Tapahtumatiedot
Kun asiakkaan tarkoituksena 4.9.2023 on ollut mennä verkkopankkiinsa, on hän päätynyt rikollisten luomille pankin verkkosivuilta näyttäville sivuille, joilla hän on käyttänyt pankkitunnuksiaan kirjautuakseen verkkopankkiin. Pankki on lähettänyt asiakkaalle 4.9. klo 17.59 tekstiviestin, jonka lähettäjätietona asiakkaan puhelimessa on näkynyt pankin nimi ja jossa on lukenut seuraavaa:
”Koodi: XXXX [Pankin] tekstiviestivahvistus”
Asiakkaan pankkitunnuksilla ja pankin asiakkaalle 4.9.2023 klo 18.00 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin tunnistussovellus. Em. tekstiviestin lähettäjätietona asiakkaan puhelimessa on näkynyt pankin tunnistussovelluksen nimi X ja viestissä on lukenut seuraavaa:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTIIN. XXXX"
Tämän jälkeen pankki on lähettänyt asiakkaalle klo 18.01 tekstiviestin, jonka lähettäjätietona on näkynyt pankin nimi:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Pankki on lähettänyt vielä klo 18.04 tekstiviestin, jonka lähettäjätietona asiakkaan puhelimessa on näkynyt pankin nimi:
”Koodi: XXXX [Pankin] tekstiviestivahvistus”
Em. tunnistussovellusta hyväksi käyttäen on asiakkaan verkkopankkiin kirjauduttu ja tehty 5.-6.9.2023 yhteismäärältään 99.750 euron oikeudettomat tilisiirrot ulkomaille. Tapahtumien yhteydessä asiakkaan tilin nostorajaa on myös nostettu 50.000 euroon tunnistussovellusta käyttäen.
Em. tunnistussovellus on suljettu 6.9.2023 ja pankista on soitettu asiakkaalle ja kerrottu tapahtuneesta. Asiakkaalle on saatu palautettua yksi 9.700 euron suuruinen siirto ja takaisin saamatta on näin ollen jäänyt 90.050 euroa.
Asiakkaan valitus
Asiakas ei katso syyllistyneensä huolimattomuuteen ja hän vaatii pankkia korvamaan pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa, yht. 90 050 euroa korkoineen, sekä kaikki asiasta aiheutuvat muut kulut ja kustannukset.
Asiakas kirjautui 4.9.2023 pankin sivustolle kirjoittamalla "[pankki]" tietokoneen selaimen osoiteriville, minkä jälkeen avautui täsmälleen saman näköinen pankin kirjautumissivu kuin aina aikaisemminkin kysyen kirjaudunko X:Ilä, taulukolla vai käytänkö QR-koodia. Asiakas käytti kirjautumiseen selaimen osoiteriviä, koska edellisestä kirjautumisesta oli kulunut jo kaksi kuukautta ja tietokoneen etusivulla aikaisemmin aina ollut pankin pankkilogo oli poistunut. Asiakas ei siis käyttänyt hakukoneita, vaan kirjautui kirjoittamalla osoiteriviin pankin nimen, kunnes se ohjasi asiakkaan pankin sivustolle. Kukaan ei valitse tietoisesti huijaussivustoa, koska ehdotetut sivustot ovat niin taitavasti tehdyt toistensa kaltaisiksi. Asiakas valitsi ainoan koko elämänsä aikana käyttämänsä taulukkokirjautumisen: antoi käyttäjätunnuksen, salasanan, kooditaulukon numeron ja sen jälkeen puhelimeensa tulleen nelinumeroisen numerosarjan, jonka lähettäjänä oli pankin nimikirjaimet kuten aina aikaisemminkin.
Ensimmäisen kirjautumisyrityksen jälkeen sivusto ilmoitti, että kirjautuminen epäonnistui. Asiakas oletti, että oli tehnyt kirjautumisessa näppäilyvirheen ja yritti kirjautua uudelleen. Sekin johti samaan lopputulokseen. Kolmannella kerralla sivusto aukeni ja asiakas sai tarkistettua tilinsä tilanteen. Koska tili on pelkkä säästötili, asiakas käy vain tarkistamassa tilin tilanteen noin kerran kuukaudessa. Kaikki näytti olevan kunnossa ja asiakas kirjautui ulos. Hänellä ei ollut mitään syytä epäillä, etteivätkö kaikki asiat olisi kunnossa.
Asiakkaalle tulleen ensimmäisen tekstiviestin lähettäjä oli pankin nimi. Myös seuraavissa kolmessa viestissä yhtä lukuun ottamatta oli lähettäjä pankki. Yhdessä lähettäjän oli X, joka on pankin käyttämä pankkitermi eikä asiakkaalla ollut mitään syytä epäillä, että joku välissä oleva viesti tulisi joltakin huijaussivustolta ja sen jälkeen taas oikeita viestejä pankilta. Jotta tämänkaltaisesta varoituksesta olisi mitään hyötyä, olisi tekstin oltava selkeästi varoittavampi ja konkreettiseen vaaraan liittyvä. Asiakas ei kuitenkaan muista saaneensa tekstiviestiä, jonka lähettäjänä olisi ollut X eikä myöskään seuraavaa klo 18.01 lähetettyä viestiä, jonka lähettäjänä on taas pankki.
Asiakas ei ole koskaan aikaisemmin saanut pankilta tällaista viestiä, koska on aina kirjautunut vanhalla tavalla käyttäen tunnuslukukorttia, joka on hyvässä piilossa kotona. Asiakas ei ole koskaan aktivoinut enkä käyttänyt missään yhteydessä X:ää, koska ei edes tiedä, mitä se tarkoittaa. Kun pankki alkoi käyttää X:ää tunnistautumisessa, olisi pankin pitänyt järjestää asiakkailleen tiedotustilaisuuksia ja koulutusta.
Koska asiakas ei ymmärtänyt, mikä X on ja koska tilillä käynti kuitenkin onnistui, asiakas ei osannut epäillä, että käynnissä on rikollinen toiminta. Sen sijaan pankin olisi pitänyt itse osata epäillä rikollista toimintaa ja estää tilisiirrot. Vertailun vuoksi toinen pankki B oli lehtitietojen mukaan juuri estänyt isän 45 euron tilisiirron Kuubaan, koska siirto oli summan pienuudesta huolimatta ”epäilyttävä”. Perusteluksi pankin B rahanpesun estämisen asiantuntija esitti, että pankki seuraa tapahtumia jatkuvasti, jotta huomaa epätavallisen toiminnan ja epätavalliset tapahtuma. Tämän velvollisuuden pankki on selvästi laiminlyönyt törkeästi, koska asiakkaalla on ollut pitkä asiakassuhde ja koko ajan ollut vain yksi tili ja pankki on ollut asiakkaalle tekemiensä kyselyjen perusteella täysin tietoinen siitä, että kyseessä on vanhuuden talouden turvaamiseksi pelkkä säästötili varovaisuussyistä jopa ilman pankkikorttia.
Ensimmäisen kerran asiakas kuuli laittomista tilisiirroista vasta 6.9. n. klo 11.45 pankin soitettua. On käsittämätöntä, että pankkia ei kahteen päivään kiinnosta lähes 100.000 euroa selvästi rikollisella toiminnalla eri tileille neljään eri Euroopan maahan kymmenellä eri transaktiolla siirretyt asiakkaan varat. Asiakas ei ole koskaan itse maksanut tililtään mitään ulkomaille. Tämä todistaa, että pankilla ei ole minkäänlaista kontrollia eikä hälytysjärjestelmiä tällaisten ilmiselvästi ja yksinomaisesti rikolliseen toimintaan liittyvien tilisiirtojen tunnistamiseen ja estämiseen. Tällöin varat olisi todennäköisesti saatu takaisin, koska nytkin käsittämättömän hitaasti hoidettuna yksi 9.700 euron summa on saatu palautetuksi.
Tilillä on ollut 1.000 euron nostoraja, mistä tehtiin poikkeus, kun tililtä siirrettiin toisen pankin tilille 23.3.2023 25.000 euroa. Siirto sovittiin puhelimitse tehtäväksi pankin toimesta. Asiakas on aina sopinut puhelimitse kaikista nostorajan ylittävistä tilisiirroista eikä kertaakaan toiminut itse verkkopankin kautta. Asiakas ei myöskään edes tiennyt, että nostorajaa voisi itse muuttaa verkkopankissa eikä pankkivirkailija informoinut tästä mahdollisuudesta, kun sovittiin, että nostoraja palautetaan em. tilisiirron jälkeen. Mikäli asiakas olisi saanut tällaisen informaation, olisi hän varmasti luopunut kokonaan verkkopankin käytöstä suojellakseen varojaan.
Kooditaulukkoa asiakas on käyttänyt siinä uskossa, että sen ollessa ainoastaan kotona kukaan ei pääse siihen käsiksi ja käyttämään tiliä. Kun pankin oma järjestelmä havaitsee, että asiakas ei ole todennäköisesti itse kirjautumassa tai on tekemässä poikkeuksellisia tilisiirtoja ja järjestelmä lähettää siitä asiakkaalle varoituksen, niin miksi pankki ei sen sijaan sulje tiliä välittömästi? Lisäksi varsinkin iäkkäimmille asiakkaille pitäisi järjestää henkilökohtaista opastusta ja neuvontaa jatkuvasti vaihtuvien kirjautumismenetelmien hallitsemiseksi. Pankkia ei tunnu kiinnostavan, miten luodaan toimiva tietoturva eikä pankki ole ryhtynyt mihinkään suojaustoimenpiteisiin, mikä osoittaa, että pankki on suhtautunut ja edelleen suhtautuu täysin välitinpitämättömästi ja törkeän huolimattomasti asiakkaan varojen säilytykseen, minkä vuoksi se on yksin vastuussa toimintansa asiakkaalle aiheuttamasta vahingosta korkoineen ja kuluineen.
Pankin vastine
Pankki on tutkinut kohteena olevia maksutapahtumia. Selvityksestä käy ilmi, että yrittäessään kirjautua sisään pankin Internetkonttoriin 4.9.2023 klo 17.59, asiakas on luultavasti päätynyt pankin nimissä olevalle huijaussivustolle kirjoittamalla selaimen osoiteriviin "[pankki]" ja valitsemalla ehdotetuista vaihtoehdoista huijaussivuston. Kirjautumisyrityksensä yhteydessä asiakas käytti henkilökohtaista käyttäjätunnustaan, salasanansa sekä tekstiviesteinä tulleita kertakäyttökoodeja. Asiakas on kirjautumisyrityksensä yhteydessä saanut neljä (4) tekstiviestiä, joista yksi oli aktivointikoodi X:lle ja yksi oli varoitusviesti X-sovelluksen aktivoinnista. Antamalla X-nimiseltä lähettäjältä tulleen kertakäyttökoodin huijaussivustolle, asiakas mahdollisti X:n aktivoimisen ulkopuolisen laitteella. Heti annettuaan tämän koodin, asiakas sai varoitusviestin, missä kehotetaan asiakasta olemaan yhteydessä sulkupalveluun, mikäli hän ei ole aktivoinut X:ää (”Jos et ole aktivoinut[X:ää], poista se Internetkonttorissa/mobiilipankissa tai soita Sulkupalveluun.”). Koska asiakas ei ollut aktivoinut X:ää, hänen olisi tämän viestin nähtyään pitänyt olla yhteydessä sulkupalveluun. Asiakas ei kuitenkaan reagoinut tähän viestiin ja X aktivoitui 24 tuntia myöhemmin. Näin aktivoidulla X:llä ulkopuolinen pystyi sitten hyväksymään kaikki valituksen kohteena olevat tilisiirrot. Varoitusviesti tuli lähettäjältä "[pankki]", joten asiakkaalle on ollut selvää, että kyseessä on pankilta tullut viesti mihin hänen kuuluisi reagoida. Kuten asiakkaan kuitista käy myös ilmi, tilisiirrot tehtiin 5.9. ja 6.9.2023, eli asiakkaalla olisi ollut aikaa reagoida viestiin. Kaikki alla olevat viestit on lähetetty asiakkaalle tekstiviestitse ja pankin järjestelmän mukaan kaikki viestit on onnistuneesti toimitettu asiakkaalle.
4.9.2023 klo 17.59: Koodi: XXXX [pankin] tekstiviestivahvistus
Lähettäjä: [pankki]
4.9.2023 klo 18.00: Aktivointikoodi [X]:lle. KÄYTÄ KOODIA VAIN [X]:n AKTIVOINTIIN. XXXX
Lähettäjä: [X]
4.9.2023 klo 18.01: [X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X:ää], poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.
Lähettäjä: [pankki]
4.9.2023, klo 18.04: Koodi: XXXX [pankin] tekstiviestivahvistus
Lähettäjä: [pankki]
Kirjautumisyrityksensä yhteydessä asiakas on saanut yhteensä neljä (4) tekstiviestiä. Yhdessä pankilta tulleista viestissä kerrotaan, että X aktivoituu 24 tunnin kuluttua ja kehotetaan soittamaan sulkupalveluun. Koska asiakas ei reagoinut viestiin, X aktivoitui 24 tuntia myöhemmin ja ulkopuolinen pääsi tällä X:llä hyväksymään tilisiirrot. Asiakas ei ole reagoinut tekstiviesteihin, vaikka viestit ovat tulleet pankilta samaan viestiketjuun pankin aikaisempien viestien kanssa. Yllä mainitun perusteella pankki katsoo, että asiakas on menetellyt törkeän huolimattomasti kirjautumisyrityksensä yhteydessä eikä pankki näe olevansa korvausvelvollinen asiassa.
Ratkaisusuositus
Kysymyksenasettelu
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko asiakkaan pankkitunnusten oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.
Sovellettavat lainkohdat ja sopimusehdot
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.
Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Maksupalvelulain muuttamisesta annetun lain säätämiseen johtaneessa hallituksen esityksessä HE 132/2017 vp on lain 63 §:n 1 momentin yksityiskohtaisissa perusteluissa todettu seuraavaa:
Palveluntarjoajalla olisi, kuten voimassa olevan lainkin mukaan, palautusvelvollisuus vain, jos maksutapahtuma on oikeudeton ja maksupalvelun käyttäjän vastuuta koskevasta 62 §:stä ei muuta johdu. Palveluntarjoaja voi luonnollisesti ennen palautuksen tekemistä pyrkiä selvittämään, onko maksupalvelun käyttäjä vastuussa oikeudettomasta maksutapahtumasta, mutta tällöin palveluntarjoaja kantaa yleensä — 2 momenttiin ehdotettavaa poikkeusta lukuun ottamatta — riskin siitä, että palautuksen tekemisen katsotaan viivästyneen selvittelytyöhön käytettynä aikana, jos palveluntarjoaja ei loppujen lopuksi kykene osoittamaan, että sillä ei ole palautusvelvollisuutta. Viivästymisestä voi seurata muun muassa velvollisuus maksaa palautettavalle määrälle viivästyskorkoa korkolain (633/1982) mukaisesti.
[Toisaalta palauttaminen ei automaattisesti tarkoita, että vastuun jakautuminen palveluntarjoajan ja maksupalvelun käyttäjän välillä olisi ratkaistu maksupalvelun käyttäjän hyväksi palveluntarjoajaa sitovasti. Tältä osin palveluntarjoajan menettelyn sitovuutta on arvioitava yleisten sääntöjen mukaisesti. Epäselvyyksien välttämiseksi palveluntarjoaja voi esimerkiksi välittömän palautuksen tehdessään ilmaista selkeän varauman, jolla osoitetaan, että selvitystyötä jatketaan ja että palauttaminen ei vielä sisällä palveluntarjoajan sitovaa lopullista kannanottoa osapuolten vastuunjakoon.]
Pankin Digitaalisten palvelujen yleisten ehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.
Pankkitunnusehtojen Yleistä -kohdan mukaan
"[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[…]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä."
Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan
”Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.”
Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
"Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]"
Asian arviointi
Tapahtumienkulku
Pankkilautakunta katsoo asiassa selvitetyksi, että kun asiakkaan tarkoituksena 4.9.2023 on ollut mennä tietokoneellaan verkkopankkiinsa, on hän asiaa huomaamatta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan kirjautuakseen verkkopankkiinsa. Lautakunta katsoo todennäköiseksi, että asiakas on päätynyt valesivuille selaimen osoiterivin hakutoiminnon käyttämisen seurauksena.
Tavanomaiseen verkkopankkiin kirjautumisen tapaan asiakas on käyttänyt verkkopankkiin kirjautuakseen käyttäjätunnustaan, salasanaansa, valesivuilla kirjautumista varten pyydettyä lukua tunnuslukutaulukostaan sekä pankin asiakkaan puhelinnumeroon klo 17.59 tekstiviestitse lähettämässä tekstiviestissä ollutta vahvistuskoodia. Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi ja viestin sisältö on ollut seuraavanlainen:
”Koodi: XXXX [Pankin] tekstiviestivahvistus”
Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 4.9.2023 klo 18.00 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin:
”Aktivointikoodi [X]:Ile. KÄYTÄ KOODIA VAIN [X]:n AKTIVIOINTTIN. XXXX"
Em. tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin tunnistussovelluksen nimi X.
Pankkilautakunta katsoo asiassa selvitetyksi, että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin pankin verkkosivuilta näyttäneille valesivuille. Aktivointikoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen. Pankki on tämän seurauksena lähettänyt asiakkaalle klo 18.01 tekstiviestin:
"[X]:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut [X]:tä, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun."
Tämän tekstiviestin lähettäjätietona on asiakkaan puhelimessa näkynyt pankin nimi.
Em. viestien jälkeen pankki on lähettänyt asiakkaalle vielä klo 18.04 tekstiviestiä verkkopankkiin sisäänkirjautumista varten ja asiakkaan mukaan hän pääsi verkkopankkiinsa. Pankkilautakunta katsoo todennäköiseksi, että asiakas on valesivuilla tapahtuneen kirjautumisyrityksensä jälkeen päätynyt pankin oikeille verkkosivuille, joilla asioimiseen em. viimeisin pankin tekstiviesti on liittynyt. Tapauksessa on jäänyt epäselväksi, millä tavalla asiakas on päätynyt rikollisten luomilta valesivuilta oikeille pankin verkkosivuille, mutta lautakunta pitää mahdollisena, että valesivut ovat ohjanneet asiakkaan eteenpäin pankin oikeille sivuille sen jälkeen kun rikolliset ovat saaneet tavoittelemansa pankkitunnus- ja aktivointikooditiedot tietoonsa valesivujen kautta.
Pankin tunnistussovellus X:n aktivoiduttua seuraavana päivänä rikolliset ovat sovelluksella vahvistaen kirjautuneet asiakkaan verkkopankkiin, nostaneet asiakkaan tilin turvarajaa ja tehneet 5.-6.9.2023 yhteismäärältään 99.750 euron oikeudettomat tilisiirrot ulkomaille.
Asiakkaan menettelyn arviointi
Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla ja asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan, joka koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista. Ehtojen mukaan asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä. Ehdoissa asiakas lisäksi sitoutuu noudattamaan pankin antamia ohjeita.
Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankkilautakunta katsoo tämän lisäksi, ettei yleiseen tietämykseen tapahtuma-aikana voida katsoa kuuluneen tietoa siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä. Pankki ei ole tässä tapauksessa myöskään esittänyt ohjeistaneensa asiakkaitaan verkkopalveluidensa turvalliseen käyttöön tai varoittaneensa asiakkaitaan erilaisista huijauksista ja hakukoneen käyttämisestä. Näin ollen Pankkilautakunta katsoo, ettei asiakkaan voida asiassa saadun selvityksen perusteella katsoa huolimattomuudestaan laiminlyöneen maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan verkkopankkiin ja lähtiessään käyttämään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.
Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla verkkopankkiin sisäänkirjautumista koskevan tekstiviestin sijaan X:n aktivointikoodin sisältäneen tekstiviestin X-nimiseltä lähettäjältä asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus ja jättää saamansa koodi laittamatta verkkosivuilla sille varattuun sarakkeeseen. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi ottanut itse yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Asiakkaan mukaan ensimmäisen kirjautumisyrityksen jälkeen sivusto ilmoitti, että kirjautuminen epäonnistui, ja asiakas oletti, että oli tehnyt kirjautumisessa näppäilyvirheen ja yritti kirjautua uudelleen. Asiakas ei muista saaneensa tekstiviestiä, jonka lähettäjänä olisi ollut X. Kolmannella kerralla sivusto aukeni ja asiakas sai tarkistettua tilinsä tilanteen.
Pankkilautakunta katsoo olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä. Tämän vuoksi lautakunta katsoo myös, ettei yksinomaan se, että asiakas ei ole useamman pankin tekstiviestin saamisen johdosta ymmärtänyt epäillä asiointinsa asianmukaisuutta osoita, että hän olisi menetellyt huolimattomasti pankkitunnuksiaan käyttäessään. Sen sijaan Pankkilautakunta katsoo, että huolellisesti toimiessaan asiakkaan olisi tullut kiinnittää huomiota viestien lähettäjätietoihin ja viestien sisältöihin.
Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
Pankkilautakunta katsoo pankin asiakkaalle lähettämän em. tekstiviestin olevan muotoilultaan suppea ja informaatioarvoltaan heikko ja edelleen ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on sekoittanut pankilta tekstiviestitse saamansa koodin tavanomaiseen pankin lähettämään verkkopankkiin kirjautumista koskevaan koodiin. Aktivointikoodi-tekstiviestin puutteista huolimatta se eroaa pituudeltaan tavanomaisesta verkkopankkiin kirjautumista koskevasta viestistä, sen lähettäjätietona asiakkaan puhelimessa on ollut pankin nimen sijaan X ja siinä todetaan isoin kirjaimin, että viestissä olevaa koodia käytetään vain X:n aktivointiin. Asiakkaan syötettyä viestissä olleen aktivointikoodin kiinnittämättä huomiota em. seikkoihin tekstiviestissä Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan.
Pankki on kaksi minuuttia em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle toisen tekstiviestin, jossa pankki kertoo X:n aktivoituvan 24 tunnin kuluttua ja pyytää poistamaan X:n tai soittamaan sulkupalveluun, jos ei ole itse aktivoinut X:ää. Asiakkaan mukaan hän on aina kirjautunut käyttäen tunnuslukukorttia, eikä tiedä mitä X tarkoittaa, ja koska tilillä käynti onnistui, asiakas ei osannut epäillä, että käynnissä on rikollinen toiminta. Jotta varoituksesta olisi mitään hyötyä, pitäisi sen asiakkaan näkemyksen mukaan myös olla informatiivisempi.
Pankin tunnistussovellus on aktivoitunut tekstiviestissä kerrotun mukaisesti vasta 24 tunnin kuluttua em. viestin lähettämisen jälkeen, ja näin ollen on ilmeistä, että asiassa tapahtuneelta vahingolta olisi vältytty, mikäli asiakas olisi viestissä olleen ohjeen mukaisesti esimerkiksi ollut yhteydessä sulkupalveluun. Asiakkaan jätettyä tällä tavoin huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämän tekstiviestin ohjeistuksen Pankkilautakunta asiakkaan menettelyn osoittavan hänen vakavaa varomattomuuttaan.
Ottaen kuitenkin huomioon, että asiakas on itse käyttänyt pankin digitaalisia palveluita ainoastaan paperista tunnuslukutaulukkoa käyttäen eikä hän ole käsittänyt mitä X tarkoittaa, ja hänen asiointinsa on jatkunut onnistuneesti pankin oikeassa verkkopankissa, lautakunta katsoo edellä todetusta huolimatta, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnusten oikeudettomasta käytöstä rajoittuu 50 euroon.
Viivästyskorko
Pankkilautakunta katsoo, että pankki on alun perin – jätettyään oikeudettomat maksutapahtumat havaittuaan palauttamatta maksutapahtumien rahamäärän asiakkaalleen maksupalvelulain 63 §:n edellyttämällä tavalla viimeistään seuraavana työpäivänä 7.9.2023 - ottanut riskin siitä, että palautuksen tekemisen katsotaan viivästyneen selvittelytyöhön käytettynä aikana, jos pankki ei loppujen lopuksi kykene osoittamaan, että sillä ei ole palautusvelvollisuutta. Edelleen lautakunta katsoo, että oikeudettomien maksutapahtumien jäädessä edellä esitetyin perustein pankin vastuulle 50 euroa ylittäviltä osin, on pankin maksettava asiakkaalle palautettavalle määrälle viivästyskorkoa korkolain (633/1982) mukaisesti.
Lopputulos
Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittaen. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.
Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa sekä maksaa asiakkaalle hyvitettävälle summalle korkolain (633/1982) mukaista viivästyskorkoa oikeudettomien maksutapahtumien havaitsemista seuraavasta työpäivästä 7.9.2023 lukien hyvityksen maksupäivään saakka.
Pankkilautakunta oli yksimielinen.
PANKKILAUTAKUNTA
Puheenjohtja Sillanpää
Sihteeri Hidén
Jäsenet:
Atrila
Piilo
Punakivi
Tervonen