Tapahtumatiedot
Asiakas on saanut 1.8.2023 klo 13.49 pankin nimissä lähetetyn tekstiviestin:
”[Pankki]: Kortillasi on havaittu epätavallista toimintaa ja se on estetty, tarkista tapahtuma nyt https://[pankki]-fi-maksu.com”
Asiakas on syöttänyt linkin kautta avautuneille verkkosivuille pankkitunnustietojaan ja korttitietonsa.
Pankki on lähettänyt asiakkaalle 1.8.2023 13.51 sisällöltään seuraavanlaisen tekstiviestin:
"Read carefully! Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named o p. To prevent fraud, continue only if you yourself have downloaded [pankin mobiilisovellus] and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code ##### only on [pankin mobiilisovellus]. Don't enter or give this code anywhere else, as that puts your personal information at risk. If you suspect a scam, call [pankki] Deactivation Service now. [pankki]".
Asiakkaan pankkitunnuksilla (verkkopankin käyttäjätunnus, salasana ja luku avainlukutaulukosta) sekä em. tekstiviestissä olevalla koodilla on otettu käyttöön asiakkaan nimiin pankin tunnistusväline ja mobiilisovellus. Asiakkaan debit-kortin tietoja käyttäen ja em. pankin tunnistusvälineellä vahvistaen on verkossa tehty oikeudettomia korttimaksuja klo 13.59–14.07 välisenä aikana yhteismäärältään 55.120,00 euron arvosta. Lisäksi korttiluotoilta on tehty asiakkaan tilille siirtoja, joista on aiheutunut yhteensä 241,05 euron kulut.
Rikollisen laitteella ollut mobiililiitos on poistettu 1.8.2023 klo 14.14.
Asiakkaan valitus
Asiakas pitää omaa toimintaansa asiassa lievästi huolimattomana ja vaatii pankkia palauttamaan vähintäänkin merkittävän osan menetetyistä rahoista tililleen viipymättä.
Asiakas oli ollut huijauksen tapahtuessa kesälomareissulla ympäri Suomea. Hänellä oli ongelmia maksaa sisäänpääsyä museossa EdenRed-verkkotilin kautta, ja sitä ennen oli ollut ongelmia lähimaksamisen kanssa. Aiemmin tapahtuneiden ostojen epäonnistuminen/epäselvyys aiheuttivat käsityksen, että kortilla olisi voinut todellisuudessakin olla epätavallista toimintaa, kuten huijarin lähettämässä tekstiviestissä kerrottiin.
Huijareiden viesti sijaitsi samassa ketjussa asiakkaan pankilta vastaanottamien viestien kanssa siihen saakka kunnes asiakas myöhemmin vastasi viestiin ja pyysi huijareita palauttamaan anastamansa varat. Viestin varoitusteksti ilmestyi viestin yläpuolelle vasta siinä vaiheessa, kun asiakas myöhemmin koetti vedota huijariin lähettämällä hänelle itse viestin.
Asiakas klikkasi tekstiviestin linkkiä päätyen tätä kautta huijarin tekemään web-portaaliin. Osoite oli muodossa https:// joten asiakas oletti kyseessä olevan aito pankin viesti, jonka linkissä oleva web-portaali on salattu. Sivusto näytti täysin pankin sivustolta eikä puhelimen verkkoselain osannut varoittaa riskialttiista sivustosta, toisin kuin jälkeenpäin asiakkaan samaa huijaussivustoa tietokoneen selaimella testatessa.
Pankkitunnukset web-portaaliin syötettyään asiakas syötti debit-korttinsa tiedot, koska portaali niitä vaati. Sivusto kysyi, mitä korttia tiedustelu koskee, ja koska asiakas on aina maksanut ostoksensa debit-kortillaan, hän syötti sen tiedot. Avainlukulistaa asiakkaalla ei ollut mukana, vaan hän käytti pankin tunnistusvälinettä. Tarvittaessa todistajana avainlukulistan sijainnista lomareissun aikana on lupautunut toimimaan asiakkaan kanssa ollut Y. Asiakkaalla ei ole tietoa, kuinka rikollinen on päässyt ohittamaan tai syöttämään oikean luvun järjestelmään. Asiakas säilyttää avainlukulistaa kotonaan tietokonepöydän laatikossa. Mikäli avainlukulistalta on todella syötetty oikea luku, niin rikollisella on täytynyt olla kuva/kopio avainlukulistalta.
Kolmas ja viimeinen asia, jonka asiakas muistaa portaalin kautta tehneensä, oli puhelimensa pankin mobiilisovelluksen päivittäminen/lataus. Asennus kesti joitakin minuutteja. Jossain kohtaa asiakas vastaanotti toisen tekstiviestin, joka oli tällä kertaa englanninkielinen ja jonka asiakas tunnisti samanlaiseksi, jota oli aiemminkin käyttänyt puhelimen kautta hoidetuissa tiliasioissa. Useasti verkkomaksuja kuitatessa verkkopankin kautta asiointikielenä on ollut englanti, joten asiakas ei pidä sitä epänormaalina asiointikielenä. Asiakas luki viestin huolellisesti ja toimi kuten ohjeessa kerrottiin. Asiakas ei syöttänyt koodia minnekään verkkosivustolle. Viestissä ei ohjeistettu, mistä pankin mobiilisovellus tulisi ladata ja sovelluksen latauspainike löytyi samalla tavalla pankin aidoilta sivuilta kuin se löytyi huijarin sivuilta. Pankin viestissä ei myöskään varoitettu, että tunnistusvälinettä oltaisiin asentamassa uudelle laitteelle, kuten pankki väittää. Viestissä pyydettiin syöttämään koodi ainoastaan pankin mobiilisovellukseen ja tässä täytyi tapahtua niin, että asiakas syötti koodin huijaussivustolta lataamalleen sovelluksen versioon, jonka ikoni löytyi puhelimen “päänäytöltä”. Tuo todennäköisesti huijarin tekemä sovellus poikkesi ainoastaan hieman aiemmin asiakkaan käyttämästä pankin mobiilisovelluksesta. Sovelluksessa oli samannäköinen pankin logo ja “käyttöliittymä” mutta oli siltä osin erilainen, että näppäinnumerot olivat neliönmalliset ja pankin logo näkyi ylhäällä PIN-koodia ja viisinumeroista koodia syöttäessä. Asiakas ajatteli eroavuuden selittyvän ohjelmistopäivityksellä.
Ainoastaan toisella, todennäköisesti aidolla pankin mobiilisovelluksella asiakas pääsi katsomaan tilinsä saldot, ja ne näyttivät vielä siinä vaiheessa oikeanlaisilta. Tapahtumasarja oli kuitenkin sekavuudessaan sellainen, että asiakas oli yhteydessä pankkiin epäilystensä herättyä alle 20 minuutin päästä. Asiakasta pyydettiin poistamaan kaikki pankin sovellukset ja lataamaan Play-kaupasta sovelluksen uudelleen. Asiakas sai kuulla, että tileiltä oli tehty kymmenien tuhansien eurojen rahasiirtoja/maksuja Revolut-pankkiin ja nämä kaikki tapahtumat näkyivät katevarauksina.
Asiakas ei hyväksynyt eikä kuitannut yhtään maksua tai muitakaan suoritteista ja oli välittömästi hälytyskellojen soidessa yhteydessä pankin sulkupalveluun. Kukaan pankin asiantuntijoista ei ollut kiinnostunut olemaan yhteydessä rahojen vastaanottajan pankkiin maksujen perumiseksi. Katevaraukset siirtyivät maksuun tililtä torstaina 3.8.2023 noin klo 20 Suomen aikaa, eli vasta noin 54 tuntia rikostapahtumien jälkeen. Poliisikin oli sitä mieltä, että pankin pitäisi puuttua rahasiirtoihin ilman poliisilta tulevaa kehotusta, koska kyseessä on selkeästi törkeä petos.
Maksimaaliset korttilainojen nostot, rahastojen myyntiin laitot ja kaiken lisäksi puhelimen vaihtaminen asiakkuuden tietoihin tehtiin rikollisen toimesta samalla pankki-istunnolla, joten voidaan perustellusti todeta valvontamekanismien täydellinen epäonnistuminen. Kukaan pankin taho ei pystynyt estämään katevarausten siirtymistä maksuun, vaikka aikaa katevarausten ilmestymisestä maksatukseen oli.
Asiakas on lukenut sadoista vastaavanlaisista tapauksista pelkästään kuluvalta vuodelta ja on saanut sen kuvan, että osa pankeista on saanut palautettua vähintään osan varastetuista rahoista yhteistyössä vastaanottavien pankkien kanssa. Lisäksi osa pankeista on tiedottanut asiakkaitaan tekstiviestien kautta tapahtuvista huijauksista kirjeillä ja soitoilla, eikä asiasta tiedottamista ole jätetty sosiaalisen median, lehtien ja aika ajoin pankin sivuilla olevien linkkien taakse, kuten pankki toimii edelleen.
Pankin mukaan se on aktiivisesti varoittanut tunnustenkalastelukampanjoista, mikä ei pidä paikkaansa. Pankin etusivulla ei ole minkäänlaista mainintaa asiasta eikä myöskään mobiilisovelluksen kirjautumissivustolla. Sosiaalista mediaa asiakkaalla ei ole. Mikäli asiakas olisi lukenut varoitukset niin suurella todennäköisyydellä hän ei olisi päätynyt rikoksen uhriksi. Pankki ei voi edellyttää asiakkaittensa lukevan päivittäin, olisiko heidän internet-sivuilleen tai sovellukseen tullut varoituksia jostain pankin toimintaan liittyvistä asioista.
Pankin vastine
Pankki katsoo, että asiakas on menetellyt kokonaisuutena arvioiden törkeän huolimattomalla tavalla ja näin ollen pankki ei ole asiassa korvausvelvollinen.
Tapahtumat ovat saaneet alkunsa asiakkaan yritettyä maksaa sisäänpääsyä museoon muulla kuin pankin myöntämällä maksuvälineellä (Edenred-kortilla). Tämän jälkeen asiakas kertoo saaneensa tietojenkalastelu-viestin matkapuhelimeensa. Hankaluudet korttimaksamisessa eivät siis liittyneet mitenkään pankin myöntämään maksuvälineeseen, joten tässä kohtaa olisi pitänyt herätä epäily pankin nimissä lähetettyä tekstiviestiä kohtaan. Lisäksi viesti on tullut ulkomaalaisesta numerosta (Irlannin maatunnus +353), joten tämänkin olisi pitänyt herättää epäily.
Tunnuslukua kysytään satunnaisesti sen varmistamiseksi, että kortti on oikean kortinhaltijan hallussa. Kortilla voi tehdä vain tietyn määrän perättäisiä lähimaksuja, minkä jälkeen lähimaksu ei toimi ja maksupäätteellä vaaditaan maksajan vahvaa tunnistamista eli kortin sirun lukemista ja PIN-koodin syöttämistä. Lokeista pankki havaitsi seuraavat tapahtumat, joissa lähimaksu ei ole sellaisenaan toteutunut: 1.8.2023 klo 11.28 tapahtuneesta maksutapahtumasta on maksupääte vaatinut maksajan vahvaa tunnistamista lähimaksuyrityksen jälkeen, kortti on syötetty sirulukijaan ja PIN on syötetty oikein. Klo 14.05 lähimaksutapahtumaa ei ole korttiin liitetyltä tililtä veloitettu, tapahtuma on mahdollisesti maksettu käteisellä tai muulla maksutavalla.
Kalasteluviesti saapui asiakkaan kertomuksen mukaan samaan ketjuun muiden pankilta saamiensa viestien kanssa. Asiakas ei ole esittänyt näyttöä tämän vaatimuksensa perusteeksi. Asiakkaan toimittamassa kuvakaappauksessa puhelimen näytöllä on lukenut "Tämä viesti on lähetetty tallentamattomasta numerosta. Varo tekstiviesti- ja sähköpostihuijauksia." Rikolliset pyrkivät väärentämään lähettäjän puhelinnumeron/osoitteen näyttämään siltä, että se olisi peräisin luotettavasta lähteestä. Älypuhelimien tekstiviestien luokitteluun sekä ketjun muodostamiseen vaikuttavat pääasiassa lähettäjän puhelinnumero, mutta riippuen esimerkiksi älypuhelimen mallista, käyttöjärjestelmästä, käyttöjärjestelmäpäivityksistä ja laitteen asetuksista, voivat älypuhelimet tehdä päätelmiä analysoimalla viestin sisältöä esimerkiksi tunnistamalla viestiin kirjoitettuja avainsanoja tai yhteystietoja.
Asiakkaan saama viesti oli sisällöltään: "[pankki]: Kortillasi on havaittu epätavallista toimintaa ja se on estetty, tarkista tapahtuma nyt https://[pankki]-fi-maksu.com". Pankin verkkosivuilla on listattuna kaikki pankin tarjoamat palvelut, joita pankin asiakkaat voivat tunnuksillaan käyttää. Kyseisen huijausviestin linkin osoite ei ole listalla. Listaukseen viitataan myös pankin tunnus- ja digisopimuksen ehtojen Käytä tunnustasi turvallisesti -osiossa.
Pankki kiistää asiakkaan väitteen siitä, että hänellä ei ollut matkalla mukana avainlukulistaa. Tunnistusvälineen aktivointi on tapahtuma-aikaan vaatinut oikean avainluvun syöttämistä. Ilman oikeaa avainlukua mobiililiitosta ei ole ollut mahdollista aktivoida. Edes pankin toimihenkilö ei ole voinut ohittaa avainluvun syöttämistä. Fyysisen avainlukulistan tai avainlukulistan kuvan on täytynyt olla asiakkaalla hallussa tapahtuma-aikaan.
Tapauksessa asiakkaan tunnukset (käyttäjätunnus, salasana sekä luku avainlukulistalta) on syötetty linkin "https:[pankki]-fi-maksu.com" takaa avautuneelle sivustolle tai portaaliin. Riidatonta on myös, että asiakas on samaiselle sivustolle tai portaalille syöttänyt Debit-kortin tiedot. Yleisissä korttiehdoissa suositellaan käymään osoitteessa [pankki].fi. Siellä on paljon tärkeää tietoa kortin turvallisesta käyttämisestä, kuten "Älä koskaan luovuta korttiasi toisen käyttöön tai paljasta tunnuslukua muille. Pankin henkilökunta tai viranomaiset eivät missään tilanteissa kysy sinulta maksuvälineiden tunnuksia, kuten verkkopankin käyttäjätunnusta ja salasanaa, kokonaista korttinumeroa tai kortin tunnuslukua." Pankin palveluihin kirjauduttaessa ei koskaan kysytä asiakkaan korttinumeroa, joten tämän olisi pitänyt herättää epäily.
Asiakkaan huijaussivulle syöttämien tietojen avulla rikollinen on aloittanut pankin mobiilisovelluksen ja tunnistusvälineen käyttöönoton, jolloin pankki on lähettänyt asiakkaalle tunnistusvälineen aktivointiin tarvittavan koodin sisältävän tekstiviestin 1.8.2023 klo 13:51. Kirjautuminen on poikennut tavanomaisesta asioinnista, sillä kirjautumisen yhteydessä on vaadittu avainlukulistan lukua ja asiakas on käyttänyt pankin lokien mukaan päivittäisessä asioinnissaan pankin tunnistusvälinettä.
Tunnistusvälineen aktivointiin tarvittava koodi on syötetty vastoin viestin ohjeistusta muualle kuin asiakkaan itsensä sovelluskaupasta (App Store tai Google Play) lataamaan sovellukseen — tekstiviestitse lähetettyä linkkiä seuraamalla avautuneelle sivustolle tai portaaliin. Asiakas on kertonut syöttäneensä mobiiliavaimen aktivointiin tarkoitetun koodin huijaussivustolta lataamaansa pankin mobiilisovelluksen versioon.
Pankin lokien mukaan kirjautuminen mobiiliavaimen aktivointia varten on aloitettu 1.8.2023 klo 13:50:12 ja käyttäjätunnuksen, salasanan ja oikean avainlukulistan luvun syöttämiseen on kulunut 45 sekuntia. Vertailun vuoksi asiakkaan uusittua verkkopalvelutunnuksensa 2.8.2023 suoritukseen on kulunut 13 sekuntia. Pankin tulkinta on, että tunnistusvälineen aktivointi on ollut asiakkaalle entuudestaan tuttu toimenpide ja avainlukulista on ollut heti saatavilla.
Lokien mukaan sivulta [pankki]-fi-maksu.com, jonne asiakas syötti tunnuksensa on tapahtunut uudelleenohjaus [pankki].fi-palveluun, johon asiakas on kirjautunut omalla mobiiliavaimellaan klo 13.53. Rikollinen on kirjautunut mobiilipankkiin klo 13.58. Pankki selvitteli lisäksi pankin mobiilisovelluksen päivittämistä/lataamista. Asiakkaan käytössä on ollut Android-käyttöjärjestelmän puhelin, jonka asetuksista pankilla ei ole tietoa. Android ei ole suljettu järjestelmä ja siihen on mahdollista asentaa ja ladata sovelluksia mistä vain. Puhelin kuitenkin näyttää varoituksia, kuten asiakkaankin toimittamassa kuvakaappauksessa on ollut. Asiakas kertoo, että varoitusteksti olisi päivittynyt vasta myöhemmin. Saattaa myös olla, että asiakas ei kiinnittänyt siihen välittömästi viestin saatuaan huomiota. Teknisesti applikaation tai tässä tapauksessa haittaohjelman eli asiakkaan kuvaaman pankin mobiilisovelluksen voi asentaa sovelluskaupan ulkopuolisista lähteistä, jos tämä on laitteessa valittu sallittavaksi. Tyypillisesti uudet sovellukset latautuvat puhelimessa jo olevien sovellusten jälkeen — ei etusivulle. Haittaohjelma ei voi kuitenkaan korvata laitteessa jo valmiiksi olevia sovelluksia, kuten sovelluskaupasta asiakkaan lataamaa aitoa pankin mobiilisovellusta, joka säilyy älylaitteessa sille aiemmin osoitetussa tutussa paikassa. Tapahtumakuvauksen perusteella pankin asiantuntijat epäilevät, että puhelimen etusivulle on tässä tapauksessa lisätty kotinäytölle web-linkki, jolle rikollinen on antanut nimeksi [pankki]-mobile. Web-sivulla on mahdollista pyörittää näköissivustoa.
Pankki viittaa maksupalvelulain 53, 54, 62 ja 63 §:in sekä pankin yleisiin korttiehtoihin ja pankin tunnus- ja digisopimuksen ehtoihin. Kokonaisuutena arvioiden pankki katsoo, että asiakas on menetellyt törkeän huolimattomasti seuraavien seikkojen perusteella:
- Asiakkaan epäonnistunut maksutapahtumaa ei ole ollut pankin kortilla. Asiakkaan olisi pitänyt ymmärtää, että Edenred-kortilla maksamisella ja pankin nimissä tulleella (kalastelu)viestillä ei ole yhteyttä.
- Kalasteluviesti on tullut ulkomaalaisesta numerosta.
- Asiakas on kirjautunut pankkitunnuksillaan sivustolle, joka on auennut/latautunut tekstiviestillä tulleesta linkistä. Tämäntyyppisestä kalastelusta on jo vuosien ajan varoitettu niin pankin kuin muiden pankkien ja myös viranomaisten toimesta.
- Asiakasta on pyydetty kirjautumaan vaihtuvaa avainlukulistan lukua käyttäen, vaikka hän on käyttänyt asioinnissaan vain pankin tunnistusvälinettä.
- Kirjautumisessa on kysytty asiakkaan maksukortin numeroa, mitä pankin palveluun kirjautumisessa ei koskaan tehdä.
- Asiakas on saanut poikkeavasti englanninkielisen viestin pankilta.
- Asiakas on ollut erehdytettynä tarkastamassa korttitapahtumaa huijaussivulla. Tästä huolimatta hän on vahvistanut uuden pankin tunnistusvälineen käyttöönoton syöttämällä tekstiviestissä saamansa koodin sivustolle/portaaliin, joka jäljitteli pankin tunnistusvälinettä.
Pankilla on käytössään maksupalvelusääntelyn edellyttämät valvontamekanismit. Niillä ei kuitenkaan voida torjua kaikkea väärinkäyttöä, eikä sääntely sitä edellytäkään. Pankki ei siten ole velvollinen korvaamaan vahinkoa sillä perusteella, että asiakkaan tunnuksiin liitetyllä vahvalla sähköisellä tunnistamisvälineellä vahvistettuja tapahtumia ei ole estetty. Pankit panostavat ja tekevät valtavasti työtä rikollisuuden torjunnan eteen. Petostorjuntaa ylläpidetään jatkuvasti, mutta valitettavasti aivan kaikkea väärinkäyttöä pankki ei voi aina estää ja tunnistaa ennalta, tai saada maksuja takaisin.
Korttimaksua vahvistettaessa kauppiaalta tulee tapahtuman varmennuspyyntö, jonka yhteydessä kortille tehdään maksua koskeva katevaraus. Kun kortin liikkeeseenlaskija on antanut varmennuspyyntöön myönteisen vastauksen, ei liikkeeseenlaskija kansainvälisten korttiyhtiöiden sääntöjen mukaan enää voi estää varsinaisen korttimaksun veloittumista ja varojen siirtymistä kauppiaalle, joka on täyttänyt omat velvollisuutensa. Teknisesti katevaraus voidaan siis poistaa, mutta poistaminen ei estä rahasumman veloittumista. Maksupalvelulain 40 §:n mukaan maksupalvelun käyttäjä ei voi peruuttaa maksutoimeksiantoa sen jälkeen, kun maksajan palveluntarjoaja on vastaanottanut sen, ellei lainkohdassa mainitut ehdot täyty. Pankilla on ollut korttiehtojen mukainen oikeus veloittaa tunnuksiin liitetyllä vahvalla sähköisellä tunnistusvälineellä vahvistetut korttimaksut.
Selvitykset
Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappaus asiakkaan pankilta 1.8.2023 klo 13.51 ja 2.8.2023 klo 11.36 saamista tekstiviesteistä
- Kuvakaappaus rikollisten 1.8.2023 klo 13.49 asiakkaalle lähettämästä tekstiviestistä.
- Kuvakaappaus asiakkaan rikollisille 3.8.2023 klo 22.54 lähettämästä tekstiviestistä, jossa hän kehottaa rikollisia palauttamaan varastetut rahansa
- Kuvakaappaus maksutapahtuman vahvistamista koskevilta englanninkielisiltä pankin sivuilta
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Pankin yleisten korttiehtojen kohta, joka koskee kuluttajan asemassa olevan asiakkaan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Korttiehtojen Kortin käyttötavat. Missä voi maksaa kortilla? -kohdan mukaan
Asiakas saa käyttää korttia ja luovuttaa hallussaan olevan Kortin tiedot vain näissä ehdoissa mainittuihin käyttötarkoituksiin.
Korttia voidaan käyttää käteisen nostoon, ostosten ja palveluiden maksamiseen tai rahan tallettamiseen korttiin liitetylle pankkitilille. Lisäksi Kortin tietoja voidaan käyttää ostosten ja palveluiden maksamiseen. Korttia saa käyttää vain pankki- tai luottotilillä olevien varojen tai myönnetyn luottorajan puitteissa.
[…]
Korttiehtojen Kortin käyttö maksukorttina -ehdon mukaan
Kortteja, joilla on credit- tai debit-ominaisuus, voidaan käyttää maksuvälineenä ja käteisen nostoon maksupäätteessä.
[..]
Korttiehtojen Kortin tietojen käyttö etämaksamisessa -kohdan mukaan
Asiakas voi Kortin tiedoilla maksaa etämyynnissä ostamiaan tuotteita ja palveluita.
[…]
Asiakkaan tulee antaa Kortin tiedot vain turvalliseksi tietämilleen kolmansille palveluntarjoajille. […]
Käyttäessään Kortin tietoja asiakas on velvollinen noudattamaan [pankin] antamia ohjeita. Maksa turvallisesti verkossa -ohje on saatavilla tilipankin toimipakoissa [pankin] osoitteessa www.[pankki].fi. […]
Korttiehtojen Asiakkaan velvollisuudet -kohdan Kortista ja Kortin tiedoista huolehtiminen -alakohdan mukaan
Kortti ja Kortin tiedot ovat henkilökohtaisia, eikä asiakas saa luovuttaa niitä kenellekään muulle, ei edes samaan perheeseen kuuluvalle.
[…]
Internetin kautta tehtävien etämaksujen yhteydessä asiakkaan pyrittävä varmistamaan, että luovuttaa Kortin tiedot luotettavaan ja viralliseen internet-kauppaan, eikä sitä jäljittelevälle huijaussivustolle. Asiakkaan tulee mennä internet-kaupan sivuille kirjoittamalla itse sen osoite selaimen osoiteriville. Näin pystyy pienentämään mahdollisuutta päätyä huijaussivustolle. Asiakkaan on tarkistettava selaimen osoiteriviltä, että sivuston yhteys salataan. […]
Korttiehtojen Katoamisilmoituksen tekeminen -kohdan mukaan
Kortin tai laitteen ja siihen tallennettujen Kortin tietojen katoamisesta, joutumisesta sivullisen haltuun, […] tai oikeudettomasta käytöstä on viipymättä ilmoitettava [pankille].
[…]
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee kuluttaja-asiakkaan vastuuta tunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankin tunnusten ja verkkopalveluiden yleisten ehtojen (Pankkitunnusehdot) Tunnusten säilyttäminen ja sallitun käytön rajoitukset -kohdan mukaan:
Sinulle luovutettu tunnus on henkilökohtainen. Tunnusta tai osaakaan siitä ei saa luovuttaa kenellekään toiselle henkilölle, ei edes samaan perheeseen kuuluvalle, eikä erilliselle sovellukselle tai palvelulle, ellei sovellus tai palvelu ole [pankin] hyväksymä. [Pankin] hyväksymät sovellukset ja palvelut ovat nähtävillä osoitteessa op.fi. Jos annat tunnuksen kolmannelle, vastaat kolmannen nimissäsi tekemistä toimista.
[…]
Tunnusta tai osaa niistä et koskaan saa:
- kertoa suullisesti puhelimitse tai muulla tavalla kysyvälle ulkopuoliselle taholle. Soittaessasi [pankin] puhelinpalveluun näppäilet tunnuksen omaan puhelimeesi, samoin näppäilet tunnuksen puhelimeesi, jos haluat varmentaa sinulle tulevan puhelun olevan [pankin] soittama;
- luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluilla ja sovelluksille.;
- antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
[…]
Sinun tulee kirjautuessasi [pankin] digitaalisiin palveluihin suojata laite, esim. tietokone, puhelin tai erillinen näppäimistö, jolla tunnusta käytetään siten, ettei kenelläkään ole mahdollisuutta saada tunnusta tai sen osia tietoonsa.
[Pankin] digitaalisia palveluita ei saa käyttää tietokoneella tai muulla laitteella, jossa on havaittu tai epäillään olevan haittaohjelma. Et saa myöskään luovuttaa tietokoneesi tai muun laitteesi etäkäyttöä ulkopuolisille, kun käytät laitteella tunnustasi tai sen osia.
Pankkitunnusehtojen Sinun tulee ilmoittaa tunnuksen katoamisesta tai joutumisesta sivullisen tietoon tai haltuun -kohdan mukaan
Sinun on välittömästi ilmoitettava [pankille] tunnuksen tai sen osan katoamisesta tai joutumisesta käyttöön oikeudettoman tietoon tai haltuun taikka, jos epäilet niiden joutuneen käyttöön oikeudettoman tietoon tai haltuun. Ilmoitus on tehtävä myös siinä tapauksessa, että vain osa Tunnuksista on kadonnut tai joutunut käyttöön oikeudettoman tietoon tai haltuun.
[…]
Pankkitunnusehtojen Tunnusten käyttäminen -kohdan mukaan [pankin] digitaalisten palveluiden käyttäminen -kohdan mukaan
Tunnistaudut esimerkiksi [pankin] digitaaliseen palveluun näppäilemällä käyttäjätunnuksen ja salasanan ja tarvittaessa vahvistusvälineen luvun. Eri asiointikanavat voivat sisällöltään ja toiminnoiltaan erota toisistaan tunnistusmenetelmän osalta eli eri kanavissa sinulta vaadittavat tiedot voivat vaihdella.
Voit tunnistautua [pankin] digitaalisiin palveluihin myös muulla [pankin] tarjoamalla tai [pankin] hyväksymällä Kolmannen osapuolen myöntämällä varmenteella tai tunnistusvälineellä. Jos Kolmannen osapuolen tarjoamaa varmennetta tai tunnistusvälinettä koskeva sopimus on tunnistusvälineen tai varmenteen säilyttämisen ja / tai käyttämisen osalta ristiriidassa [pankin] tunnus- ja digisopimuksen ehtojen kanssa, sovelletaan ensisijaisesti [pankin] tunnus- ja digisopimuksen ehtoja.
Kirjaudut [pankki].fi-palveluun kirjoittamalla osoitteen [pankki].fi selaimen osoiteriville. Ennen kirjautumista [pankki].fi-palveluun olet velvollinen tarkistamaan, että [pankki].fi-verkkosivusto on suojattu SSL-suojauksella.
SSL-suojauksessa selaimen osoiterivin lukkosymbolin vieressä tulee lukea, että varmenne on myönnetty [pankki] Ryhmään kuuluvalle yhtiölle (esim. XXXXX). SSL-suojaus näkyy lisäksi eri selaimissa esimerkiksi osoitepalkin vihreänä värinä.
Sinä et saa antaa [pankin] digitaalisten palveluiden käyttöä Kolmannelle osapuolelle esim. henkilölle, sovellukselle tai palvelulle. Sallittua ei ole käyttää esim. sellaisia palveluja, jotka ottavat hallintaansa asiakkaan istunnon [pankin] digitaalisissa palveluissa. Edellä sanottu ei rajoita oikeuttasi käyttää maksupalvelulain mukaisia toimiluvan saaneita maksutoimeksiantopalveluja tai rekisteröityjä tilitietopalveluja.
Asian arviointi
Tapahtumienkulku
Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin mobiilisovelluksen, jolla riidanalaiset asiakkaan korttitietoja käyttäen tehdyt korttimaksut on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän selvityksen paikkansa pitävyyttä.
Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut pankin nimissä lähetetyn tekstiviestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on syöttänyt verkkopankkitunnuksiaan ja korttitietonsa luullessaan asioivansa pankkinsa kanssa.
Asiakas on kuitenkin kiistänyt syöttäneensä sivuille lukua avainlukulistastaan, jota hänellä ei kertomansa mukaan ollut edes mukana. Tältä osin Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on syöttänyt em. valesivuille muiden pankkitunnustensa osien lisäksi myös luvun avainlukulistastaan.
Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan uuden pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt 1.8.2023 13.51 asiakkaalle mobiilisovelluksensa käyttöönoton edellyttämän vahvistuskoodin sisältäneen englanninkielisen tekstiviestin.
Pankkilautakunta katsoo, että asiakkaan on täytynyt syöttää myös em. tekstiviestissä ollut koodi valesivuilla sitä varten varattuun sarakkeeseen. Koodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistusvälineen ja mobiilisovelluksen omalle laitteelleen.
Asiakkaan debit-kortin tietoja käyttäen ja em. pankin tunnistusvälineellä vahvistaen on verkossa tehty asiakkaan korttiluotoilta siirtoja asiakkaan tilille ja ko. oikeudettomat korttimaksut 1.8.2023 klo 13.59–14.07 välisenä aikana. Rikollisten laitteella ollut sovellus on poistettu 1.8.2023 klo 14.14.
Asiakkaan menettelyn arviointi
Pankkitunnusehdoissa nimenomaisesti kielletään antamasta tunnuksia sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella taikka kirjautumasta pankin digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
Pankkilautakunta katsoo, että asiakas on laiminlyönyt pankkitunnusehtojen mukaisia velvollisuuksiaan käyttäessään pankkitunnuksiaan tekstiviestissä olleen linkin kautta avautuneilla sivuilla.
Pankkilautakunta katsoo asiassa jääneen osoittamatta, että rikollisten lähettämä tekstiviesti olisi sijainnut asiakkaan puhelimessa samassa ketjussa asiakkaan pankilta vastaanottamien viestien. Toisaalta lautakunta pitää uskottava asiakkaan kertomaa siitä, että hänen puhelimensa varoitus em. tekstiviestistä on ilmaantunut vasta, kun asiakas myöhemmin itse lähetti ko. numeroon viestin. Edelleen Pankkilautakunta katsoo, ettei asiakkaan voida edellyttää ymmärtäneen myöskään tekstiviestin muotoilun ja sisällön taikka viestissä olleen linkin domainin/verkkotunnuksen perusteella, ettei tekstiviesti ollut pankin lähettämä. Pankkilautakunta katsoo myös, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen muutakaan syytä epäillä yhteydenoton asianmukaisuutta, ja hän on voinut perustellusti ymmärtää yhteydenoton liittyneen hänen omiin korttinsa käyttöä koskeviin ongelmiin.
Pankkilautakunta kiinnittää tässä huomiota myös siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin – ml. pankin kanssa samaan yhtiöryhmään kuuluvat toimijat – lähettävät asiakkailleen asiointia koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä tekstiviestejä, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa pankin nimissä tulevan tekstiviestin ja viestissä olevan linkin asianmukaisuutta.
Ottaen lisäksi huomioon, että tässä tapauksessa tekstiviestissä olleesta linkistä on avautunut pankin verkkosivuilta näyttävä sivusto ja asiakas on verkkosivujen näkymän perusteella edelleen luullut asioivansa pankin kanssa ja on tässä tarkoituksessa käyttänyt pankkitunnuksiaan, Pankkilautakunta katsoo, ettei asiakkaan laiminlyöntien pankkitunnusehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.
Asiakkaan mukaan häntä on pyydetty valesivustolle syöttämään myös korttitietonsa ja asiakas on syöttänyt tiedot debit-kortistaan, jota hän maksamiseen käyttää. Pankkilautakunta katsoo, että asiakkaan olisi huolellisesti toimiessaan tullut jo tämän poikkeuksellisen pyynnön johdosta ymmärtää keskeyttää asiointinsa ja esimerkiksi olla yhteydessä pankkiin tiedustellakseen menettelyn asianmukaisuudesta. Joka tapauksessa saatuaan tämän jälkeen tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestin sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi viimeistään tuossa vaiheessa esimerkiksi viestissä olleen kehotuksen mukaisesti ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Pankkilautakunta katsoo, että pankin asiakkaalle lähettämässä em. tekstiviestissä kerrotaan asianmukaisesti mm., mitä tarkoitusta varten viestissä ollut koodi on ja mihin koodi tulee syöttää. Pankkilautakunta on ratkaisukäytännössään jo vakiintuneesti katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Lautakunta katsookin, että mikäli asiakas olisi käsityksensä mukaan ollut linkin kautta avautuneilla sivuilla kirjautumassa pankin verkkopalveluun, olisi hänen em. viestin saatuaan tullut - viestin sisältö huomioiden - ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodi laittamatta verkkosivuilla sille varattuun sarakkeeseen.
Asiakaan mukaan kuitenkin viimeinen asia, jonka hän portaalin kautta teki, oli puhelimensa pankin mobiilisovelluksen päivittäminen/lataus. Asiakas vastaanotti englanninkielisen tekstiviestin, luki viestin ja toimi mielestään kuten ohjeessa kerrottiin, eikä syöttänyt koodia minnekään verkkosivustolle. Asiakkaan mukaan sovelluksen latauspainike löytyi huijarin sivuilta ja asiakas syötti koodin sivustolta lataamalleen pankin mobiilisovelluksen versioon, jonka ikoni löytyi puhelimen “päänäytöltä”. Asiakas ei voinut tietää, ettei kyseessä ollut aito pankin ohjelma.
Pankkilautakunta on jo edellä katsonut, että pankin mobiilisovelluksen vahvistuskoodin on asiassa saadun selvityksen perusteella täytynyt päätyä rikollisten tietoon siten, että asiakas on syöttänyt koodin rikollisten luomille valesivuille. Pankkilautakunta pitää saadun selvityksen perusteella mahdollisena, että tekstiviestissä olleesta linkistä avautuneet valesivut ovat asiakkaan asioinnin myöhemmässä vaiheessa ohjanneet asiakkaan ulkonäöltään pankin mobiilisovellukselta näyttäneille valesivuille tai sitten asiakas on pankin epäilyn mukaisesti valesivuilla asioidessaan - ja luullessaan lataavansa pankin mobiilisovellusta - tullut lisänneeksi puhelimensa kotinäytölle linkin pankin mobiilisovellukselta näyttäville valesivuille. Näillä valesivuilla rikolliset ovat voineet esittää asiakkaalle näkymän, jonka mukaan pankin mobiilisovellus olisi päivitettävä tai aktivoitava uudelleen käyttöön. Tältä osin lautakunta katsoo, että huolellisesti toimivan pankin mobiilisovelluksen käyttäjän tulisi huomata, jos hän ei tosiasiassa ole avannut sovellusta, vaan asioi selaimessa. Edelleen lautakunta kuitenkin katsoo, että jos asiakas on puhelimensa näytön näkymän perusteella luullut olevansa pankin mobiilisovelluksessa, joka on näyttänyt edellyttävän päivittämistä tai uudelleen aktivointia, on hänen tällöin pankilta saamansa vahvistuskoodin sisältänyt tekstiviesti ollut juuri sellainen, jota asiakas on tuossa tilanteessa perustellusti voinut odottaa saavansa ja jonka ohjeiden mukaisesti hän on voinut käsittää toimivansa.
Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että asiakas on edellä mainituin syin ymmärtänyt pankin jälkimmäisessä tekstiviestissä olleen vahvistuskoodin liittyneen hänen mobiilisovelluksensa päivittämiseen ja uudelleen käyttöönottoon, ja hän on matkapuhelimensa näyttönäkymän perusteella käsittänyt syöttävänsä sovelluksen vahvistuskoodia tekstiviestin ohjeistuksen mukaisesti sovellukseen sen käyttöönottoa varten, lautakunta katsoo, ettei asiakkaan menettely vakavasta varomattomuudestaan huolimatta kokonaisuutena osoita hänen suhtautuvan selvästi piittaamattomasti maksuvälineiden hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Näin ollen lautakunta katsoo, ettei asiakkaan menettely myöskään osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu korttitietojensa ja pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu siten 50 euroon.
Lopputulos
Pankkilautakunta suosittaa, että pankki ottaa vastatakseen asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtaja Sillanpää
Sihteeri Hidén
Jäsenet
Atrila
Laine
Punakivi
Tervonen