Haku

FINE-072225

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-072225 (2024)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.12.2024

Miten vastuu pankin tunnistussovelluksella vahvistetuista tilisiirroista ja kortin tiedoilla verkossa tehdyistä maksuista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Asiakas on saanut rikollisten verottajan nimissä lähettämän sähköpostin, jossa olleen linkin kautta asiakas on päätynyt asioimaan rikollisten luomille valesivuille. Asiakas on syöttänyt sivuille korttitietonsa ja pankkitunnustietojaan.

Rikolliset ovat ladanneet ja aktivoineet käyttöönsä 13.12.2023 klo 5.50 asiakkaan nimissä olevan pankin tunnistussovelluksen, mikä on edellyttänyt asiakkaan verkkopankin käyttäjätunnusta sekä pankin asiakkaalle klo 5.47 tekstiviestitse lähettämää aktivointikoodia ja sähköpostitse lähettämää väliaikaista PIN-koodia.

Asiakkaan verkkopankkiin on kirjauduttu em. pankin tunnistussovelluksella vahvistaen ja verkkopankissa on tunnistussovelluksella vahvistaen tehty 13.12.2023 klo 6.35-7.02 kolme oikeudetonta tilisiirtoa yhteisarvoltaan 5.500 euroa ja lisäksi klo 7.01 920,00 euron siirto asiakkaan luottokortilta. Asiakkaan kortin tiedoilla on tehty verkossa pankin tunnistussovelluksella vahvistaen 13.12.2023 klo 6.14-7.00 välisenä aikana kuusi korttimaksua yhteisarvoltaan 4.068,64 euroa.

Pankki on sulkenut asiakkaan verkkopankkitunnukset 13.12.2023 klo 8.14.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan menetetyt varat.

Asiakas vastasi verottajan sähköpostiin, tunnistautui pankin sivuilla pankkitunnuksilla ja sen jälkeen ohjeiden mukaan naputteli myös luottokorttinsa numeron ja kortin kolmenumeroisen pin-koodin. Sen jälkeen pankki sulki asiakkaan tilin epäillen, että ne on kaapattu. Seuraavan kerran kun asiakas pääsi tililleen oli sieltä viety noin 9.500 euroa. Asiakas teki rikosilmoituksen ja pankkiin reklamaation, johon sai vastauksen että on itse hyväksynyt nämä siirrot, vaikka ei ole. Asiakas ei ole myöskään antanut sähköpostissa tullutta koodia eikä tekstiviestillä lähetettyä koodia mihinkään sivustoille eikä muuallekaan. Pankin vastaukset, joiden mukaan asiakas olisi antanut heidän lähettämänsä numerot/koodit (2 kpl) huijaussivulle, tarkoittavat, että asiakas valehtelee asiassa.

Lisäksi asiakkaan nimissä oli avattu 5g-liittymä ja siellä oli joku outo sähköpostinimi. Sähköposti ei ole asiakkaan ja puhelinnumero ei myöskään ole asiakkaan, eikä asiakas tiedä liittyykö nämä tähän asiaan.

Pankin vastine

Asiakas vaatii pankkia korvaamaan 9.598,24 euron vahingon. Pankki kiistää vaatimukset ja katsoo, ettei vastuu kortti- ja tilitapahtumista kuulu maksupalvelulain ja pankin ehtojen mukaan pankin vastattavaksi.

Pankin havainnot tapahtumainkulusta

Pankin selvityksen mukaan asiakas on luultavasti saanut verottajan nimissä lähetetyn kalasteluviestin ja linkin kautta päätynyt huijaussivustolle, jonne verkkopankkitunnukset on syötetty ja täten luultavimmin päätyneet ulkopuolisen tietoon. Asiakkaan verkkopankkitunnuksille on luotu uusi pankin tunnistussovellus, jolla riidanalaiset korttimaksut ja tilisiirrot on vahvistettu.

Asiakkaan verkkopankkitunnuksilla on aktivoitu uusi pankin tunnistussovellus tilaamalla väliaikainen PIN-koodi sähköpostiin. Uusi pankin tunnistussovellus on aktivoitu 13.12.2023 klo 05:50:21. Aktivointikoodi on toimitettu tekstiviestillä. Kyseiset koodit on toimitettu pankin tiedossa olleeseen asiakkaan puhelinnumeroon ja sähköpostiosoitteeseen klo 5:47:36.

Sähköposti, jolla pankin tunnistussovelluksen aktivointiin tarvittava väliaikainen PIN-koodi on toimitettu, on sisällöltään ollut seuraava:
Hyvä asiakas,
Väliaikainen PIN-koodisi [Pankin tunnistussovellus] -sovellukseen on tämän viestin lopussa. Pidäthän väliaikaisen PIN-koodisi salassa muilta. Älä anna koodia edes viranomaisille tai [pankin] työntekijöille. Lisätietoja [pankin tunnistussovellus] -sovelluksesta löydät verkkosivuiltamme osoitteessa [pankki].fi.
Jos epäilet, että joku muu on saanut pääsyn [pankin tunnistussovellus] -sovellukseesi, ota välittömästi yhteyttä [pankin] Asiakaspalveluun.
· Henkilöasiakkaat, puh. xxxx xxxx
· Yritysasiakkaat, puh. xxxx xxxx
Terveisin
Pankki]

Tekstiviesti, jolla pankin tunnistussovelluksen aktivointiin tarvittava aktivointikoodi on toimitettu, on sisällöltään ollut seuraava:
Olet aktivoimassa uutta [pankin tunnistussovellus]-sovellusta. Aktivointikoodisi on tämän viestin lopussa. Syötä koodi ainoastaan sille mobiililaitteelle, jolle olet itse aktivoimassa [pankin tunnistussovellus] -sovellusta. Ystävällisin terveisin, [pankki]
Du finner koden för att aktivera appen [pankin tunnistussovellus] i slutet av meddelandet. Använd koden endast för att aktivera appen [pankin tunnistussovellus] på en betrodd mobil enhet. Med vänliga hälsningar, [pankki]
Your activation code for the [pankin tunnistussovellus] app is at the end of this message. Use the activation code only to activate the [pankin tunnistussovellus] app on your trusted mobile phone or tablet. Best regards [pankki]

Asiakas on viitannut hänen nimissään avattuun puhelinnumeroon ja operaattorin tiedoissa olevaan vieraaseen sähköpostiosoitteeseen ja kysynyt, onkohan niihin lähetetty aktivointi-/PIN-koodeja, koska asiakas ei kertomansa mukaan ole niitä käyttänyt millään sivustolla.

Puhelinnumeron ja sähköpostin päivittäminen pankin tietoihin olisi edellyttänyt erillistä vahvistusta pankin tunnistussovelluksella. Kyseisten yhteystietojen päivittämistä ei ole 13.12.2023 vahvistettu asiakkaan tunnistussovelluksella eli yhteystietoja ei ole 13.12.2023 päivitetty. Jos puhelinnumeroa tai sähköpostiosoitetta olisi 13.12.2023 muutettu olisi tunnistussovelluksen aktivointiin tarvittava aktivointikoodi ja väliaikainen PIN-koodi lähetetty vasta 24 tunnin kuluttua. Tällöin aktivointikoodi ja väliaikainen PIN-koodi olisi ollut mahdollista lähettää vasta 14.12.2023.

Verkkopankkiin on uuden pankin tunnistussovelluksen aktivoinnin jälkeen kirjauduttu kyseisellä uudella sovelluksella. Verkkopankissa on tehty kolme maksua, jotka on vahvistettu uudella tunnistussovelluksella:
13.12.2023 klo 6:35 1200,00 EUR saaja: X
13.12.2023 klo 6:36 2800,00 EUR saaja: Y
13.12.2023 klo 7:02 1500,00 EUR saaja: Z
Lisäksi 13.12.2023 klo 7:01 on tehty 920,00 euron siirto luottokortilta.

Asiakkaan kortilla on tehty kuusi kappaletta korttimaksuja, jotka on vahvistettu uudella pankin tunnistus sovelluksella:
13.12.2023 klo 6:14 BNEXT ELECTRONIC ISSUE 500,00 EUR
13.12.2023 klo 6:15 BNEXT ELECTRONIC ISSUE 500,00 EUR
13.12.2023 klo 6:16 BNEXT ELECTRONIC ISSUE 200,00 EUR
13.12.2023 klo 6:20 Worldremit 949,95 EUR
13.12.2023 klo 6:28 Worldremit 962,48 EUR
13.12.2023 klo 7:00 Worldremit 956,21 EUR

Verkkopankkitunnukset on estetty pankin toimesta 13.12.2023 klo 8:14.

Sovellettava laki ja sopimusehdot

Pankki viittaa maksupalvelulain 53 §:än, 54 §:n 1 momenttiin ja 62 §:än sekä pankkitunnusten käyttöön sovellettaviin sopimusehtoihinsa ja pankkitunnusten turvallinen käyttö -ohjeeseensa. Lisäksi pankki viittaa korttiin sovellettaviin sopimusehtoihinsa.

Vastuu riidanalaisista kortti- ja tilitapahtumista

Asiakkaan pankkitunnukset (käyttäjätunnus, aktivointikoodi, väliaikainen PIN-koodi) ja korttitiedot sekä kortin turvaluku ovat pankin käsityksen mukaan päätyneet ulkopuolisen tietoon tietojen kalastelun seurauksena. Pankin näkemyksen mukaan riidanalaiset korttitapahtumat ja tilisiirrot kuuluvat maksupalvelulain ja sopimusehtojen mukaan asiakkaan vastuulle, sillä asiakas on laiminlyönyt maksupalvelulain ja sopimusehtojen mukaiset velvollisuutensa huolehtia maksuvälineestä ja turvatunnuksesta.

Asiakkaan verkkopankkitunnuksilla on luotu uusi pankin tunnistussovellus, jolla riidanalaiset maksut on vahvistettu. Sovelluksen aktivointia varten on tarvittu verkkopankin käyttäjätunnus, puhelinnumero, tekstiviestillä toimitettu aktivointikoodi sekä sähköpostilla toimitettu väliaikainen PIN-koodi. Pankin tiedoissa olevaan asiakkaan puhelinnumeroon ja sähköpostiosoitteeseen on lähetetty pankin tunnistussovelluksen aktivointiin tarvittava aktivointikoodi ja väliaikainen PIN-koodi. Tekstiviestissä on kehotettu syöttämään aktivointikoodi ainoastaan sille mobiililaitteelle, jolle asiakas itse on aktivoimassa pankin tunnistussovellusta. Sähköpostista käy ilmi, että väliaikainen PIN-koodi on pankin tunnistussovellusta varten. Lisäksi asiakasta kehotetaan olemaan välittömästi yhteydessä pankin asiakaspalveluun asiakkaan epäillessä, että joku muu on saanut pääsyn pankin tunnistussovellukseen.

Asiakkaalle lähetettyjen viestien sisällöstä huolimatta asiakas on antanut koodit huijaussivustolle/sivulliselle, koska uusi pankin tunnistussovellus on onnistuttu aktivoimaan. Pankki katsoo, että tekstiviestin ja sähköpostin sisältö on ollut informatiivista ja täsmällistä, koska tekstiviestissä ja sähköpostissa kerrotaan mihin aktivointikoodia käytetään ja sähköpostissa lisäksi ohjeistetaan ottamaan yhteys pankkiin huijausta epäillessä. Viestit lukemalla asiakkaan olisi pitänyt kiinnittää huomiota siihen, mitä pankki viesteissään kertoo ja pidättäytyä koodien syöttämisestä huijaussivustolle, koska aktivointikoodi ohjeistettiin syöttämään ainoastaan laitteelle, jolle asiakas itse oli aktivoimassa pankin tunnistussovellusta. Kokonaisarvion perusteella pankki katsoo asiakkaan toiminnan olleen maksupalvelulaissa ja sopimusehdoissa tarkoitettua törkeää huolimattomuutta.

Korttimaksamiseen verkossa tarvittavaa kortin koko numeroa ja kolminumeroista turvalukua ei ole saatavissa verkkopankissa. Nämä ilmenevät ainoastaan fyysisestä kortista, jolloin asiakkaan on täytynyt luovuttaa kyseiset tiedot sivulliselle. Asiakkaan kertomasta ei selviä, miksi hän on luovuttanut korttitietojaan sivulliselle. Pankki toteaa, että lähtökohtaisesti asiakas on näitä tietoja antaessaan toiminut korttiehtojen vastaisesti, mutta korttimaksuistakin aiheutuneen vahingon on mahdollistanut ennen kaikkea edellä selostettu asiakkaan törkeä huolimattomuus, joka on mahdollistanut pankin tunnistussovelluksen aktivoinnin sivullisen toimesta.

Pankki on hyvin pahoillaan tapahtuneesta, mutta maksupalvelulain ja sopimusehtojen nojalla pankki ei nähdäkseen ole vastuussa asiakkaalle aiheutuneesta valitettavasta vahingosta.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Kuvakaappauksia asiakkaan pankilta saamista tekstiviesteistä
- Kuvakaappaus asiakkaan pankilta saamasta 13.12.2023 sähköpostista
- Kuvakaappauksia asiakkaan operaattorin asiointipalvelusta
- Korttiehdot 08.2022
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Pankkitunnusten turvallinen käyttö 10.2018

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan 
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin korttiehtojen kohta, joka koskee kortinhaltijan vastuuta kortin oikeudettomasta käytöstä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen Kortin käyttö internetissä -kohdan mukaan
Kortinhaltija voi kortin numeron, kortin voimassaoloaikatiedon, kortin kääntöpuolella olevan kolminumeroisen turvaluvun ja tarvittavien tunnusten, esimerkiksi pankkitunnusten, avulla maksaa ostamiaan tuotteita tai palveluita internetissä.
[…]

Korttiehtojen Kortin säilyttäminen -kohdan mukaan
Kortinhaltija sitoutuu säilyttämään korttiaan ja tunnuslukuaan huolellisesti. Tunnusluku on säilytettävä erillään kortista siten, ettei sivullisen ole mahdollista saada tunnuslukua tietoonsa eikä yhdistää sitä korttiin. Kortinhaltija on velvollinen toteuttamaan kaikki kohtuullisiksi katsottavat toimet säilyttääkseen kortin ja tunnusluvun turvallisesti ja erillään toisistaan, jotta kortti tai tunnusluku ei joutuisi sivullisen haltuun tai tietoon. Kortinhaltija sitoutuu hävittämään Nordeasta saamansa tunnusluvun ja olemaan kirjaamatta Nordeasta saamaansa tai itse valitsemaansa tunnuslukua helposti tunnistettavaan muotoon.
[…]

Korttiehtojen Kortin kadottaminen -kohdan mukaan
Kortinhaltijan on viipymättä ilmoitettava [pankille] kortin katoamisesta, joutumisesta sivullisen haltuun, jäämisestä ulkomailla automaattiin sekä tunnusluvun joutumisesta sivullisen tietoon tai haltuun. […] 

Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen (Pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta tunnistautumistietojen oikeudettomasta käytöstä verkkopankkipalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Pankkitunnusehtojen Tunnistautumistietojen käyttäminen -kohdan mukaan
[…] Tunnistautumistietojen käyttöä koskevat ohjeet pankki ilmoittaa pankki- tunnusten turvallista käyttöä koskevissa ohjeissaan.

Pankkitunnusehtojen Tunnistautumistietojen käyttö vahvaan sähköiseen tunnistautumiseen -kohdan mukaan
Tunnistautumistiedoilla kuluttaja-asiakas voi tunnistautua myös muussa- vahvaa sähköistä tunnistamista käyttävässä palvelussa siten kuin laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (617/2009) säädetään (jäljempänä "vahva sähköinen tunniste").
[…]

Pankkitunnusehtojen Tunnistautumistietojen säilyttäminen ja vastuu niiden käyttämisestä -ehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -alakohdan mukaan
Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
[…]
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. Asiakkaan käyttäessä useita tunnistautumistietoja asiakas on velvollinen ilmoitusta tehdessään nimeämään ne tunnistautumistiedot, jotka ovat kadonneet taikka joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun. Mikäli asiakas ei pysty nimeämään kyseessä olevia tunnistautumistietoja, pankilla on oikeus sulkea tai keskeyttää kaikkien asiakkaan käytössä olevien tunnistautumistietojen käyttö asiakkaan vastatessa mahdollista kustannuksista ja vahingoista. Ilmoituksen voi tehdä henkilökohtaisesti Suomessa oleviin pankin konttoreihin niiden aukioloaikoina tai puhelimitse pankin asiakaspalveluun sen aukioloaikoina. Ilmoituksen voi tehdä asiakaspalvelun aukioloaikojen ulkopuolella pankin ilmoittamaan sulkupalveluun. Tieto pankin asiakaspalvelun aukioloajoista sekä sulku palvelun yhteystiedot löytyvät pankin verkkosivuilta ([pankki].fi).

Pankin Pankkitunnusten turvallinen käyttö -ohjeen mukaan Tunnusten henkilökohtaisuus -kohdan mukaan
Henkilöasiakkaan pankkitunnukset ovat aina henkilökohtaisia. Pankkitunnuksia ei saa luovuttaa osittainkaan toisen, ei edes perheenjäsenen, käyttöön eikä pankkitunnuksilla avattua palveluyhteyttä saa luovuttaa muun tahon käytettäväksi.

Käyttöohjeen Pankkitunnukset-kohdassa määritellään mitä tarkoitetaan pankkitunnuksilla:
[Pankin] pankkitunnuksilla tarkoitetaan tässä turvaohjeessa verkkopankin käyttäjätunnusta, tunnuslukusovellusta, tunnuslukulaitetta, ja niiden käyttöön tarkoitettuja tunnuslukuja, salasanoja, PIN-koodeja tai aktivointikoodeja, sekä sormenjälkitunnistusta tai muita pankin hyväksymiä tunnistautumisvälineitä tai tunnistautumistapoja sekä tunnistautumistietoja käyttäen luotuja salasanoja.

Käyttöohjeen Pankkitunnuksia koskevat tiedustelut -kohdan mukaan
Pankki tai viranomainen ei koskaan kysy pankkitunnuksiasi sähköpostitse tai soittamalla asiakkaalle. Myöskään viranomaiset eivät kysy eivätkä tarvitse asiakkaan pankkitunnuksia koskaan. Henkilökohtaisesti, puhelimitse tai sähköpostitse tehdyn pyynnön takia pankkitunnuksia ei saa antaa kenellekään.
[…]

Käyttöohjeen Pankkitunnusten kuolettaminen -kohdan mukaan
Jos käyttäjätunnuksesi, tunnuslukukorttisi, mobiililaite johon tunnuslukusovellus on asennettu, tunnuslukulaite, PIN-koodi, muu tunnistautumisvälineesi tai salasanasi katoaa tai joutuu sivullisen haltuun tai tietoon, tai epäilet, että sivullinen on saanut sen tietoonsa tai haltuunsa, ilmoita tästä välittömästi pankille. Ilmoituksen voi tehdä henkilökohtaisesti pankin konttorissa tai soittamalla pankin henkilöasiakkaiden 24/7 palveluun […].

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt teknisen selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan pankin tunnistussovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo tapauksessa selvitetyksi ja riidattomaksi, että asiakas on saanut rikollisten verottajan nimissä lähettämän sähköpostin, jossa olleen linkin kautta asiakas on päätynyt asioimaan rikollisten luomille valesivuille ja syöttänyt sivuille pankkitunnustietojaan ja korttitietonsa.

Asiakas on kiistänyt antaneensa pankin hänelle sähköpostitse ja tekstiviestitse lähettämiä koodeja millekään sivustoille tai muuallekaan. Pankkilautakunta kuitenkin katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että em. koodit ovat päätyneet rikollisille siten, että asiakas on - asian kiistämisestään huolimatta - syöttänyt myös em. tekstiviestissä ja sähköpostissa olleet koodit valesivuille, joiden kautta koodit saatuaan rikolliset ovat voineet aktivoida käyttöönsä pankin tunnistussovelluksen.

Laitteelleen aktivoimallaan pankin tunnistussovelluksella rikolliset ovat voineet vahvistaa klo 6.35-7.02 välisenä aikana ko. kolme oikeudetonta tilisiirtoa sekä klo 6.14-7.00 välisenä aikana asiakkaalta saatuja korttitietoja käyttäen tehdyt ko. kuusi korttimaksua.

Asiakkaan menettelyn arviointi

Asiakas on kertomansa mukaan verottajan nimissä tulleessa sähköpostissa olleen linkin kautta tunnistautunut pankin sivuilla pankkitunnuksilla ja sen jälkeen ohjeiden mukaan naputelleensa myös luottokorttinsa numeron ja kortin kolminumeroisen pin-koodin. Asiakas ei ole esittänyt selvitystä siitä, missä tarkoituksessa hän on ymmärtänyt korttitietojaan sivuille syöttävänsä.

Pankkitunnusehdoissa viitatuissa Pankkitunnusten turvallinen käyttö -ohjeiden mukaan viranomainen ei koskaan kysy pankkitunnuksia sähköpostitse eikä henkilökohtaisesti, puhelimitse tai sähköpostitse tehdyn pyynnön takia pankkitunnuksia saa antaa kenellekään. Korttiehtojen kortin käyttöä internetissä koskevan kohdan mukaan kortinhaltija voi korttitietojen ja tarvittavien tunnusten avulla maksaa ostamiaan tuotteita tai palveluita internetissä.

Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen pankkitunnusehtojen mukaisia velvollisuuksiaan syötettyään pankkitunnustietojaan hänelle sähköpostitse lähetetyn linkin kautta avautuneilla sivuilla. Edelleen lautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen korttiehtojen mukaisia velvollisuuksiaan syötettyään korttitietojaan sähköpostissa olleen linkin kautta avautuneille sivuille ja erityisesti sillä perusteella, ettei hänellä ole ollut tilanteessa korttiehtojen mukaista maksamistarkoitusta eikä hän ole esittänyt menettelylleen muutakaan perustetta. Vaikka sähköpostissa olleen linkin kautta avautuneet sivut olisivat näyttäneet aidoilta verottajan tai pankin sivuilta, lautakunta katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen johdosta osoittavan hänen vakavaa varomattomuuttaan.

Edelleen Pankkilautakunta katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä tunnistautumis- tai kirjautumistilanteesta poikkeavalla tavalla pankin mobiilisovelluksen aktivointikoodin sisältäneen tekstiviestin ja väliaikaisen PIN-koodin sisältäneen sähköpostin asiakkaan olisi viestien sisällöt huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus ja jättää saamansa koodit syöttämättä verkkosivuille.

Lautakunta katsoo, että em. viesteissä kerrotaan asianmukaisesti, mihin viesteissä olleita koodeja käytetään ja mihin ne ainoastaan tulee syöttää, ja toisaalta sähköpostissa myös mm. kehotetaan ottamaan välittömästi yhteyttä pankin asiakaspalveluun, jos epäilee jonkun muun saaneen pääsyn pankin tunnistussovellukseen. Mikäli asiakas olisi tuossa tilanteessa ottanut viestissä olleen ohjeen mukaisesti yhteyttä pankkiinsa ja tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan korttitietojen ja pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Asiakas on kiistänyt vastaanottaneensa em. viestejä, mutta lautakunta on jo edellä katsonut, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on viestit saanut ja on syöttänyt viesteissä olleet koodit valesivuille. Asiakkaan kertoman perusteella jää epäselväksi, onko asiakas lukenut pankilta saamiensa viestien sisältöä ja missä tarkoituksessa hän on ymmärtänyt käyttävänsä aktivointikoodia ja väliaikaista PIN-koodia niitä valesivuille laittaessaan.

Aiemman ratkaisukäytäntönsä mukaisesti Pankkilautakunta katsoo huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Tässä tapauksessa – asiakkaan syötettyä ensin kortti- ja pankkitunnustietojaan hänelle sähköpostitse lähetetyn linkin kautta avautuneilla sivuilla – asiakkaan olisi tullut asiointinsa seuraavissa vaiheissa kiinnittää erityistä huomiota siihen, mitä pankki hänelle viestii ja mihin viestissä ollutta koodia on tarkoitus käyttää. Pankkilautakunta katsookin, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnusten syöttämisen jälkeen vielä pankin tekstiviestitse ja sähköpostitse lähettämät koodit mahdollisesti lukematta viestien sisältöä tai ainakin niiden sisältöä huomioimatta on asiakkaan menettelyn kokonaisuutena katsottava osoittavan hänen suhtautuvan selvästi piittaamattomasti korttinsa ja pankkitunnustensa hallintaan ja käyttöön liittyviin turvallisuusriskeihin sekä poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavan asiakkaan ja pankin välisessä suhteessa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.

Lopputulos

Edellä esitettyyn viitaten Pankkilautakunta ei suosita asiassa hyvitystä.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                      
Sihteeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä