Haku

FINE-068719

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-068719 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.12.2024

Miten vastuu asiakkaan verkkopankissa tehdystä oikeudettomasta tilisiirrosta jakautuu asiakkaan ja pankin välillä? Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

A myi autoa ja asuntovaunua tori.fi -palvelussa. A:han otti yhteyttä ostajaehdokas, jonka kanssa A sopi näytön A:n kotiin seuraavalle, 5.6.2021, päivälle. Pihaan ajoi henkilöauto, jonka kyydissä oli kolme henkilöä. Miehet tutustuivat asuntovaunuun, jonka jälkeen he siirtyivät tutustumaan myynnissä olevaan autoon. Auto koeajettiin noin 500 metriä A:n istuessa kuskin vieressä. Tämän jälkeen miehet tulivat A:n kotiin sisälle ja olivat eteisessä ja olohuoneessa. A käytti verkkopankkitunnuksiaan vieraillessaan Traficomin sivuilla saadakseen varmenteen ajoneuvon luovutusta varten. Ostaja oli kahden tai kolmen metrin päässä A:n kirjautuessaan verkkopankkiin.

Ostajasta ei tämän jälkeen kuulunut mitään, eikä A myöskään tavoittanut häntä. A:n puhelin lakkasi toimimasta 9.6.2021. Myöhemmin selvisi, että rikolliset olivat kaapanneet A:n puhelinnumeron esiintyen A:na operaattorin asiakaspalvelussa. Puhelinnumero oli siirretty yrityksen nimiin antamalla tunnistetiedoiksi A:n henkilötunnuksen loppuosa ja nimi. 10.6.2021 A havaitsi, että hänen tililtään puuttui 10 000 euroa. Myös toisen pankin tililtä puuttui varoja, jolloin A sulki tilinsä ja korttinsa.

Asiakkaan valitus

A vaatii pankkia korvaamaan 10 000 euroa.

A kertoo, ettei säilytä lompakossaan pankkitunnuksia vaan ne ovat ainoastaan hänen muistissaan. Hänen lompakkoaan ei ole anastettu. Hän ei ole toiminut pankin väittämällä tavalla törkeän huolimattomasti.

A ei ole antanut riidanalaiselle tilisiirrolle maksupalvelulaissa tarkoitettua suostumusta, joten kyse on pankkitunnusten oikeudettomasta käytöstä. A:n puhelimeen on rikollisten toimesta tilattu uusi SIM-kortti, eikä hän ole siten saanut pankilta vahvistusviestiä tilisiirrosta. A:n puhelimen SIM-kortti on vanhentunut 9.6.2021.

A tarkentaa varmenteenottotilannetta kertoen, että on pitänyt tunnuslukutaulukkoa vain hetken polviensa välissä lukiessaan tunnuslukutaulukosta tarvittavan numerosarjan. Tämän jälkeen A on laittanut sen lompakkoon. Taulukko ei ollut missään vaiheessa pöydällä. Tunnuslukutaulukko on kaksilehtinen ja se taitetaan siten, että tunnusluvut ovat taitettuna sisäänpäin yhteen. Kirjautumistunnus ja salasana ovat vain muistissa. Pankkiohjelmassa kirjautuminen ei näy näppäimistön lyönteinä numeroina tai kirjaimina vain pisteinä. Lisäksi A on pitänyt kätensä näppäimistöllä niin, että näppäilyä on ollut mahdoton kuvata. Se, miten rikolliset ovat päässeet pankkitileille on edelleen epäselvää. A:n mukaan kyseessä voi olla kirjautuminen valesivulle tai jokin muu vastaava.

A:n tiedossa on myös se, että pankki on toiselle asiakkaalle korvannut menetyksen vastaavassa tapauksessa. Rikoksentekijöiden osalta asia on syyteharkinnassa.

Pankin vastine

Pankki kiistää A:n vaatimuksen.

A:n reklamoima tilisiirto on tehty käyttäen A:n henkilökohtaisia verkkopankki-tunnuksia. Tapahtuman suorittamiseen on tarvittu verkkopankkitunnusten kaikki osat eli käyttäjätunnus, salasana ja tunnuslukutaulukko sekä A:n puhelinnumeroon lähetetty vahvistuskoodi. A:lle lähetetty maksun vahvistuskoodi on toimitettu A:n puhelinnumeroon ja pankki katsoo toimineensa tilanteessa lain edellyttämällä tavalla. Vastuu puhelinnumeron siirrossa käytetystä tunnistusmenetelmästä on A:n ja puhelinoperaattorin välinen kiista.

A on kertonut käyttäneensä verkkopankkitunnuksiaan kolmen henkilön läsnä ollessa, joista kaksi oli samassa huoneessa ja yksi eteisessä. Pankille lähettämässään viestissä A on kirjoittautunut seuraavasti: ”Kun kirjauduin Trafin sivulle autonostajat olivat silloin meillä noin klo 16.00, peitin tunnuslukulistaa sylissäni ettei sitä voinut kukaan nähdä, 2 henkilöä oli paikalla samassa huoneessa, mutta noin 2 m päässä tietokoneesta sivulla ei takana, on mahdllista, että ovat kuvanneet kännykällä , kun kirauduin Trafiin”. Rikosilmoituksessa matkaksi on määritelty kolme metriä.

Pankin näkemyksen mukaan A:n verkkopankkitunnukset eivät ole voineet joutua rikollisten käsiin kokonaisuudessaan A:n kuvaamalla tavalla. Nykyisten mobiililaitteiden kameroiden tai etenkään vuoden 2021 tasoisella mobiilikamerateknologialla ei voida tallentaa tunnuslukutaulukon sisältöä A:n kuvailemassa tilanteessa. Tunnuslukutaulukon fontti ja väritys on sellainen, että kuva tai video olisi tullut ottaa hyvin läheltä ja suorassa kulmassa tunnuslukutaulukkoon nähden, jotta tunnuslukutaulukosta olisi mahdollista saada selvää. Näin ollen pankki katsoo, että asiassa jää epäselväksi, kuinka A:n verkkopankkitunnukset ovat päätyneet rikollisten haltuun.

A:n on täytynyt käyttää pankkitunnuksiaan niin huolimattomasti, että ne on päästy taltioimaan hyvin läheltä; esimerkiksi suoraan takaa tai vaihtoehtoisesti A on säilyttänyt tunnuslukutaulukkoaan niin huolimattomasti, että rikolliset ovat voineet varastaa tunnuslukutaulukon A:lta ja palauttaa sen A:n huomaamatta sekä taltioimaan käyttäjätunnuksen ja salasanan. Kun asunnossa on ollut useampi tuntematon ihminen, A:n olisi tullut kiinnittää erityistä huomiota verkkopankkitunnusten käytön turvallisuuteen ja siihen, että verkkopankkitunnusten kaikki osat ovat koko ajan A:n hallussa ja valvonnassa.

Näin ollen pankki katsoo A:n toimineen pankkitunnusehtojen tunnistusvälineiden säilyttämistä koskevan kohdan vastaisesti säilyttäessään pankkitunnuksiaan niin huolimattomasti, että tuntematon henkilö on voinut varastaa ja palauttaa tunnuslukulistan. Lisäksi A on käyttänyt verkkopankkitunnuksiaan kolmen tuntemattoman ihmisen ollessa hänen asunnossaan niin huolimattomasti, että käyttäjätunnus ja salasana on pystytty taltioimaan.

A:n verkkopankkitunnukset ja tekstiviestinä lähetetty maksun vahvistuskoodi ovat päätyneet rikollisille ja pankki katsoo, että A:n on täytynyt toimia maksupalvelulaissa tarkoitetulla tavalla törkeän huolimattomasti säilyttäessään verkkopankkitunnuksiaan ja vastaavan hänen verkkopankkitunnuksillaan tehdystä tilisiirrosta täysimääräisesti.

Selvitykset

Osapuolten välisen kirjeenvaihdon lisäksi lautakunnalle on toimitettu:
- Pankin digitaalisten palveluiden ja tunnistusvälineiden yleiset ehdot, voimassa 22.2.2021 alkaen.
- Tutkintailmoitus.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät.) mukaan
Tässä laissa tarkoitetaan:
25)henkilökohtaisilla turvatunnuksilla henkilökohtaisia toimintoja, jotka palveluntarjoaja antaa maksupalvelun käyttäjälle tunnistamistarkoituksiin;

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Palveluntarjoajan on osaltaan varmistettava, että muilla kuin maksuvälineen haltijalla ei ole pääsyä maksuvälineeseen liittyviin henkilökohtaisiin turvatunnuksiin.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 3 momenttien mukaan
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
[…]

22.2.2021 alkaen voimassa olleiden pankin digitaalisten palvelujen ja tunnistusvälineiden yleisten ehtojen (pankkitunnusehdot) tunnistusvälineiden säilyttämistä koskevan kohdan mukaan:
Verkkopankkitunnukset ja laitteeseen ladattu [pankin mobiilisovelluksen] tunnistaminen ovat henkilökohtaisia. Niitä ei saa osittainkaan luovuttaa tai antaa tiedoksi sivulliselle henkilölle, vaikka kyseessä olisi perheenjäsen, eikä erilliselle sovellukselle tai palvelulle.
Tällä sopimuksella sitoudut säilyttämään tunnistusvälineitä huolellisesti ja varmistamaan säännöllisesti, että ne ovat tallessa. Et saa kirjoittaa verkkopankin tai [pankin mobiilisovelluksen] tunnuslukuasi muistiin helposti tunnistettavaan muotoon. Sitoudut myös säilyttämään verkkopankin käyttäjätunnuksen, mahdollisesti muistiin merkitsemäsi salasanan ja tunnusluvut sisältävät tulosteet erillään toisistaan siten, ettei kukaan voi yhdistää niitä toisiinsa.
[…]
Muiden ihmisten läsnäollessa suojaa käyttämäsi laite kädelläsi tai kehollasi, kun kirjaudut verkko-pankkiin. Näin sivulliset eivät pääse näkemään, kun näppäilet verkkopankkitunnuksen tai [pankin mobiilisovelluksen] tunnusluvun. […]

Asian arviointi

Tapahtumainkulku

Pankkilautakunta pitää asiassa selvitettynä, että A:n pankkitunnukset päätyivät rikollisten tietoon ajoneuvon myyntitilanteessa A:n kotona hänen kirjautuessaan Traficomin sivuille aiemmin tuntemattomien henkilöiden läsnä ollessa. Riidanalaista on, millä keinoilla rikolliset onnistuivat ko. tilanteessa samaan tietoonsa A:n pankkitunnustiedot.

Tämän osalta Pankkilautakunta katsoo asiassa saadun selvityksen perusteella, että A:n pankkitunnusten käyttäjätunnuksen ja salasanan on täytynyt päätyä sivullisen tietoon A:n näppäillessä niitä tietokoneensa näppäimistölle, ja että tämä on tapahtunut joko niin, että sivullinen on onnistunut suoraan näkemään A:n näppäilyn tai videoimaan sen A:n huomaamatta. Lisäksi lautakunta katsoo, että avainlukukortin sisällön on täytynyt kokonaisuudessaan päätyä tekijöiden tietoon ja tämä on todennäköisesti tapahtunut siten, että sivullinen on onnistunut A:n huomaamatta kuvaamaan avainlukukortin A:n oman verkkoasioinnin aikana.

Tapauksessa on riidatonta, että tekijät ovat onnistuneet tilaamaan A:n operaattorilta A:n puhelinnumeroon liitetyn uuden SIM-kortin, minkä seurauksena tekijät ovat vastaanottaneet omaan puhelimeensa A:lle lähetetyn tilisiirron vahvistamista koskevan tekstiviestin, joka on sisältänyt tilisiirron vahvistuskoodin. Asiassa toimitetun asiakirja-aineiston perusteella uuden SIM-kortin tilaamiseen ei ole tarvittu A:n verkkopankkitunnuksia, ja tunnistetiedoiksi on riittänyt A:n henkilötunnuksen loppuosa ja nimi.

Vastuu turvatunnusten lähettämisestä maksajalle

Pankki on vastauksessaan esittänyt, että vastuu puhelinnumeron siirrossa käytetystä tunnistusmenetelmästä on A:n ja puhelinoperaattorin välinen kiista. Tämän osalta Pankkilautakunta toteaa, että maksupalvelulain 53§:n 2 momentin mukaan maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne. Lainkohdan 3 momentissa on palveluntarjoajalle asetettu velvollisuus osaltaan varmistaa, että muilla kuin maksuvälineen haltijalla ei ole pääsyä maksuvälineeseen liittyviin henkilökohtaisiin turvatunnuksiin. Maksupalvelulain esitöiden (HE 169/2009 vp, s.69) mukaan palveluntarjoajan on kannettava riski, joka aiheutuu maksuvälineen tai siihen liitettyjen henkilökohtaisten turvatekijöiden lähettämisestä maksajalle. Esitöissä todetusti vastuu siirtyy vasta, kun maksuvälineen haltija on tosiasiallisesti vastaanottanut maksuvälineen ja siihen liittyvät tunnistetiedot.

Asiassa on riidatonta, ettei A ole tosiasiallisesti vastaanottanut tekstiviestitse lähetettyä maksun vahvistamista koskevaa turvatunnusta vaan se on mennyt rikoksentekijöille operaattorin sallittua numeron siirto toiseen SIM-korttiin ilman verkkopankkitunnuksia. Em. perusteella lautakunta katsoo, ettei A:n vastuu tämän maksuvälineeseen liittyvän turvatunnuksen osalta ole alkanut. Koska numeron siirrossa ei ole käytetty maksuvälinettä, lautakunta katsoo lisäksi, ettei ko. seikkaan liity muutoinkaan maksupalvelulaissa tarkoitettua maksuvälineen haltijan huolimattomuutta.

Maksuvälineen haltijan menettelyn arviointi

Asiaan soveltuvien pankkitunnusehtojen mukaan tunnuksia muiden läsnä ollessa käyttävän tulee suojata käyttämänsä laite kirjautuessaan verkkopankkiin, jotta sivulliset eivät pääse näkemään, kun hän näppäilee verkkopankkitunnuksensa tai pankin mobiilisovelluksen tunnusluvun.

Pankkilautakunta toteaa, että siihen, mitä yksittäisen tilanteen kohdalla tunnustenhaltijan huolellisuudelta voidaan edellyttää, vaikuttavat tapahtumaa ympäröivät olosuhteet, joihin myös huolellisen tunnustenhaltijan tulisi kiinnittää erityistä huomioita. Käytettäessä tunnuksia sivullisten läsnä ollessa tulisi huolellisen tunnustenhaltijan kiinnittää erityistä huomiota mm. käyttäjätunnuksen ja salasanan näppäilyn suojaamiseen siten, etteivät ne päätyisi sivullisen tietoon. Tilanteessa, jossa tunnustenhaltija ei voi varmistua tunnustensa turvallisesta käyttämisestä ja siitä, etteivät tunnusten osa tai osat päädy sivullisen tietoon, olisi huolellisen tunnustenhaltijan lautakunnan näkemyksen mukaan pidättäydyttävä tunnusten käytöstä. 

Tässä tapauksessa myyntitilanne, jossa ostajaehdokkaat halusivat nähdä ostettavan ajoneuvon varmenteen, ei itsessään ole epäilyttävä eikä pankkitunnusten käyttö kyseisessä tarkoituksessa osoita A:n huolimattomuutta. A on kuitenkin tapauksessa käyttänyt pankkitunnuksiaan samassa tilassa tuntemattomien henkilöiden läsnä ollessa sellaisella tavalla, että tunnukset ovat päätyneet ulkopuolisten tietoon. Pankkilautakunta katsoo tämän ja erityisesti avainlukulistan kuvaamisen onnistumisen osoittavan A:n vakavaa varomattomuutta tunnustensa asianmukaisen suojaamisen osalta. Em. perusteella Pankkilautakunta katsoo tunnusten päätymisen sivullisten tietoon johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan.

Ottaen huomioon asiassa saadun kokonaisselvityksen ja sen, että maksun tekstiviestivahvistus ei ole saavuttanut asiakasta vaan on mennyt suoraan oikeudettoman maksun tehneelle rikolliselle, lautakunta katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita kuitenkaan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu tapauksessa 50 euroon.

Asiassa ei ole myöskään ilmennyt seikkoja, joiden perusteella Pankkilautakunnan olisi syytä arvioida nyt käsiteltävänä olevaa tapausta Pankkilautakunnan aiemmin vastaavanlaisessa tapauksessa antamastaan ratkaisusta FINE-060159 (ratkaisu annettu 29.11.2023) poikkeavalla tavalla.                                                                                                                                              

Lopputulos

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä