Tapahtumatiedot

Asiakas on saanut 20.1.2024 rikollisten verottajan nimissä lähettämän sähkö-postin, asioinut sähköpostissa olleen linkin kautta avautuneilla rikollisten luo­milla valesivuilla ja näin joutunut verkkourkinnan uhriksi, minkä seurauksena ri­kolliset ovat päässeet kirjautumaan asiakkaan verkkopankkiin 20.1.2024 klo 17.53. Verkkopankissa on tehty asiakkaan käytössä olevan asiakkaan puolison B:n tililtä ensin 10.921 euron siirto asiakkaan tilille ja tämän jälkeen 20.1.2024 klo 18.01 on asiakkaan tililtä tehty 63.693,97 euron siirto ulkomaille. Verkkopankkiin kirjautuminen ja tilisiirto ulkomaille on vahvistettu asiakkaan puheli­messa olleella pankin tunnistussovelluksella. Tilisiirto on edellyttänyt lisäksi tunnistussovelluksessa annettua lisävahvistusta.

Asiakkaan valitus

Asiakas katsoo pankin syyllistyneen tilien turvaamisvirheeseen ja vaatii pankin korvaavan vahingon täydestä 63.694,91 euron määrästään.

Asiakas on tottunut käyttämään päivittäin tietokonetta entisessä työssä olles­saan. Asiakkaalla oli Verovirastossa valitus vetämässä ja hän sai sähköpostin Ve-rovirastosta. Huijarit käyttivät Veroviraston sivua paikkana, jossa he saivat asi­akkaan verkkopankkitunnukset. Sitten siirryttiin netissä väärille pankin turvasi-vuille, joiden kautta tilien tyhjennys tapahtui. Asiakas kuvasi näytöltä lähes kaikki vaiheet tästä huijauksesta. Operaatio tapahtui 20.1.2024 klo 11.00 jälkeen viikonvaihteessa, jolloin pankit ovat kiinni maanantaiaamuun asti. Kun asiakas sai näytölle nostajan nimen ja summan, hän tajusi noston tapahtuneen. Asiak­kaan poika teki sulun tileihin ja rikosilmoituksen.

Tilin käyttö on ollut hyvin tarkkaa, eikä rahaa ole nostettu tililtä suuria summia. Yhtäkkinen suuren nosto lauantai-iltana ei missään nimessä ole ollut normaalia pankkiasiointia ja tämä tulee huomioida. Tililtä on varastettu vanhuuden säästöiksi tarkoitetut omat varat sekä yhteiseltä ns. terveystililtä varastettiin rahat, jotka oli tarkoitettu kattamaan mahdollisia sairaanhoidollista tarpeista aiheutuneita kuluja. Ei edes varmistusta tämän suuruusluokan nostolle tilien omistajilta kysytty. Asiakas katsoo, että pankki on syyllistynyt tilien turvaamis-virheeseen. Pankin tietoturvassa on huijarin mentävä aukko. Pankin tulisi laittaa näihin siirtoihin 2 vrk:n viive, jolloin voi varmistaa siirron oikeaksi.

Huijaukset ovat räjähdysmäisesti kasvaneet. Kohteena pääasiallisesti ikäihmiset. Yhteiskunta on digitalisoitunut asiakkaalle liian nopeasti. Perässä ei pysy pankkikaan, huijarit ovat edellä. Pankissa ei tajuta, miltä tuntuu olla 85-vuotias ja jäl­jessä digikehityksestä. Kaikki eivät pysty enää omaksumaan "oikeita tapoja mennä sivujen kautta", joita pankki markkinoi korjauksena ongelmaan. Tässä iässä on välttämätöntä tehdä kaikki toiminnat samalla tutulla tavalla. Asiakas ei ole digitaalista nykysukupolvea, joka omaksuu muutokset nopeasti.

Pankki vetoaa maksupalvelulain 44 §:än, ettei sillä ole velvollisuutta tarkistaa, että yksilöitävä tunniste vastaa maksutoimeksiannossa annettuja muita tietoja, mutta velvoittaa ikäihmiset verkkopankkiin asioimaan kaikissa asioissa, joka on heille haasteellista ja vaikeata ja olettavat, että kaikki ikäihmiset hallitsevat hei­dän verkkopalvelunsa täydellisesti.

Pankki vetoaa myös siihen, että kaikkia samassa tilanteessa olevia täytyy koh­della yhdenveroisesti. Tällä tavoin pankki asettaa ikäihmiset eriarvoiseen ase­maan velvoittaessaan heidät verkkopankkiin asioimaan. Näin ollen pankki on ta­loudellisessa vastuussa tällaisissa tilanteissa, koska heillä ei ole tarjota muuta vaihtoehtoa ikäihmiselle hoitaa pankkiasioitaan kuin samat verkkopankkitoiminnat kuin muillekin ikäryhmille, joilla nykyteknologia on hallinnassa.

Pankin vastine

Asiakkaan näkemyksen mukaan erimielisyys tulisi ratkaista niin, että vastuu va­hingosta jäisi kokonaan pankin vastattavaksi. Pankki ei jaa asiakkaan näkemystä vastuunjaosta. Laki, sopimusehdot ja vastaavissa tapauksissa noudatettu ratkai-sukäytäntö puoltavat sitä, ettei kyse ole ollut oikeudettomasta maksutapahtumasta, josta aiheutuneesta vahingosta pankki vastaisi. Näin siksi, että asiakas on antanut maksutapahtuman veloittamiseen suostumuksensa, vaikkakin vääriksi osoittautuneisiin tietoihin luottaen.

Tapahtumainkulku

Pankin tulkinnan mukaan tapauksessa on kysymys ns. kalasteluhuijauksesta, jossa uhrilta on kalasteltu uhrin verkkopankkitunnukset ja harhautettu uhri hy­väksymään maksuja "turvaan" asiakkaan omalta tililtä.

Asiakas on vahvistanut kirjautumisen verkkopankkiin pankin tunnistussovelluksella 20.1.2024 klo 17.53. Asiakkaan tunnistussovelluksella on vahvistettu maksu 63.693,97 EUR, joka on veloitettu asiakkaan tililtä 20.1.2024 klo 18.01. Tätä ennen asiakkaan verkkopankissa on tehty tilisiirto asiakkaan omien tilien välillä 10.921 EUR. Omien tilien välinen siirto ei edellytä vahvaa tunnistamista, sillä varat eivät niissä siirry asiakkaan kontrollin ulkopuolelle. Edellä mainitut toi­menpiteet on tehty verkkopankkiistunnossa.

Maksu on vahvistettu pankin tunnistussovelluksella, joka on aktivoitu käyttöön 6.5.2020. Tapauksessa maksulle on vaadittu myös lisävahvistus.
Vahvistuspyynnön sisältö 20.1.2024 klo 18.01:
[Pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 63 693,97 EUR
saaja: [Asiakkaan nimi]
tilille: Flxx xxxx xxxx xxxx xx
päiväys: 20.1.2024
tililtä: Flxx xxxx xxxx xxxx xx
Tapahtuma on vahvistettu 20.1.2024 18.01.

Lisävahvistuspyynnön sisältö 20.1.2024 klo 18.01:
[Pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 63 693,97 EUR
tilille: Flxx xxxx xxxx xxxx xx
saaja: [Asiakkaan nimi]
tililtä: Flxx xxxx xxxx xxxx xx
Tapahtuma on lisävahvistettu 20.1.2024 klo 18.01.

Vahvistusviesteissä näkyy saajana asiakkaan oma nimi, koska se on syötetty maksutoimeksiannossa maksunsaajan nimeksi, vaikka vastatilin omistaja on to­dellisuudessa muu henkilö.

Tehdystä tilisiirrosta on tehty palautuspyyntö, mutta siihen saatiin kielteinen vastaus, eli varoja ei valitettavasti saatu palautettua.

Sovellettava lainsäädäntö ja sopimusehdot

Pankki viittaa maksupalvelulain 38 §:än sekä 44 §:ään, jonka mukaan palvelun-tarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perusteella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi. Sama on todettu pankin euromaksualueella välitettävien euromaksujen yleisten ehtojen kohdassa 3.

Pankin ja asiakkaan sopimukseen pankkitunnuksista sovelletaan pankin pankkitunnuksilla käytettävien palvelujen yleisiä sopimusehtoja. Ehtojen mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiak­kaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.

Vastuu pankkitunnuksilla vahvistetusta maksusta

Riidanalainen maksutapahtuma johtuu huijauksesta, jossa asiakas on kerto­mansa mukaan saanut sähköpostin veroviraston nimissä. Sähköposti on sisältä­nyt linkin, josta asiakas on ohjattu huijaussivustolle. Kyse on ns. turvatilihuijauksesta, jossa asiakas on ollut käsityksessä, että hän siirtää varojaan turvaan, vaikka varat on todellisuudessa siirtyneet asiakkaan ulottumattomiin sivullisen tahon tilille.

Pahoiteltava erehtyminen maksun todellisesta luonteesta ei kuitenkaan siirrä vastuuta maksutapahtumasta pankille, kun maksutapahtuma tehdään asiak­kaan suostumuksella käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnista­mista. Riidanalainen maksu jää asiakkaan vastuulle, sillä se on vahvistettu pan­kin tunnistussovelluksella, jossa olennaiset maksutiedot näytetään myös mak­sun hyväksymisen yhteydessä. Kun asiakas antaa pankille suostumuksensa mak­sun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka maksu jälkikäteen osoittautuisikin liittyvän tietojenkalasteluun ja verkkorikollisuuteen. Siksi pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevasta maksusta.

Pankki on toteuttanut maksun tilinumeron eli yksilöivän tunnisteen perusteella. Maksupalvelulain 44 §:n mukaan pankilla ei ole velvollisuutta tarkistaa, että yksilöivä tunniste vastaa maksutoimeksiannossa annettuja muita tietoja. Pankilla ei ole ollut tapauksessa velvollisuutta tarkistaa, että vastaanottajan tilinumero ei kuulu maksunsaajaksi ilmoitetulle henkilölle.

Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kui­tenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vas­tuun piiriin.

Pankki on pyrkinyt huomioimaan seniorit tarjoamalla helle digineuvontaa ja ­opastusta, kun he kaipaavat tukea pankkiasioiden digitaaliseen hoitamiseen. Pankki auttaa senioreita myös puhelimitse omassa asiakaspalvelussa. Lisätietoja löytyy pankin omilta verkkosivuilta.

Pankkilautakunnan lisäselvityspwntö / Verkkopankin sisällä tehdyn oikeudettomien tilisiirron tekeminen ilman vahvaa tunnistamista

Kyseisen tilin, jolta 10.921 euron tilisiirto tehtiin, omistaja on asiakkaan puoliso B. Asiakkaalle on tilin käyttöoikeus. B on siis antanut asiakkaalle oikeuden käyt­tää tiliään tili- ja maksuehtojen mukaisesti. B:n omistamalta tililtä on ollut mah­dollista siirtää varoja pankin ulkopuolelle. Asiakas olisi siis käyttöoikeuden halti­jana voinut siirtää varoja huijareille suoraan B:n tililtä.

Pankin näkemyksen mukaan vahinkoa ei ole tapahtunut, kun omien tilien väli­nen siirto on tehty. Varat ovat edelleen olleet B:n ja asiakkaan hallussa. Tilien välisellä siirrolla ei ole pankin näkemyksen mukaan ollut vaikutusta vahingon määrään. Lopullinen tilisiirto kolmannen tilille on toteutettu asiakkaan suostu­muksella. Kun asiakas on vahvistanut maksun huijarille, hänelle on vahvistus- ja lisävahvistuspyynnöissä näytetty summa, joka vahvistusten myötä siirretään.

Komission delegoidun asetuksen (EU) 2018/389 (Euroopan parlamentin ja neu­voston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnista­mista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla tekni­sillä sääntelystandardeilla) artiklan 15 mukaan pankilla ei ole velvollisuutta käyt­tää vahvaa tunnistamista sellaisten tilisiirtojen osalta, jossa maksaja ja maksunsaaja ovat sama.

"Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että mak-supalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen hen­kilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja."

Asiakas on tilin käyttöoikeudenhaltijana toiminut maksajana, ja maksunsaajana kun hänen omistamalleen tilille on tehty tilisiirto.

Pankkilautakunnan toinen lisäselvitvspvvntö / Asiakkaan huolimattomuuden  arviointi

Mikäli maksun katsottaisiin aiemmin kerrotusta huolimatta olevan oikeudeton, pankki katsoo toissijaisesti asiakkaan vastaavan vahingosta maksupalvelulain 62 §:n perusteella, koska asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaiset velvollisuutensa.

Pankki viittaa Pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -koh­taan.

Hallituksen esityksen HE 169/2009 mukaan törkeällä huolimattomuudella tar­koitetaan erittäin vakavaa varomattomuutta, joka osoittaa selvästi piittaama­tonta suhtautumista maksuvälineen hallintaan ja käyttöön liittyviin turvallisuusriskeihin. Arvioitaessa, onko maksuvälineen haltijan menettely ollut törkeän huolimatonta, otetaan huomioon samoja seikkoja, joiden on edellä 53 §:n ja tä­män pykälän 1 momentin 2 kohdan perusteluissa todettu vaikuttavan huolelli­suuden arviointiin. Jotta huolimattomuutta voitaisiin pitää tärkeänä, maksuvälineen haltijan toiminnan on kuitenkin selvästi ja olennaisesti poikettava siitä, mitä huolelliselta menettelyltä vaaditaan. Arviointi on kokonaisharkintaa, jossa voidaan kiinnittää huomiota erityisesti vahinkoriskin suuruuteen ja varotoimenpiteiden toteuttamismahdollisuuteen.

Tapauksessa asiakas on antanut henkilökohtaisia tunnistetietojaan sivustolle, jonne on joutunut huijauksen johdosta. Asiakas on myös hyväksynyt huijarin pääsyn omaan verkkopankkiinsa hyväksymällä pankin tunnistussovelluksellaan huijarin sisäänkirjautumisen. Tässä tapauksessa asiakas on huijattu uskomaan, että hänelle on avattu uusi tili ja että asiakkaan varat siirretään kyseiselle uu­delle tilille. Tämän lisäksi asiakas on pankin tunnistussovelluksellaan hyväksynyt maksunvahvistuspyynnön, josta on nähnyt maksun olennaiset tiedot. Maksunvahvistuspyynnössä on selkeästi kerrottu, että asiakas on tekemässä maksua, siirrettävä summa sekä maksunsaajan tilinumero. Asiakas on myös lisävahvista-nut maksutapahtuman, eli toistamiseen hyväksynyt kyseisen maksun.

Pankki on toteuttanut maksun tilinumeron eli yksilöivän tunnisteen perusteella. Maksupalvelulain 44 §:n mukaan pankilla ei ole velvollisuutta tarkistaa, että yksilöivä tunniste vastaa maksutoimeksiannossa annettuja muita tietoja. Pankilla ei ole ollut tapauksessa velvollisuutta tarkistaa, että vastaanottajan tilinumero ei kuulu maksunsaajaksi ilmoitetulle henkilölle. Maksunsaajan tilinumeron tar­kistaminen kuuluu siis asiakkaan vastuulle.

Silloin kun pankki avaa asiakkaalle normaalin prosessin mukaisesti uuden tilin, tilin avaamisesta lähetetään tilisopimus asiakkaan verkkopankkiin. Asiakas voi siis tarkistaa uuden tilin tiedot tilinumeroineen tilisopimuksesta ja verkkopankista. Pankki katsoo, että skenaario, jossa asiakkaalle avattaisiin tilisopimus il­man tämän minkäänlaista myötävaikutusta ei ole uskottava ja huolellisesti toi­miva asiakas olisi kyseenalaistanut tämän ja tehnyt oma-aloitteisia tarkistuksia asiassa ennen kuin maksaa huomattavan summan vieraalle tilille. Kun asiakas tässä tapauksessa itse ei ole tehnyt maksutoimeksiantoa, jolla varat on siirretty huijarille, korostuu asiakkaan tarkistusvastuu syötettyjen maksutietojen osalta. Tapauksessa asiakas on hyväksynyt rahojen siirron tilille, josta asiakkaalla itsel­lään ei ole ollut varmuutta tai vahvistusta siitä, että tili on tosiasiassa hänen oma.

Pankki katsoo, että asiakkaan hyväksymistahdonilmaisut verkkopankkiin kirjautumiselle ja maksun vahvistamiselle asiakkaalle entuudestaan tuntemattomalle tilille tilanteessa, jossa asiakas on luullut vastaanottavansa veronpalautusta, osoittavat erittäin vakavaa varomattomuutta ja suhtautumista maksuvälineen käyttöön liittyviin turvallisuusriskeihin. Asiakas on kokonaisuutena katsoen toi­minut törkeän huolimattomasti antaessaan pankkitunnuksensa ja hyväksyes­sään verkkopankkikirjautumisia ja maksuja useaan eri otteeseen eri sivustoilla. Edelleen pankin mukaan asiakkaan hyväksymistahdonilmaisut huomattavan ison maksun vahvistamiselle tilanteessa, jossa asiakas ei ole itse varmistanut maksutoimeksiannon tietoja, osoittavat erittäin vakavaa varomattomuutta ja piittaamatonta suhtautumista maksuvälineen käyttöön liittyviin turvallisuusriskeihin. Näin ollen asiakas vastaa vahingosta täysimääräisesti.

Selvitykset

Valitus koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot
- Euromaksualueella välitettävien euromaksujen yleiset ehdot
- Rikosilmoitus 20.1.2024
- Kuva asiakkaan sähköposteista
- Kuva verottajan verkkosivuilta näyttäviltä valesivuilta
- Kuvia pankin verkkosivuilta näyttäviltä valesivuilta
- Kuva asiakkaan tilitapahtumista

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. tilisiirrolle vai onko maksutapahtumaa pi­dettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on lautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huoli­mattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaa asiakkaan ja pan­kin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnista­mista verkkopankin sisäisen tilisiirron yhteydessä.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät) mukaan
Tässä laissa tarkoitetaan:

21) yksilöivällä tunnisteella palveluntarjoajan maksupalvelun käyttäjälle määrittämää kirjain-, numero- tai merkkiyhdistelmää, joka maksupalvelun käyttäjän on esitettävä, jotta toinen maksutapahtumaan liittyvä maksupalve-lun käyttäjä tai tämän maksutili voidaan yksilöidä;

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttami­seen) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 44 §:n (Yksilöivän tunnisteen käyttö.) mukaan
Palveluntarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perus­teella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälineitä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toi­menpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtai­sista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat eh­dot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen hal­tuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuu­tensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoami­sesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käy­töstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuväli-neen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjo-ajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoa­misesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2)jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoi­tus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti var­mistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtu-man toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palau­tettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankkitunnusehtojen Tunnistautumistietojen käyttäminen -kohdan mukaan
Tunnistautumistietoja saa käyttää vain se pankkitunnuksilla käytettäviä palve­luja koskevan sopimuksen tehnyt asiakas, jolle pankki on antanut tunnistautumistiedot.
Tunnistautumistietojen käyttöä koskevat ohjeet pankki ilmoittaa pankkitunnusten turvallista käyttöä koskevissa ohjeissaan.

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan
Verkko pankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pan­kille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asi­akkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiak­kaan vastuusta -kohdan mukaan
Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja-asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.

Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmista­maan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautu-mislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnis-tautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tal­lentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palve­lujen asiattoman käytön estämiseksi. [...]

Euromaksualueella välitettävien euromaksujen yleiset ehtojen Maksutoimeksi-annon antaminen -kohdan mukaan
[...1
Tilisiirto välitetään maksunsaajalle yksinomaan IBANin perusteella, vaikka maksaja olisi antanut lisäksi muita tietoja maksutapahtuman toteuttamiseksi. [...1

Asian arviointi

Pankin asiassa antamien selvitysten mukaan kirjautuminen asiakkaan verkko-pankkiin 20.1.2024 sekä ko. tilisiirto on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 6.5.2020. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Tunnistussovelluksessa on ennen maksun vahvistuksen antamista näkynyt asi­anmukaisesti "[Pankin verkkopalvelu] pyytää vahvistusta. Haluan maksaa" sekä maksun tiedot mukaan lukien maksun euromäärä ja maksunsaajan tilinumero. Vahvistuspyynnössä on saajatietona näkynyt asiakkaan nimi, koska rikolliset ovat tekemässään maksutoimeksiannossa syöttäneet maksunsaajaksi asiakkaan nimen. Tilisiirron toteuttaminen on edellyttänyt tavanomaisen tunnistussovelluksessa annettavan maksun vahvistamisen lisäksi sovelluksessa annettua lisävahvistusta. Lisävahvistuksen kohdalla on ennen lisävahvistuksen antamista to­dettu em. tietojen lisäksi seuraavasti: "[Pankin verkkopankki] pyytää vahvistusta Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein."

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että ta­pauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovelletta­vissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle mak­suista asiakkaalle aiheutuneesta vahingosta.

Pankkilautakunnan aiemmin käsittelemistä ja em. perusteluin ratkotuista huijaustapauksista poiketen tässä tapauksessa asiakkaan tunnistussovellukseensa saamissa maksunvahvistuspyynnöissä on saajatietona näkynyt asiakkaan nimi, koska rikolliset ovat tekemässään maksutoimeksiannossa syöttäneet maksunsaajaksi asiakkaan nimen mitä ilmeisimmin asiakasta harhauttaakseen.

Pankkilautakunta toteaa tältä osin, että maksupalvelulain 44 §:n mukaan palveluntarjoaja saa toteuttaa maksutapahtuman yksilöivän tunnisteen perus­teella, vaikka maksupalvelun käyttäjä olisi antanut sen lisäksi muitakin tietoja maksutapahtuman toteuttamiseksi. Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009) mukaan pykälä merkitsee sitä, ettei palveluntarjoajalla ole velvollisuutta tarkistaa, että yksilöivä tunniste vastaa maksajan antamia muita tietoja. Esimerkiksi jos palveluntarjoaja on määrittänyt yksilöiväksi tunnisteeksi maksunsaajan tilinumeron, palveluntarjoajalla ei ole vel­vollisuutta tarkistaa, että kyseinen tilinumero kuuluu maksunsaajalle. Näin on siinäkin tapauksessa, että palveluntarjoaja on itse pyytänyt tietoa maksunsaajan nimestä maksunsaajan tilinumeron lisäksi.

Kyseessä olevaan tilisiirtoon sovellettavien Euromaksualueella välitettävien euromaksujen yleisten ehtojen mukaan tilisiirto välitetään maksunsaajalle yk­sinomaan IBANin perusteella, vaikka maksaja olisi antanut lisäksi muita tietoja maksutapahtuman toteuttamiseksi. Tilisiirto on välitetty ehtojen mukaisesti maksutoimeksiannossa ilmoitetun maksunsaajan IBAN-tilinumeron perus­teella, jonka pankki on myös edellä todetusti asiakkaan tunnistussovelluksen vahvistuspyynnöissä ennen vahvistusten antamista asiakkaalle näyttänyt, eikä pankilla ole ollut velvollisuutta tarkistaa, että tilinumero vastaa maksutoimek-siannossa ilmoitettua maksunsaajatietoa. Pankkilautakunta katsoo siten, ettei sillä, että asiakkaan saamissa vahvistuspyynnöissä on näkynyt saajatiedon koh­dalla hänen oma nimensä, ole asian arvioinnin kannalta merkitystä.

Vaikka asiakas on antanut em. vahvistukset tilisiirrolle tultuaan rikollisten har­haan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttami­seen ja pankkitunnusehtojen mukaisen suostumuksensa pankille maksutapahtuman veloittamiselle tililtään. Näin ollen lautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole perusteita pankin vastuulle tilisiirrosta asiakkaalle aiheutuneesta vahingosta.

Verkkopankin sisällä tehdyn oikeudettoman tilisiirron tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnis­tamisella, jota lain 85 b § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnis­tamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komis­sion teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeuksista.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hal­lussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnista­mista siinä yhteydessä, kun rikolliset ovat tehneet tilisiirron asiakkaan verkkopankissa B:n tililtä asiakkaan tilille.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisen siirron tapahtuvan ilman vah­vaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalvelujentarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mu­kaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edel­lyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen ris­kin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa verkkopankin sisällä tehty tilisiirto asiakkaan puolison B:n ti­liltä asiakkaan tilille on rikollisten oikeudettomasti tekemä ja koska pankki on sallinut tilisiirron tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki tästä tilisiirroista. Pankki on tältä osin vedonnut siihen, että vahinkoa ei ole tapahtunut, kun omien tilien välinen siirto on tehty ja varat ovat edelleen olleet B:n ja asiakkaan hallussa, ja lopullinen tilisiirto kolmannen tilille on toteu­tettu asiakkaan suostumuksella.

Pankkilautakunta toteaa, että asiassa aiheutunut 63.694,91 euron vahinko on tässä tapauksessa realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman to­teuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksusta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuiten­kin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. mak­sua ennen tehty verkkopankin sisäisen siirto ja se, että pankki on sallinut tämän oikeudettomien siirron tekemisen ilman vahvaa tunnistamista. Tällä oikeudet-tomalla tilisiirrolla, joka vahvan tunnistamisen puutteen vuoksi kuuluu asiak­kaan ja pankin välisessä suhteessa pankin vastuulle, on asiakkaan tilille, jolta 63.694,94 euron siirto on tehty, siirretty tätä ennen B:n tililtä 10.921 euroa. Pankkilautakunta katsoo asiassa aiheuneen vahingon kuuluvan tämän tilisiirron määrän osalta pankin vastuulle.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. 63.694,91 euron tilisiirrolle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vas­taavan tilisiirrosta aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. maksua tehty tilisiirto. Koska pankki on sallinut tämän tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseinen siirto on vahingon kokonaismäärää lisännyt.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 10.921 euroa tilille, jolta em. oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                       
Siheeri Hidén

Jäsenet

Atrila
Piilo
Punakivi
Tervonen