomiotta viestien sisällön ja luovuttanut tunnistusvälineen aktivointiin tarvittavan koodin, pankki katsoo asiakkaan toimineen maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti. Näillä perustein pankki katsoo, ettei ole korvausvelvollinen asiassa.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Asiakkaan puhelinoperaattoriltaan saamia sähköpostivastauksia
Sopimusehdot ja lainsäädäntö
Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin tunnus- ja digisopimuksen ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Tunnusten säilyttämistä ja sallitun käytön rajoitukset -kohdan mukaan
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa [pankki].fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
[…]
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
- Käyttäjätunnuksen ja salasanan sisältävä kalvo tai muu, jolla tunnuksen osat on luovutettu, on hävitettävä eikä käyttäjätunnusta tai salasanaa saa kirjoittaa tai tallentaa muistiin helposti tunnistettavaan muotoon. Jos Tunnukset on luovutettu sähköisesti, sinun tulee itse suojata tunnukset ja varmistua siitä, etteivät näytöllä olevat tiedot näy ulkopuolisille ja, että tiedot eivät jää ulkopuolisten saatavilla.
Sinun tulee säilyttää tunnustasi ja sen osia huolellisesti ja erillään toisistaan siten, ettei kenelläkään ulkopuolella, ei edes samaan perheeseen kuuluvalla tai niiden käyttöön oikeudettomalla yrityksen työntekijällä ole mahdollisuutta saada niitä tietoonsa. Tunnuksen osia ei saa säilyttää samassa säilytyspaikassa kotona, eikä esimerkiksi lompakossa tai käsilaukussa.
Sinun on varmistettava olosuhteiden edellyttämällä tavalla säännöllisesti, että Tunnus ja sen osat ovat tallessa.
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa. [pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.
Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
Voit tehdä ilmoituksen puhelimitse [pankin] osoitteessa [pankki].fi ilmoitettuun sulkupalvelun puhelinnumeroon (24h/7vrk). [Pankin] asiakaspalvelun aukioloaikana ilmoituksen voi tehdä myös puhelimitse [pankin] ilmoittamaan puhelinnumeroon tai asioimalla henkilökohtaisesti [pankin] toimipaikoissa.
Pankin hyväksymien muiden tunnistusvälineiden ja varmanteiden osalta ilmoitus katoamisesta tehdään tunnistusvälineen tai varmenteen käyttöehtojen mukaisesti.
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan [pankin] digitaalisten palveluiden käyttö -alakohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
[…]
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. […]. SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
[…]
Ratkaisusuositus
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on arvioitava, voidaanko pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Tapahtumienkulku
Pankki on esittänyt tapauksessa teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen ja siihen kuuluvan tunnistusvälineen, jolla riidanalaiset tapahtumat on vahvistettu. FINEllä ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
FINE katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut rikollisten pankin nimissä lähettämän tekstiviestin, jossa olevan rikollisten luomille valesivuille johtavan linkin asiakas on avannut. Asiakkaan mukaan hän syötti sivuille ainoastaan nimensä, mutta poistui heti kun luottokortin tietoja kysyttiin. FINE katsoo, ettei asiassa saadun selvityksen perusteella kuitenkaan ole muuta mahdollisuutta kuin että asiakas on syöttänyt em. valesivuille myös pankkitunnustensa käyttäjätunnuksen, salasanan sekä luvun avainlukulistastaan.
Rikolliset ovat em. valesivuston kautta tietoonsa saamiaan asiakkaan pankkitunnuksia oikeudetta käyttäen aloittaneet pankin tunnistussovelluksen asentamisen omalle laitteelleen ja pankki on tämän seurauksena lähettänyt asiakkaalle 15.3.2021 klo 13.51 tekstiviestitse sovelluksen aktivointikoodin. Asiakas on kiistänyt saaneensa em. viestiä, koska asiakkaan puhelinnumero oli käytössä jollain muulla sinä aikana, kun puhelin oli mykkä. Toisaalta asiakas on todennut, ettei hän ole saanut pankilta yhtään viestiä kuin sen, että joku muu on tekemässä pankin tunnistusvälinettä, mutta asiakas ei voinut viestiä avata, koska oli tuolloin jo puhelimessa pankin linjoilla.
FINE katsoo saadun selvityksen perusteella, että myös em. tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon ja ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että tämä on tapahtunut siten, että asiakas on laittanut tekstiviestitse saamansa koodin em. valesivuilla sitä varten varattuun kohtaan. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen ja siihen kuuluvan tunnistusvälineen omalle laitteelleen 15.3.2023 klo 13.52 ja tunnistusvälineellä vahvistaen tehdä klo 13.58-14.03 riidanalaiset yhteensä 3.613 euron tilisiirrot.
Selvyyden vuoksi FINE toteaa, että puhelinoperaattorin palveluun rikolliset ovat tunnistautuneet asiakkaan nimissä em. pankin tunnistusvälineellä ja aktivoineet eSIM-kortin vasta klo 14.08 ja siten tunnistusvälineen käyttöönoton sekä em. oikeudettomien tilisiirtojen jälkeen. Näin ollen eSIM-kortin aktivointi ja asiakkaan oman puhelimen mykistyminen ei ole voinut vaikuttaa pankin tunnistusvälineen aktivointiin ja ko. oikeudettomien tilisiirtojen tekemiseen.
Asiakas on ollut yhteydessä pankin puhelinpalveluun 15.3.2023 klo 14.26 ja asiakkaan verkkopalvelutunnukset on lukittu puhelun aikana.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa kielletään käyttämästä pankkitunnuksia tai osaa niistä kirjautumiseen pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
FINE katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
FINE kuitenkin katsoo, ettei asiakkaan voida edellyttää ymmärtäneen tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. FINE katsoo, ettei asiakkaalla voida myöskään tässä tapauksessa saadun selvityksen perusteella katsoa olleen muuta syytä epäillä yhteydenoton asianmukaisuutta.
FINE kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen edellä todetun lisäksi huomioon, että asiakkaan kertoman perusteella linkistä avautuneet sivut näyttivät pankin sivuilta ja hän on verkkosivujen näkymän perusteella luullut asioivansa pankin kanssa, FINE katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Pankkilautakunta on lukuisissa vastaavanlaisissa ja rikollisten pankin nimissä lähettämistä tekstiviesteistä alkaneissa tapauksissa - mm. 1.9.2023 antamassaan ratkaisussa FINE-051743 - katsonut, että saatuaan linkistä avautuneilla sivuilla asioidessaan tavanomaisesta pankkitunnuksilla tehtävästä verkkopankkiin kirjautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi - erityisesti tekstiviestin sisältö huomioiden - tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja tullut jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.
FINE katsoo tässä tapauksessa pankin asiakkaalle lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin olleen sisällöltään yksityiskohtainen ja informatiivinen, ja siinä ohjeistetun asianmukaisella tarkkuudella, mihin viestissä ollutta koodia käytetään, ja toisaalta ohjeistetun olemaan yhteydessä sulkupalveluun, jos epäilee huijausta. Asiakkaan kertomansa perusteella on jäänyt epäselväksi, onko hän lukenut pankilta saamansa tekstiviestin sisältöä, ja jos on, niin missä tarkoituksessa hän on tämän jälkeen tarkkaan ottaen ymmärtänyt käyttävänsä aktivointikoodia sitä valesivuille syöttäessään.
Vastaavalla tavalla kuin Pankkilautakunta on em. tapauksessa FINE-051743 asiaa arvioinut, katsoo FINE tässä tapauksessa, että huolellisesti toimiessaan asiakkaan olisi pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin saatuaan tullut keskeyttää asiointinsa. Mikäli asiakas olisi toiminut viestissä olleen ohjeistuksen mukaisesti ja sulkenut tunnuksensa, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. FINE katsoo myös, että vaikka asiakas ei olisi ymmärtänyt englanninkielisen tekstiviestin sisältöä ja siinä olleen koodin tarkoitusta, olisi hänen siinäkin tapauksessa tullut ymmärtää keskeyttää asiointinsa.
Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Lautakunnan vastaavanlaisia tapauksia koskevan ratkaisukäytännön, tässä tapauksessa saadun selvityksen perusteella sekä erityisesti pankin lähettämän pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin sisältö huomioiden FINE katsoo, että asiakkaan menettely osoittaa hänen suhtautuvan selvästi piittaamattomasti myös maksuvälineenä käytettävien pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeaa selvästi ja olennaisesti siitä, mitä pankkitunnustenhaltijan huolelliselta menettelyltä vaaditaan. Näin ollen FINE katsoo asiakkaan menettelyn osoittavan maksupalvelulaissa tarkoitettu törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Lopputulos
FINE ei suosita asiassa hyvitystä.
FINE
Vakuutus- ja rahoitusneuvonta
Jaostopäällikkö Sainio
Esittelijä Hidén