Tapahtumatiedot
Asiakas myi sähköpyöräänsä Facebookin Marketplacen kautta, kun ostajaksi tekeytynyt henkilö ilmoitti järjestävänsä pyörän maksun ja toimituksen Matkahuollon kautta. Tässä tarkoituksessa asiakas sai linkin sisältäneen viestin, minkä avulla maksu tuli vastaanottaa. Asiakkaan syötettyä linkin takaa avautuneelle verkkosivustolle luottokortti- ja pankkitunnustietonsa, pankki lähetti asiakkaalle 13.4.2024 klo 16.24 seuraavan sisältöisen viestin:
“Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named Galaxy A40. Enabling is blocked for security reasons for 4 hours. After that, you'll have 24 hours to enable [pankin tunnistusväline]. If it isn't you who is now enabling [pankin tunnistusväline], contact [pankki] Deactivation Service, as your personal information is at risk. [pankki] ”
Myöhemmin klo 20.25 pankki lähetti asiakkaalle seuraavanlaisen viestin:
“PLEASE READ THIS CAREFULLY! [Pankin mobiilisovellus] and the [pankin tunnistusväline] are being enabled with your User ID on the phone that you named Jake. BEWARE OF SCAMMERS! Don't give anyone your code and don't use it on any other web page. If you do not follow the instructions, criminals may gain access to your banking user ID and may make transactions with your account and also use any digital services that require identification in your name. If you suspect a scam, call the [pankki] Deactivation Service now. To prevent fraud, only continue if you yourself have downloaded [pankin mobiilisovellus] from your app store and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code xxxxx only on [pankin mobiilisovellus]. [pankki]”.
Ulkopuolinen henkilö otti laitteellaan käyttöönsä asiakkaan nimissä olevan tunnistusvälineen asiakkaan pankkitunnuksia (käyttäjätunnus, salasana ja luku avainlukulistasta) sekä pankin asiakkaan puhelinnumeroon lähettämässä tekstiviestissä ollutta vahvistuskoodia käyttäen ja teki asiakkaan korttitiedoilla sekä tunnistusvälineellä verkossa kaksi oikeudetonta korttimaksua yhteisarvoltaan 2 730,14 euroa. Asiakas sulki korttinsa ja pankkitunnuksensa klo 21.21. Oikeudettomat tapahtumat tehtiin ennen sulkua klo 20.41 ja 20.46.
Asiakkaan vaatimukset
Asiakas vaatii pankkia korvaamaan 2 730 euroa.
Asiakas perustelee vaatimuksiaan pääpiipiirteissään sillä, ettei ole toiminut huolimattomasti antaessaan myyntitilanteessa pyydettyjä tietoja maksun vastaanottamista varten. Asiakas ei osannut epäillä, eikä hän 77-vuotiaana ole voinutkaan ymmärtää kyseessä olevan huijaus. Asiakas ei ollut koskaan kuullut, että huijarit kalastelevat pankkitunnuksia osto- ja myyntitilanteissa.
Kaupanteko alkoi normaalisti ostajan kysyessä tuotteen kunnosta ja saatavuudesta. Kun ostaja ilmoitti, että järjestää maksun ja toimituksen Matkahuollon kautta, ajatteli asiakas sen johtuvan siitä, ettei ostaja uskalla maksaa 1 000 euron myyntihintaa suoraan myyjälle. Asiakkaan saamassa virallisennäköisessä ilmoituksessa oli Matkahuollon logo, ja linkki, jota kautta maksu tuli siirtää asiakkaan luottokortille. Viestissä oli myös yleinen varoitus: ”älkää jakako tätä linkkiä tur-vallisuussyistä eteenpäin”. Asiakkaan annettua luottokorttitiedot, sivusto kysyi pankkitunnuksia, jotta saadaan henkilöllisyys varmistettua ja tekstiviestillä tuli vielä koodi. Sama piti toistaa turvallisuussyistä neljän tunnin kuluttua. Rahoja ei kuitenkaan tullut. Sen sijaan luottokortilta oli erinäisten tilisiirtojen jälkeen viety 2 730,14 euroa. Tämän jälkeen pankilta tuli tieto luottokortin epäillystä väärinkäytöksestä, jossa pyydettiin ottamaan yhteyttä asiakaspalveluun.
Asiakas kiistää vastaanottaneensa englanninkielistä mobiilisovelluksen aktivoin-tikoodin sisältänyttä tekstiviestiä eikä hän ole edes englanninkielentaitoinen. Suomenkieliselle asiakkaalle ei pitäisi lähettää englanninkielisiä viestejä näin tärkeässä asiassa. Asiakas kysyy, miten voidaan todistaa, että hän on saanut viestit. Asiakas myöntää saaneensa tekstiviestin kortin lukitsemisesta turvallisuussyistä, mutta ei edes jälkikäteisellä etsimisellä löydä englanninkielisiä viestejä. Hän ei ole niitä saanut, koska hän ei poista tekstiviestejä.
Asiakas on toimittanut FINEllä kuvakaappauksia ostajaksi tekeytyneen henkilön kanssa käymästään keskustelusta ml. linkin sisältäneen ilmoituksen sekä kuvakaappauksia puhelimensa ”saapuneet viestit” näkymästä.
Palveluntarjoajan kanta
Pankki kiistää asiakkaan vaatimuksen.
Pankki perustelee kiistämistään sillä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä pankin verkkopalvelua koskevien sopimusehtojen mukaisia velvollisuuksiaan. Asiakkaan menettelyn on katsottava olleen sellainen maksuvälineen haltijan vakava varomattomuus, jota maksupalvelulain 62 § 2 momentin sekä pankin verkkopalvelua koskevien sopimusehtojen mukaisella törkeällä huolimattomuudella tarkoitetaan. Pankki vetoaa soveltuvien ehtojen kohtaan 16.1.
Pankki vetoaa FINEn aiempiin ratkaisuihin vastaavissa tapauksissa, esimerkiksi tapauksessa FINE-049424.
Jotta rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen, heillä on pitänyt olla tiedossaan asiakkaan digipalvelutunnukset (käyttäjätunnus, salasana ja avainluku) sekä pankin mobiilisovelluksen aktivointiin vaadittava salasana. Pankin lokitietojen mukaan asiakkaalle on lähetetty asiakkaan pankille ilmoittamaan lisävahvistusnumeroon seuraavan sisältöiset tekstiviestit:
13.4.2024 klo 16.24:
“Your user ID is being used now to enable a new [pankin tunnistusväline] on a phone named Galaxy A40. Enabling is blocked for security reasons for 4 hours. After that, you'll have 24 hours to enable [pankin tunnistusväline]. If it isn't you who is now enabling [pankin tunnistusväline], contact [pankki] Deactivation Service, as you personal information is at risk. [pankki]”
Klo 20.25:
“PLEASE READ THIS CAREFULLY! [Pankin mobiilisovellus] and the [pankin tunnistusväline] are being enabled with your User ID on the phone that you named Jake. BEWARE OF SCAMMERS! Don't give anyone your code and don't use it on any other web page. If you do not follow the instructions, criminals may gain access to your banking user ID and may make transactions with your account and also use any digital services that require identification in your name. If you suspect a scam, call the [pankki] Deactivation Service now. To prevent fraud, only continue if you yourself have downloaded [pankin mobiilisovellus] from your app store and are now enabling a new [pankin tunnistusväline]. To confirm enabling on your phone, enter code xxxxx only on [pankin mobiilisovellus]. [pankki]”.
Koska pankin mobiilisovelluksen aktivointiin tarvittavaa koodia ei voi saada muualta kuin edellä mainitusta tekstiviestistä, pankin näkemyksen mukaan asiakkaan on pitänyt saada vähintään jälkimmäinen näistä tekstiviesteistä. Rikollisten käyttämä, asiakkaan nimissä ollut mobiiliavain on aktivoitu 13.4.2024 klo 20.26.
Asiakkaan kielikysymykseen liittyen pankki kertoo, että sovelluksen aktivointiin vaadittavan koodin sisältävä tekstiviesti lähetetään sen laitteen kielikoodin perusteella, mihin sitä ollaan aktivoimassa. Jos tuon laitteen kielikoodi on muu kuin suomi tai ruotsi, tekstiviesti lähetetään englanniksi. Sen, että tekstiviesti on ollut asiakkaan omasta asiointikielestä poikkeavasti englanninkielinen, olisi nimenomaan pitänyt herättää epäily siitä, että jotain poikkeavaa on tapahtumassa.
Sopimusehdot ja lainsäädäntö
Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.
Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.
Pankin 18.11.2022 alkaen voimassa olleiden tunnus- ja digisopimuksen tunnusten säilyttämistä ja sallitun käytön rajoituksia koskevan ehtokohdan mukaan
[...]
Tunnusta tai osaa niistä et koskaan saa:
–luovuttaa tekstiviestillä, sähköpostilla tai muun sovelluksen kautta tulleen pyynnön perusteella muille kuin [pankin] hyväksymille palveluille ja sovelluksille.;
–antaa sähköpostiviestillä tai muulla digitaalisella viestillä tulleen pyynnön perusteella etkä kirjautua [pankin] digitaalisiin palveluihin sähköpostilla tai muutoin digitaalisesti lähetetyn linkin kautta.
[...]
Ratkaisusuositus
Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi asiassa on arvioitava, onko maksuvälineen oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.
FINE toteaa tapauksessa olevan riidatonta, että asiakas on saanut entuudestaan tuntemattomalta ostajaksi tekeytyneeltä henkilöltä viestin, jossa olevan linkin kautta avautuneilla rikollisten luomilla valesivuilla asiakas on harhaanjohdettuna syöttänyt korttitietonsa ja verkkopankkitunnuksensa. Rikolliset ovat näin tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin mobiilisovelluksen käyttöönoton omalle laitteelleen. Tämän johdosta pankki on lähettänyt klo 16.24 asiakkaalle tunnistusvälineen käyttöönottoa koskevan englanninkielisen tekstiviestin. Turvallisuussyistä käyttöönotto on ollut estettynä neljän tunnin ajan, ja tämän jälkeen klo 20.25 pankki on lähettänyt asiakkaalle toisen englanninkielisen tekstiviestin. Jälkimmäinen tekstiviesti on sisältänyt mobiilisovelluksen käyttöönoton edellyttämän vahvistuskoodin.
Asiakas on kiistänyt saaneensa englanninkielisiä tekstiviestejä. Asiakas on kuitenkin kertonut saaneensa kortti- ja pankkitunnustietojen syöttämisen jälkeen tekstiviestillä koodin sekä saaneensa pankin myöhemmin samana päivänä lähettämän suomenkielisen tekstiviestin.
Pankki on tapauksessa esittänyt järjestelmätietoihinsa perustuvan selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet ottaa käyttöönsä omalla laitteellaan asiakkaan nimissä olevan uuden pankin mobiilisovelluksen. FINEllä ei ole syytä epäillä pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.
Koska pankin mobiilisovelluksen käyttöönotto on edellyttänyt pankkitunnustietojen lisäksi pankin asiakkaalle lähettämässä tekstiviestissä ollutta vahvistuskoodia, FINE katsoo saadun selvityksen perusteella, että myös tekstiviestissä olleen vahvistuskoodin on täytynyt päätyä rikollisten tietoon eikä asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakas on saanut vahvistuskoodin sisältäneen viestin ja syöttänyt koodin em. valesivuille mahdollisesti luullessaan varmistavansa henkilöllisyyttään. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin mobiilisovelluksen omalle laitteelleen ja vahvistaa sovelluksella ko. korttimaksut.
Asiakkaan on maksupalvelulain 53 §:n mukaan käytettävä maksuvälinettä sen käyttöä koskevien ehtojen mukaisesti. Pankki on asiassa vedonnut ehtoihinsa, joiden mukaan pankkitunnuksia ei saa käyttää pankin verkkopalveluihin kirjautumiseen, jos linkki kirjautumissivulle on lähetetty asiakkaalle sähköpostilla tai muulla sähköisellä tavalla. FINE katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksuvälineen käyttöä koskevien ehtojen mukaisia velvollisuuksiaan syöttäessään kortti- ja pankkitunnustietonsa sivustolle, johon hän on saanut linkin sähköisellä viestillä. Vaikka asiakkaan kertoman mukaan myyntitilanne ja saatu viesti ovat vaikuttaneet aidoilta, FINE katsoo asiakkaan menettelyn kortti- ja pankkitunnusten syöttämisen osalta osoittavan vakavaa varomattomuutta ottaen huomioon sen, että tiedot on syötetty maksun vastaanottamista varten asiakkaalle entuudestaan tuntemattoman henkilön lähettämän linkin kautta. Lisäksi asiakas on kertonut turvallisuussyistä toistaneensa em. menettelyn neljän tunnin jälkeen uudelleen.
Pankkilautakunnan vakiintuneen ratkaisulinjan mukaan huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluu se, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.
Sovitusta ja tavanomaisesti käytetystä asiointikielestä poikkeavalla kielellä tulleiden viestien osalta Pankkilautakunta on ratkaisukäytännössään (kuten FINE-057082, annettu 6.6.2024) katsonut, että mikäli asiakas ei kielimuurin vuoksi ymmärrä tai voi olla varma, mihin pankin tekstiviestitse toimittama koodi on tarkoitettu, tulisi hänen huolellisesti toimiessaan keskeyttää asiointinsa ja olla esimerkiksi yhteydessä pankkiinsa varmistuakseen menettelyn tarkoituksesta ja asianmukaisuudesta.
Nyt arvioitavassa tapauksessa asiakas on saanut pankilta kaksi englanninkielistä tekstiviestiä, joista jälkimmäinen on sisältänyt pankin mobiilisovelluksen aktivointikoodin. Tekstiviestit ovat olleet sisällöltään informatiivisia, ja niissä on kerrottu asianmukaisesti, mitä asiakkaan pankkitunnustiedoilla ollaan tekemässä ja mihin tarkoitukseen viestissä ollutta aktivointikoodia käytetään. Niissä on myös kehotettu ottamaan yhteyttä pankkiin, jos ei ole itse ottamassa käyttöön pankin mobiilisovellusta. Erityisesti jälkimmäisessä viestissä on varoitettu asiakasta petoksesta sekä kielletty syöttämästä koodia muualle kuin pankin mobiilisovellukseen.
FINE katsoo, että saatuaan tavanomaisesta pankkitunnuksilla tehtävästä kirjautumista tai tunnistautumista koskevasta tilanteesta poikkeavalla tavalla pankin mobiilisovelluksen käyttöönottoa koskevan tekstiviestin ja neljän tunnin jälkeen uuden käyttöönottoa koskevan tekstiviestin asiakkaan olisi erityisesti tekstiviestien sisällöt huomioiden tullut ymmärtää kyseenalaistaa asiointinsa asianmukaisuus, keskeyttää asiointinsa ja jättää saamansa koodi syöttämättä verkkosivustolle. Mikäli asiakas olisi toiminut viesteissä olleiden ohjeiden mukaisesti ja ottanut yhteyttä pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan kortin oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.
Yllä ilmenevin perustein ja viitaten Pankkilautakunnan aiemmin vastaavanlaisissa tapauksissa antamiin ratkaisuihin, kuten FINE-049424 (annettu 10.10.2022) ja FINE-052421 (annettu 31.01.2023), FINE katsoo asiakkaan kortin ja pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin sekä pankkitunnusehtojen mukaisia velvollisuuksiaan. Ottaen huomioon erityisesti asiakkaan pankiltaan saamien pankin mobiilisovelluksen käyttöönottoa koskevien tekstiviestien sisällön FINE katsoo asiakkaan menettelyn kokonaisuutena arvioiden osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan ja pankin välisessä suhteessa asiakas vastaa täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta.
Lopputulos
FINE ei suosita asiassa hyvitystä.
FINE
Vakuutus- ja rahoitusneuvonta
Ratkaisija Hidén
Esittelijä Tykkä