Haku

FINE-068327

Tulosta

Asianumero: FINE-068327 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 31.01.2024

Miten vastuu asiakkaan korttitiedoilla verkossa tehdystä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetusta korttimaksusta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakas on joutunut huijatuksi, kun häneen on otettu yhteyttä Booking.com-sovelluksen viestien kautta hänen tekemäänsä todelliseen hotellivaraukseen liittyen ko. hotellin nimissä. Tämän seurauksena asiakkaan kortin tiedoilla on tehty verkossa 6.9.2023 klo 18.18 1.778 euron suuruinen korttimaksu. Em. maksu on vahvistettu asiakkaan puhelimessa olevalla pankin tunnistussovelluksella.

Asiakkaan valitus

Asiakas vaatii pankilta 1.778 euron hyvitystä.

Asiakas oli lähdössä vuodenvaihteessa 2023-2024 perheensä kanssa omatoimimatkalle ja majoitukset hän oli ostanut Booking.comiIta jo alkuvuodesta 2023. Asiakas oli ollut jo keväällä yhteydessä Booking.comin apin kautta yhteen lomamatkan hotelliin varauksen yksityiskohdista ja 6.9.2023 hän sai tähän samaan appiin samasta hotellista viestin, jossa edellytettiin luottokorttitietojen vahvistamista taikka muutoin hotellivaraus perutaan. Viesti tuli jatkumona aikaisempaan keskusteluun. Kyseessä siis ei ollut sähköpostiviesti, jossa näitä tietoja olisi udeltu. Luottokorttitietojen vahvistus korreloi hotellin tulevaan laskun summaan, 1.118 euroa. Osoittautui, että kyseessä oli siis Booking.comin järjestelmään hakkeroitunut, ulkoinen taho, joka onnistui pääsemään Booking.comin palomuurin sisälle ja poimimaan asiakkaan aikaisemman keskustelun kyseisen hotellin kanssa ja esiintymään asiakkaalle kyseisenä hotellina.

Asiakas ei ole mielestään ole ollut erityisen huolimaton. Asiakas ymmärtää, että kortinhaltijalla on vastuu kortin huolellisesta käytöstä, mutta se että ulkoinen taho pääsee murtautumaan niinkin merkittävän toimijan kuin Booking.comin tietojärjestelmään ja esiintymään asiakkaille heidän omassa apissaan kohdehotellina, ei asiakkaan mielestä ole asiakkaan kohdalla osoitus huolimattomuudesta. Kuvaavaa on, että asiakkaan soittaessa pankkiin heti seuraavana päivänä ei asiakasta ensin puhelimessa palvellut virkailija myöskään tunnistanut tapahtumaa huijaukseksi, vaan asia valkeni vasta asiakkaan soittaessa uudelleen.

Pankki katsoo, että koska kyseinen veloitus on vahvistettu pankin myöntämillä sähköisillä tunnistusvälineillä, jää veloitus asiakkaan maksettavaksi. Asiakas ei voi ymmärtää tätä. Netissä tapahtuvissa ostoissa käytetään hyvin usein juuri näitä sähköisiä tunnisteita eikä asiakas voi käsittää, miten siinä tapauksessa ostotapahtuman riskinotto ja vastuu kuuluisi yksinomaan kortinhaltijalle. Mielestään asiakas ei ole syyllistynyt holtittomuuteen tai erityiseen vastuuttomuuteen käyttäessään luottokorttiaan. Edes pankin virkailija ei tunnistanut tapahtumaa huijaukseksi. Asiakkaan mielestä kortinmyöntäjän olisi primaaristi pitänyt lähestyä Booking.com-sivustoa tästä virheestä. Booking.comin virheen ja huolimattomuuden vuoksi tämä on tapahtunut, mistä on tullut seuraamuksia niin asiakkaalle kuin pankillekin. Se, että pankki kaataa vastuun tapauksessa kortinhaltijan niskaan on asiakkaan mielestä osoitus haluttomuudesta selvittää mitä todellisuudessa on tapahtunut ja mikä on kohtuullista.

Pankin vastine

Pankkitunnuksilla vahvistettu maksu

Valitettavasti pankki ei jaa asiakkaan näkemystä vastuunjaosta. Laki, sopimusehdot ja vastaavissa tapauksissa noudatettu ratkaisukäytäntö puoltavat sitä, ettei kyse ole ollut oikeudettomasta maksutapahtumasta, josta aiheutuneesta vahingosta pankki vastaisi. Näin siksi, että asiakas on antanut maksutapahtuman veloittamiseen suostumuksensa, vaikkakin jälkikäteen vääriksi osoittautuneisiin tietoihin luottaen.

Tapahtumainkulku

Asiakas kertoo, että hän sai Booking.com-sovellukseensa viestin hotellilta, johon hän oli tehnyt varauksen Booking.com-palvelun kautta. Viestissä pyydettiin luottokorttitietojen vahvistamista hotellivarauksen peruutuksen uhalla. Asiakas siirtyi viestissä olleesta linkistä sivustolle, jossa korttimaksu tehtiin. Asiakas vahvisti maksun pankin tunnistussovelluksessaan, jossa hänelle näytettiin seuraavat tiedot:
6.9.2023 Klo 18:18:24.742
Nets pyytää vahvistusta
Haluatko suorittaa Mastercard korttimaksun?
Saaja: SENDAPP
Summa: 1 778,00 EUR
Kortti: **** **** **** 0809
Aika: 6.9.2023

Tapahtuma vahvistettu
6.9.2023 klo 18:18:27.382

Pankin käsityksen mukaan riidanalaisesta maksusta aiheutunut vahinko liittyy asiakkaaseen kohdistuneeseen internet-petokseen, jossa rikollistaho ensin pääsee käsiksi hotellin asiakastietoihin, ja voi siten lähestyä aidolta vaikuttavalla viestillä todellisen hotellivarauksen tehnyttä asiakasta. Tällaisessa petosmuodossa viesti tulee oikeasta lähteestä, mutta sitä ei lähetä hotelli vaan sivullinen taho. Rikollistahon viesteihin sisältyy linkki, jonka takana olevalla sivustolla pyydetään asiakkaan korttitietoja maksun tekemiseksi.

Sovellettava lainsäädäntö ja sopimusehdot

Maksupalvelulain 38 §:n mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla. Pankin ja asiakkaan korttisopimukseen sovelletaan pankin korttiehtoja ja sopimukseen pankkitunnuksista sovelletaan pankin pankkitunnuksilla käytettävien palvelujen yleisiä sopimusehtoja.

Vastuu pankkitunnuksilla vahvistetusta korttimaksusta

Riidanalainen maksutapahtuma johtuu ns. spear phishing -tyyppisestä tietojen-kalastelusta, jossa asiakkaan erehdyttämisessä hyväksikäytetään hänen omia hotellivaraus- ja henkilötietojaan. Yhteydenotto voi ensivaiheessa tuntua luotettavalta, sillä viesti vaikuttaisi tulevan ns. oikeaa kanavaa pitkin. Sama luottamus voi ulottua myös pankin pankkipalveluiden käyttöön, vaikka riidan kohteena olevan maksun takana on petos.

Pahoiteltava erehtyminen maksun todellisesta luonteesta ei kuitenkaan siirrä vastuuta maksutapahtumasta pankille, kun maksutapahtuma tehdään asiakkaan suostumuksella käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Riidanalainen maksu jää asiakkaan vastuulle, sillä se on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot (mm. maksunsaajan nimi ja summa) näytetään myös korttimaksun yhteydessä. Kun asiakas antaa nämä tiedot hyväksyessään pankille suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka maksu jälkikäteen osoittautuisikin liittyvän tietojenkalasteluun ja verkkorikollisuuteen. Siksi pankilla ei ole mahdollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevasta maksusta.

Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vastuun piiriin.

Selvitykset

Valitus koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin korttiehdot
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Kuvakaappauksia asiakkaan ja rikollisten välisistä viesteistä booking.com-sovelluksessa

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. korttitapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin korttiehdot ja pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot (Pankkitunnusehdot).

Korttiehtojen Kortinhaltijan vastuu -kohdan mukaan

Kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan [pankille] tai muun korttiominaisuuden myöntäneelle yritykselle:
- hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla [pankin] hyväksymällä tunnisteella.

- käyttämällä korttia internetissä
- […]

Korttiehtojen Kortin käyttäminen -kohdan mukaan

”[…]
Ennen korttitapahtuman hyväksymistä, kuten tunnusluvun näppäilemistä, muun pankin hyväksymän tunnisteen tai lähimaksuominaisuuden käyttämistä, kortinhaltijan on tarkistettava tapahtumaan merkityn valuutan, maksun määrän ja maksutavan oikeellisuus.
[…]

Korttiehtojen [Pankin] oikeudet -kohdan mukaan

[Pankilla] on oikeus vastata kortilla tehtyä käteisnosto ja/tai korttiostotapahtumaa koskevaan katetiedusteluun ja varata tapahtumalle kate korttiin liitetyltä tililtä.
[Pankki] on oikeutettu veloittamaan korttiin liitetyltä tililtä käteisnostot ja maksut, jotka kortinhaltija on hyväksynyt esim. käyttämällä korttia yhdessä tunnusluvun kanssa tai muun [pankin] hyväksymän tunnisteen kanssa, käyttämällä korttia internetissä, […]. [Pankki] vastaa siitä, että veloitukset kirjataan korttiin liitetylle tilille.
[…]

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan

Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Asian arviointi

Pankkilautakunta katsoo tapauksessa olevan riidatonta, että asiakas on itse vahvistanut ko. korttimaksun puhelimessaan olleella pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen maksun vahvistuksen antamista näkynyt asianmukaisesti korttimaksun tiedot mukaan lukien maksun euromäärä ja saaja sekä lukenut seuraavaa: ”Nets pyytää vahvistusta. Haluatko suorittaa Mastercard korttimaksun?” Pankkilautakunta katsoo riidattomaksi, että ennen vahvistuksen antamista asiakas on nähnyt tunnistussovelluksessaan vahvistettavan tapahtuman tiedot.

Vaikka asiakas on antanut em. vahvistuksen tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja korttiehtojen mukaisen suostumuksensa pankille maksutapahtuman veloittamiselle korttiinsa liitetyltä tililtä. Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole perusteita pankin vastuulle korttimaksusta asiakkaalle aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      T
Sihteeri Hidén

Jäsenet

Atrila
Makkonen
Piilo
Punakivi

Tulosta