Haku

FINE-63017-Q4V0Q

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-63017-Q4V0Q (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 12.06.2025

Miten vastuu asiakkaan korttitiedoilla verkossa tehdyistä ja asiakkaan puhelimessa olevalla pankin tunnistussovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Miten vastuunjakoon vaikuttaa se, että asiakkaan omien tilien välillä on ennen korttimaksuja tehty tilisiirto, jonka yhteydessä ei ole edellytetty vahvaa tunnistamista? Verkkourkinta. Maksajan suostumus maksutapahtumalle. Vahva tunnistaminen.

Tapahtumatiedot

Asiakas on joutunut huijatuksi, kun häneen on otettu yhteyttä pankin nimissä. Tämän seurauksena asiakkaan verkkopankkiin on kirjauduttu 1.11.2023 kahteen otteeseen (klo 15.11 ja 15.17), verkkopankissa asiakkaan Debit-kortin vuorokautista turvarajaa on muutettu 2.000 eurosta 5.000 euroon ja asiakkaan säästötililtä on tehty klo 15.25 1.300 euron tilisiirto asiakkaan käyttötilille. Tämän jälkeen asiakkaan kahdella eri kortilla on tehty verkossa 1.11.2023 klo 15.46-16.00 kolme maksua yhteisarvoltaan 7.700 euroa.

Pankin selvityksen mukaan asiakkaan verkkopankkiin kirjautumiset ja em. korttimaksut on vahvistettu asiakkaan käytössä olleella pankin tunnistussovelluksella.

Asiakkaan valitus

Asiakas ei katso missään vaiheessa toimineensa tahallisesti tai törkeän huolimattomasti.

Asiakas sai 16.10.2023 toisesta pankista tekstiviestin, jossa kerrottiin luoton myöntämisestä. Asiakas ei painanut viestissä ollutta linkkiä eikä muutenkaan tehnyt tekstiviestille mitään. Myöhemmin 1.11.2023 klo 14.55 hän sai soiton salaisesta numerosta. Mieshenkilö sanoi, että hän soittaa pankista lainasta, joka oli myönnetty asiakkaalle ja jossa on monia epäselvyyksiä. Asiakas vastasi, ettei hän ole ottanut mitään lainaa. Tähän henkilö sanoi, että laina on myönnetty asiakkaan pankkitunnuksilla ja että ovat maksamassa sitä jollekin mutta epäilevät oikeudetonta käyttöä. Asiakas sai käsittelynumeron, joka piti antaa, kun häneen olla yhteydessä asian tarkempaa selvitystä varten. KIo 15.00 asiakas saikin soiton pankista ja antoi pyynnöstä aikaisemmin saamansa käsittelynumeron. Puhelu kesti yli tunnin.

Henkilö sanoi, että hän tulee estämään lainan nostamisen ja pyysi asiakasta menemään pankin tunnistussovellukseen. Hän sanoi, että kun hän antaa signaalin, asiakkaan piti antaa sovelluksessa tunnuksensa. "Värähdyksen" saatuaan asiakas syötti käyttäjätunnuksensa ja PIN-koodinsa sovellukseen. Puhelu jatkui pitkään ja asiakas sai useamman "värähdyksen" puhelimeensa, jolloin asiakasta taas ohjeistettiin lisäämään pidemmän ja lyhyemmän koodinsa sovellukseensa. Pitkään asiakas ei pitänyt tätä kovin ihmeellisenä, koska tunnistussovellustahan käytetään aina kaikenlaisessa tunnistautumisessa. Asiakas on myös varma, ettei yhdenkään "värähdyksen" yhteydessä näkynyt hänen puhelimensa ruudulla mitään tietoa siitä, että hän olisi hyväksymässä jotain tiettyä maksutapahtumaa, sen määrää tai maksunsaajaa. Asiakas kyllä aina lukee mitä ruudussa sanotaan, eikä se ollut mitenkään tavanomaisesta poikkeava ruutu.

Kun puhelua oli jatkunut pidemmän ajan, asiakkaalle alkoi kuitenkin nousta epäilys, kun tunnistautumisia piti tehdä niin monta. Puhelun lopussa hän samanaikaisesti avasi verkkopankkinsa puhelimellaan ja näki outoja transaktioita ja kysyi niistä. Henkilö vastasi, että juuri näitä selvittävät ja että palaavat kahden tunnin kuluttua.

Asiakas ymmärsi tulleensa huijatuksi ja yritti heti soittaa pankkiyhteyshenkilölle klo 16.13, joka ei vastannut. Asiakas soitti veljenpojalleen klo 16.21, jonka avustuksella seuraavan 30 minuutin aikana he olivat yhteydessä yleiseen sulkupalveluun, jossa saatiin verkkopankkitunnukset ja pankkikortit suljettua.

Asiakas ei katso luovuttaneensa maksuvälinettään (tunnistussovellus ja siihen liittyvät koodit) sen käyttöön oikeudettomalle eikä ole missään vaiheessa toiminut tahallisesti tai törkeän huolimattomasti. Asiakas on sitä mieltä, ettei hänen puhelimessaan ole missään vaiheessa näytetty mitään tietoja riidan kohteena olevista maksutapahtumista. Hän on käsityksensä mukaisesti myös reagoinut heti, kun hän on huomannut jotain epäilyttävää olevan käynnissä.

Asiakas pitää käsittämättömänä pankin väitettä, että olisi antanut korttitietonsa ulkopuoliselle. Suoratoistopalvelun kuukausimaksun ja yksittäisten ruokatilauksien suojattuja maksutapahtumia lukuun ottamatta asiakas ei ole 5-10 vuoteen käyttänyt credit-ominaisuutta, ei tee verkko-ostoksia ja käyttää debit-ominaisuutta pääasiallisesti ruokaostoksien maksamiseen. Asiakas ei ole käyttänyt korttejaan kertaakaan 1.11.2023, eikä ole tuolloin tai aiemmin luovuttanut korttejaan tai niihin liittyviä koodeja kolmannen osapuolen käyttöön. Ainoa asia, jonka hän on tehnyt 1.11.2023, on syöttänyt pankin tunnistussovelluksen PIN-koodinsa useita kertoja sovellukseen tai sen näköiseen käyttöliittymään, kuten hän uskoi, henkilöllisyytensä tunnistamista varten.

Tapahtumaketjun käynnistäneestä ensimmäisestä verkkopankkikirjautumisesta (15:11:10) ei ole enää lokitietoja saatavilla. Ottaen huomioon pankin aiemman kieltäytymisen ja viivyttelyn teknisten tunnistamistietojen toimittamisessa sekä sen, että asia riitautettiin viipymättä, lokitietojen puuttuminen on seikka, joka heikentää yksinomaan pankin omiin järjestelmätietoihin perustuvien selvitysten uskottavuutta myös laajemmin.

Asiakas ei ole tullut tietoiseksi ulkopuolisten verkkopankkikirjautumisesta, debit-korttinsa turvarajan muuttamisesta tai omien tiliensä välisestä rahansiirrosta. Hän ei ole myöskään luonut verkkopankissa eikä muutoinkaan käynnistänyt mitään maksutapahtumaa, jonka perusteella hän olisi voinut havaita tapahtumien olevan käynnissä. Lisäksi hänen puhelimessaan ei ole näkynyt pankin väittämiä yksilöintitietoja siltä osin kuin pankki on niin esittänyt.

Pankin on palvelutarjoajana käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja. Näin ei ole tässä tapauksessa tapahtunut eikä asiakas missään vaiheessa maksuvälineen käyttöä tehty tietoiseksi minkään maksutapahtuman edes olevan käynnissä. Lokitiedoista huolimatta asiakas on varma, ettei yhdessäkään tunnistautumispyynnössä ole hänelle näkynyt, että tunnistautuminen koskisi verkkopankkiin kirjautumista tai maksutapahtuman hyväksymistä. On kestämätön ajatus, että pankin omat lokit olisivat ratkaisevia näin tärkeässä asiassa. Koska pankki on teknisesti myös estänyt reaaliaikaisen kuvakaappauksen ottaminen tunnistautumispyynnöistä tai vahvistusviesteistä, yksittäinen käyttäjä ei voi esittää mitään lisänäyttöä hyväksymiensä vahvistuspyyntöjen sisällöstä.

Asiakas haluaa myös huomauttaa, että pankin toimittamat tiedot ovat puutteellisia. Ne eivät mm. kerro yhteydenottojen maantieteellistä sijaintia eivätkä ne todista mitä asiakkaan puhelimessa on näkynyt tai jäänyt näkymättä. Asiakkaan puhelin ja siinä olevat lokitiedot ym. ovat FINEn mahdollisen asiantuntijatodistajan tutkittavissa. Mitään tietoja ei ole poistettu puhelimesta 1.11.2023 tapahtuman jälkeen. Asiakas on yrittänyt tutkia puhelimen lokitietoja eikä löydä mistään viitteitä pankin väitetyistä viesteistä. 

Asiakas on noin 80-vuotias oikeustoimikelpoinen henkilö, jolle sähköinen asiointi on vaikeata. Hän on kuitenkin katsonut olleen pakotettu ottamaan sähköisiä pankkitunnuksia käyttöön, koska muuten moni perusasiointi olisi mahdotonta. Asiakas on opetellut sähköisten työkalujen käyttöä ja katsoo olevansa huolellinen asioinnissaan. Hän on myös hyvin tietoinen siitä ettei vieraita viestejä tai linkkejä pidä avata. Teknisten laitteiden käyttö rajautuu lähes yksinomaan pankki-, terveyshuollon ja viranomaisasiointiin.

Lisäksi vaikka kortin tiedot olisi jollakin tavalla tullut oikeudettomasti kolmannen tietoon, pankin olisi oikein toteutetulla monivaiheisella maksun tunnistautumisella tullut tässä tapauksessa havaita verrattain isot oikeudettomat online-korttimaksut. Asiakas ei ole kuitenkaan saanut mitään esim. tekstiviestillä lähetettyä kertakäyttöistä monivaiheista todentamistietoa kyseessä olevista online-korttiostoksista.

MFA on tietoturvaprosessi, jossa käyttäjän on annettava kaksi tai useampi erilaista tunnistautumistapaa varmistaakseen henkilöllisyytensä ja päästäkseen järjestelmään, sovellukseen tai palveluun taikka todentaakseen maksutapahtumaa. Kun pankki vaatii monivaiheista tunnistautumista korttiostosten hyväksymiseksi verkossa, se pyytää asiakasta antamaan useamman kuin yhden todentamistiedon ennen maksun hyväksymistä. Tämä voi sisältää esimerkiksi asiakkaan kirjautumistiedot (kuten käyttäjätunnus ja salasana) sekä lisävarmenteen, kuten tekstiviestillä lähetetyn kertakäyttöisen PIN-koodin tai mobiilisovelluksen generoiman tunnisteen. Tällainen monivaiheinen tunnistautuminen lisää turvallisuutta, koska se vaikeuttaa huijareiden pääsyä asiakkaiden tileille ja oikeudettomat maksutapahtumat, vaikka huijarit saisivatkin haltuunsa asiakkaan salasanan tai korttitiedot. Näin pankit pyrkivät suojaamaan sekä asiakkaidensa varoja että omaa mainettaan turvallisena ja luotettavana palveluntarjoajana.

Asiakkaan näkemyksen mukaan on aukottomasti riidatonta, ettei pankki ole soveltanut monivaiheista tunnistautumista kyseessä olevien oikeudettomien korttiostosten todentamisessa. Pankin kuuluu siten voimassa olevan lainsäädännön perusteella kantaa vastuuta ainakin näistä.

Pankkien velvollisuus toteuttaa monivaiheista tunnistautumista online korttiostosten hyväksymisessä perustuu Euroopan unionin PSD2-maksupalveludirektiiviin, jossa asetetaan säännökset maksupalvelujen tarjoajille, ja se edellyttää vahvaa asiakasautentikointia verkko-ostosten yhteydessä.  Asiakas viittaa myös maksupalvelulain 62 ja 85 c §:in.

Maksupalveludirektiivi ja siihen liittyvät säädökset asettavat vaatimuksia vahvalle tunnistautumiselle (Strong Customer Authentication, SCA) sähköisissä maksutapahtumissa. Vahva tunnistautuminen edellyttää vähintään kahta seuraavista kolmesta tekijästä:

1. Jotain, mitä käyttäjä tietää (esimerkiksi salasana tai PIN-koodi).
2. Jotain, mitä käyttäjällä on (esimerkiksi puhelin tai kortti).
3. Jotain, mitä käyttäjä on (esimerkiksi sormenjälki tai kasvojentunnistus).
Näiden tekijöiden on oltava toisistaan riippumattomia siten, että yhden tekijän vaarantuminen ei vaaranna muiden tekijöiden turvallisuutta.

Pankin ID-sovellus voi täyttää SCA-vaatimukset, jos se käyttää kahta edellä mainittua tekijää. Esimerkiksi:

· Käyttäjä kirjautuu sovellukseen salasanalla (jotain, mitä käyttäjä tietää) ja vahvistaa maksun biometrisellä tunnistautumisella, kuten sormenjäljellä (jotain, mitä käyttäjä on).
· Vaihtoehtoisesti käyttäjä voi käyttää sovellusta yhdessä kertakäyttöisen tunnuksen kanssa, joka lähetetään erillisenä (jotain, mitä käyttäjällä on).

PSD2 tekniset standardit (Regulatory Technical Standards, RTS) määrittelevät tarkemmin, kuinka SCA-vaatimukset tulee täyttää. RTS vaatii, että tunnistautumistekijät ovat itsenäisiä ja yksi tekijä ei voi vaarantaa muiden tekijöiden turvallisuutta. Jos pankin ID-sovelluksessa käytetään vain yhtä tekijää tai kaksi tekijää eivät ole itsenäisiä, pankki ei täytä RTS vaatimuksia. Asiakkaan tapauksessa:

· Ei ole ollut PIN-koodia tai biometrisiä tunnisteita puhelimessa: Jokapäiväisen käytön helpottamiseksi, asiakkaan puhelimessa ei ole käytössä mitään näistä.

· Ainoa käytetty tunnistautumistekijä on ollut pankin ID-sovellus: Tämä tarkoittaa, että asiakas ei ole käyttänyt muuta erillistä tunnistautumismekanismia, vaan ainoastaan ID-sovelluksen.

Analyysi PSD2 kannalta:

a. Vahvan tunnistautumisen vaatimukset:
- Kun pankin ID-sovellus on ollut ainoa tunnistautumismekanismi eikä laite itsessään ole suojattu PIN-koodilla tai biometrisillä tunnisteilla, toinen vaadittu tekijä puuttuu. Tämä ei täytä PSD2 SCA-vaatimuksia.
b. Dynaaminen linkittäminen:
- Vaikka maksutapahtuman yksilöintitiedot lähetettäisiin viestissä (mitä asiakkaan mukaan ei ole tapahtunut) ja käyttäjä vahvistaisi ne pankin ID-sovelluksella, tämä prosessi itsessään ei ole riittävä, ellei siihen liity kahta erillistä tunnistautumistekijää.
- Pelkkä maksutapahtuman tiedon vahvistaminen ID-sovelluksella ei riitä, kun puuttuu toinen tekijä, joka varmistaa käyttäjän henkilöllisyyden.
c. Itsenäisyys:
- PSD2 vaatimuksissa korostetaan tunnistautumistekijöiden itsenäisyyttä. Jos ID-sovellus on ainoa tekijä eikä laite ole suojattu muilla keinoilla, tämä ei ole riittävän itsenäinen ja turvallinen ratkaisu.
Tunnistautumistekijöiden on oltava riittävän erillisiä ja luotettavia varmistaakseen käyttäjän henkilöllisyyden ja tapahtuman eheyden.

Euroopan pankkiviranomainen (EBA) on antanut PSD2 mukaiseen vahvaan asiakastunnistukseen liittyvän lausunnon osana toimialan itsesääntelyä (EBA-Op-2019-06). Lausunnon kohdassa 38 toistetaan PSD2 vaatimusta tunnistuselementtien itsenäisyydestä, ja kohdassa 40 EBA tuo esiin näkemyksensä, että maksutapahtuman yhteydessä samaa jo kerran käytettyä tunnistuselementtiä (esim. PIN koodia maksuvälineen hallussapidon todentamiseksi, kuten asiakkaan tapauksessa) voidaan käyttää uudelleen samassa istunnossa toisena itsenäisenä elementtinä (eli osoituksena jostakin, jonka vain käyttäjä tietää), edellyttäen että sama jo kerran käytetty tieto toistetaan maksun käynnistämisen yhteydessä ja linkitetään kyseiseen maksutapahtumaan.

Toisin kuin EBA:n yllä mainittu itsesääntely, PSD2 on voimassa olevana lainsäädäntönä kuitenkin ensisijainen. Tältä osin asiakas toteaa lainsäädännön sanovan, että PSD2:n keskeinen tavoite on varmistaa sähköisten maksujen turvallisuus ja "vähentää petosriskiä mahdollisimman paljon".

Asiakas toteaa edelleen, että PSD2 4 artiklan 30 kohdassa, vahva asiakastunnistus määritellään tunnistautumiseksi, jossa käytetään tunnistamistiedon luottamuksellisuuden suojaamiseksi menettelyä, joka perustuu kahteen tai useampaan tekijään, jotka kuuluvat toisistaan riippumattomiin ryhmiin, jotka ovat tieto, hallussapito ja erityinen ominaisuus siten, että yhden rikkominen ei aseta kyseenalaiseksi muiden luotettavuutta. Asiakkaan mielestä PSD2-vaatimusta vahvasta asiakastunnistuksesta rikotaan, jos samaa tunnistuselementtiä käytetään uudelleen samassa istunnossa kahdessa eri roolissa (esim. sekä maksuvälineen/sovelluksen hallussapidon että tiedon osoittamiseksi). Tapauksessa samaa sovelluksen määriteltyä PIN-koodia on mitä ilmeisemmin käytetty sekä maksuvälineen/sovelluksen hallussapito-elementin todentamisessa (sovelluksen avaaminen puhelimessa edellyttää PIN-koodin syöttämistä maksuvälineen/sovelluksen hallussapidon osoittamiseksi), että tietona, minkä vain käyttäjä tietää-elementin tunnistamistietona. Asiakas perustaa tämän seuraavaan:

1) Itsenäisyyden/riippumattomuuden puute: PSD2 edellyttää, että vahvan asiakastunnistuksen perustana olevat kaksi tai useampia tunnistuselementtiä ovat itsenäisiä ja toisistaan riippumattomia, eli yhden elementin kompromissointi ei saa vaarantaa muiden elementtien luotettavuutta. Kun samaa tunnistuselementtiä, kuten PIN-koodia, käytetään sekä maksuvälineen/sovelluksen hallussapidon, että tiedon osoittamiseen, näiden elementtien itsenäisyys ja riippumattomuus kyseenalaistuu. Jos esimerkiksi PIN-koodi vaarantuu, molemmat tunnistuselementit voivat vaarantua, koska samaa tietoa käytetään kahdessa eri tarkoituksessa.
2) Vähentynyt turvallisuus ja PSD2 hengen vastaisuus: PSD2:n keskeinen tavoite ja vahvan asiakastunnistuksen tarkoituksena on maksimoida maksutapahtuman turvallisuus ja petosriskien minimointi. Käyttämällä samaa tunnistuselementtiä kahdesti samassa istunnossa, maksutapahtuman turvallisuustaso heikkenee, koska vain yksi tieto, joka voidaan mahdollisesti kompromissoida, määrittää sekä hallussapidon, että tiedon osoittamisen. Se, että samaa elementtiä käytetään kahdessa eri tarkoituksessa, on ristiriidassa PSD2:n keskeisen tavoitteen kanssa, eikä täytä vahvan asiakastunnistuksen vaatimaa suojaustasoa.

Tunnistussovelluksen aktivoimista omalle laitteelle ei voida automaattisesti pitää todisteena sovelluksen hallussapidosta myöhempänä ajankohtana. Asiakkaan tapauksessa samaa saman sovelluksen PIN-koodia on käytetty sekä sovelluksen hallussapidon että maksutapahtuman vahvistamiseen. Asiakas ymmärtää PIN-koodin käytön osoittamaan hallussapitoa, mutta selvästi, jos yksittäisen maksutapahtuman vahvistamiseen olisi vaadittu esimerkiksi erikseen lähetetyn kertakäyttöisen PIN-koodin syöttäminen, asiakas olisi todennäköisesti huomannut oikeudettomien maksutapahtumien olevan käynnissä.

Johtopäätöksenä pankin ID-sovellus voi ehkä teoriassa täyttää SCA-vaatimukset, mutta sen täytyy käyttää kahta toisistaan riippumatonta tekijää. Jos pankki käyttää vain yhtä tekijää tai kaksi tekijää eivät ole riittävän riippumattomia, pankki rikkoo PSD2 ja siihen liittyvien teknisten standardien vaatimuksia. Tämän vuoksi pankit asiakkaan käsityksen mukaan lisäävätkin järjestelmäuudistuksissaan tänä päivänä toisen tekijän prosesseihinsa, kuten kertakäyttöisen tunnuksen, varmistaakseen säädösten täyttämisen ja lisätäkseen maksutapahtumien turvallisuutta. Asiakkaan mielestä on selvää, että pankki ei ole soveltanut vahvaa tunnistautumista asianmukaisesti oikeudettomien korttiostosten todentamisessa.

Asiakas viittaa myös maksupalvelulain 38 §:n 1 momentissa vaadittuun maksutapahtuman suostumukseen ja tätä koskevaan Itä-Suomen hovioikeuden 13.11.2024 antamaan tuomioon Nro 462, diaarinumerolla S 24/214. Kyseisen asian tapahtumankulku on analogisesti hyvin lähellä nyt käsiteltävää tapausta ja koska asiakas ei ole antanut maksupalvelulain 38 §:n 1 momentissa tarkoitettua suostumusta riitautetuille maksutapahtumille, pankin ei asiakkaan mielestä myöskään voida katsoa asianmukaisesti toteuttaneen vaadittua maksutapahtumien suojaustasoa.

Kuten hovioikeuden tapauksessa, asiakasta on erehdytetty rikollisten toimesta olettamaan, että hän osallistuu oikeudettoman lainan nostamisen kiireelliseen estämiseen, vaikka todellisuudessa kysymys on ollut maksutapahtumien vahvistamisesta. Kuten hovioikeus toteaa, nyt käsitellyn kaltainen tilanne eroaa huomattavasti tavallisesta motiivierehdyksestä. Motiivierehdyksen syy ei ole ollut asiakkaan toiminnasta johtuva, vaan se on ollut seurausta ulkopuolisten asiakkaan kohdistamasta aktiivisesta erehdyttämisestä. Asiakkaan erehdys on saatu aikaan petosrikoksella, jossa huomioitavaa, että mitään maksutapahtumia ei olisi ollut, elleivät rikolliset olisi ensin luoneet kyseessä olevia maksutapahtumia asiakkaan verkkopankissa tai muutoin ja aikaisemmalla toiminnallaan jo erehdyttäneet asiakasta luulemaan, että kyseessä on hänen osallistumisensa oikeudettomien maksutapahtumien kiireelliseen estämiseen. Asiakas ei siten ilman rikollisten aktiivisia toimia olisi ryhtynyt tässä tilanteessa minkäänlaisiin tahdonilmaisuihin maksutapahtumien luomiselle tai niiden vahvistamiselle eikä hän millään tavalla ole myöskään tosiasiassa osallistunut riitautettujen maksutapahtumien luomiseen omassa verkkopankissaan eikä ole ollut sellaisten maksutapahtumien luomisesta edes tietoinen.

Koska asiakas ei ole antanut maksupalvelulain 38 §:n 1 momentissa tarkoitettua suostumusta riitautetuille maksutapahtumille, asiakas toteaa hovioikeuden ratkaisun valossa kysymyksen lopulta olevan siitä, onko asiakas laiminlyönyt maksupalvelulain 53 §:n 1 momentissa säädettyjä ja pankkitunnusehtojen mukaisia velvollisuuksiaan maksuvälineestä huolehtimisesta luovuttaessaan pankkitunnuksensa rikollisille syöttämällä ne pankin tunnistussovellukseen tai sen näköiselle sivustolle ja onko pankkitunnusten oikeudeton käyttö siten johtunut asiakkaan törkeästä huolimattomuudesta. Kuten voi tapahtumakuvauksesta todeta, asiakkaan ei voida katsoa missään vaiheessa menetelleen asiassa törkeän huolimattomasti ja pankin tulee siten palauttaa asiakkaalle oikeudettomien maksutapahtumien kohteena olleet rahat.

Pankin vastine

Asiakkaan näkemyksen mukaan vastuu maksutapahtumista tulisi jäädä kokonaan pankin vastattavaksi. Pankki ei jaa asiakkaan näkemystä vastuunjaosta. Laki, sopimusehdot ja vastaavissa tapauksissa noudatettu ratkaisukäytäntö puoltavat sitä, ettei tapauksessa ole kyse oikeudettomista maksutapahtumista, joista aiheutuneesta vahingosta pankki vastaisi. Näin siksi, että asiakas on antanut maksutapahtumien veloittamiseen pankin lokitietojen osoittaman suostumuksen.

Tapahtumainkulku

Asiakkaan verkkopankkiin on 1.11.2023 kirjauduttu kaksi kertaa IP-osoitteesta, josta asiakkaan verkkopankkia ei ole aiemmin käytetty. Ensimmäisen istunnon aikana ei ole tehty mitään toimenpiteitä, ainoastaan selattu kortti- ja tilitietoja. Toisen istunnon aikana on muutettu Debit-kortin vuorokautista turvarajaa sekä tehty asiakkaan omien tilien välinen tilisiirto 1.300,00 euroa klo 15.25 Etutililtä.

Hieman myöhemmin asiakkaan korteilla on tehty kolme korttitapahtumaa. Pankki on jättänyt korttitapahtumat asiakkaan vastuulle siksi, että tapahtumat on toteutettu asiakkaan suostumuksen perusteella. Suostumus on annettu asiakkaan käytössä olleessa pankin tunnistussovelluksessa, joka on aktivoitu käyttöön 25.2.2023. Korttitapahtumien vahvistamiseen on käytetty siis samaa tunnistussovellusta, jolla on vahvistettu mobiilipankissa tehty asiakkaan oma 41,80 euron maksu samana päivänä 1.11.2023 klo 12.51.

Selvyyden vuoksi pankki toteaa, että pankin verkkopankissa tehtävät omien tilien väliset tilisiirrot eivät edellytä erillistä vahvistusta, koska talletusvarat pysyvät jatkuvasti tilinomistajan nimissä ja hallinnassa.

Kaksi asiakkaan vahvistamista maksuista on tehty MC-luottokortilla ja yksi Visa Debit -kortilla. Asiakkaan tunnistussovellukseen on lähetetty seuraavat vahvistuspyynnöt, joiden mukaiset tapahtumat asiakas on vahvistanut:
1.11.2023 klo 15:46:16.
Nets begär bekräftelse
Vill du göra en betalning med Mastercard?
Mottagare: BFINITY BITFI TECHNOLOGY LIMITED
Belopp: 2 000,00 EUR
Från kort: **** **** **** 3948
Tid: 2023-11-01
Tapahtuma on vahvistettu 1.11.2023 klo 15:46:43

1.11.2023 klo 15:47:21
Nets begär bekräftelse
Vill du göra en betalning med Visa?
Mottagare: revolutie*Dublin
Belopp: 2 800,00 EUR
Från kort: **** **** **** 2224
Tid: 2023-11-01
Tapahtuma on vahvistettu 1.11.2023 15:47:54

1.11.2023 klo 16:00:02
Nets begär bekräftelse
Vill du göra en betalning med Mastercard?
Mottagare: BFINITY BITFI TECHNOLOGY LIMITED
Belopp: 2 900,00 EUR
Från kort: **** **** **** 3948
Tid: 2023-11-01
Tapahtuma on vahvistettu 1.11.2023 klo 16:00:08

Pankin tunnistussovelluksessa ei ole paikannustietoja, joten saatavilla ei ole tietoa maantieteellisestä sijainnista, jossa asiakas on ollut vahvistusviestit saadessaan. Sovelluksen vahvistusviestit eivät myöskään tallennu puhelimeen kuten tekstiviestit, mutta pankilla on lokitieto kuhunkin pankin tunnistussovellukseen lähetetyistä vahvistusviesteistä ja niihin annetuista vastauksista. Tässä vastauksessa annetut tiedot tapahtumainkulusta ja vahvistusviestien sisällöstä perustuvat pankin lokitietoihin.

Sovellettava lainsäädäntö ja sopimusehdot

Maksupalvelulain 38 §:n mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla. Pankin ja asiakkaan korttisopimukseen sovelletaan pankin korttiehtoja. Ehtojen mukaan kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan pankille tai muun korttiominaisuuden myöntäneelle yritykselle hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla pankin hyväksymällä tunnisteella.

Pankin ja asiakkaan sopimukseen pankkitunnuksista sovelletaan pankin pankkitunnuksilla käytettävien palvelujen yleisiä sopimusehtoja. Ehtojen mukaan tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille verkkopankkipalvelun edellyttämällä tavalla.

Pankin vastaus asiakkaan lisäkirjelmään

Kun pankin tunnistussovellus aktivoidaan, sovellus toimii vain siinä puhelimessa/laitteessa, johon aktivointikoodit on syötetty. Aktivoitua sovellusta ei siis voi siirtää puhelimesta toiseen, joten aktivoitu sovellus itsessään on yksi sääntelyn edellyttämistä turvatekijöistä eli "jotain, mitä käyttäjällä on". Tunnistustapahtumaa tehtäessä tulee siis asiakkaalla olla hallussaan ko. laite, johon asiakas on sovelluksen alun perin aktivoinut.

Toinen sääntelyn edellyttämä turvatekijä on pankin tunnistussovellukseen määritelty PIN-koodi tai biometrinen tunniste (jotain, mitä käyttäjä tietää tai jotain, mitä käyttäjä on). Pankin tunnistussovelluksessa maksut hyväksytään aina PIN-koodilla.

Puhelimen näyttölukon käytöllä tai käyttämättömyydellä ei ole merkitystä asiassa. Toki pankin vahva suositus on, että näyttölukkoa käytetään.

Pankin näkemyksen mukaan pankin tunnistussovellus täyttää sääntelyn vaatimukset ja vahvaa tunnistamista on sovellettu tapauksessa sääntelyn edellyttämällä tavalla.

Vahva tunnistaminen maksutoimeksiannon hyväksymisen yhteydessä on toteutettu pankissa maksupalvelulain ja maksupalveludirektiivin 98 artiklan nojalla annettujen komission teknisten sääntelystandardien mukaisesti. "Kaksi erillistä turvatekijää" koostuu siitä, että asiakkaalla on:
1. Pankin tunnistussovellus asennettuna & aktivoituna omalla laitteellaan (=Something you have)
2. Asiakkaan itse asettama PIN-koodi (=something you know), joka toimii vain kohdassa 1) tarkoitetussa sovelluksessa.
Turvatekijät ovat erillisiä ja toistaan riippumattomia. Molempien edellä mainittujen turvatekijöiden täytyy olla käytettävissä yhtäaikaisesti, jotta esimerkiksi korttimaksun hyväksyminen on mahdollista.

Korttimaksun vahvistaminen tapahtuu avaamalla pankin tunnistussovellus, johon heräte on lähetetty. Maksu vahvistetaan PIN-koodilla. Tässä prosessissa PIN-koodi annetaan kerran.

Maksupalvelulaki tai siihen liittyvä muu sääntely ei sisällä vaatimusta siitä, että sisäänkirjautumiseen ja maksun hyväksymiseen pitäisi olla erilliset turvatekijät. Pankin vahvan tunnistamisen prosessi täyttää sääntelyn asettamat vaatimukset.

Vastuu pankkitunnuksilla vahvistetusta korttimaksusta

Pankki katsoo, että tapauksessa asiakas on ensin johdateltu antamaan pankkitietojaan sivulliselle ja hyväksymään pankin tunnistussovelluksellaan sivullisen kirjautuminen verkkopankkiin. Korttimaksuun tarvittava kortin numero kokonaisuudessaan ja kortin CVC-koodi eivät ole saatavissa verkkopankista, vaan asiakkaan on täytynyt antaa ne ulkopuoliselle taholle erikseen. Ulkopuolisen tekemät online-korttimaksut asiakas on tämän jälkeen hyväksynyt pankin tunnistussovelluksessaan.

Pankki on jättänyt riidanalaiset maksut asiakkaan vastuulle, sillä ne on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot (mm. maksunsaajan nimi ja summa) on näytetty vahvistuksen yhteydessä. Pankki katsoo, että tapauksessa asiakas on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksen, kun hän on hyväksynyt tunnistussovelluksessaan selväsanaiset herätteet "Vill du göra en betalning med Mastercard?" ja "Vill du göra en betalning med Visa?”. Myös tarkemmat korttimaksujen tiedot on näytetty asiakkaalle kunkin herätteen yhteydessä. Näin ollen oikean tulkinnan tekeminen tunnistussovelluksen pyytämästä toimesta ei ole edellyttänyt muuta kuin herätteen lukemista. On huomattava, että sovellus pyytää nimenomaan asiakkaan suostumusta, eikä kyse ole sellaisesta pistemäisestä toimenpiteestä, jonka suoraa merkitystä ei voisi herätteestä ymmärtää. Tunnistussovellus pyytää asiakkaan suostumusta yksilöityyn toimenpiteeseen ja pankin lokitietojen perusteella voidaan todeta asiakkaan antaneen suostumuksensa nimenomaisesti tapauksessa kysymyksessä olevien maksujen tekemiseen. Kun asiakas on antanut nämä tiedot hyväksyessään pankille suostumuksensa maksujen veloittamiseen, maksut eivät ole oikeudettomia maksupalvelulain 38 §:n mukaan, vaikka maksut jälkikäteen osoittautuisivatkin liittyvän tietojenkalasteluun ja verkkorikollisuuteen. Pankilla ei siten ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevista maksuista.

Internetissä tehtävissä korttimaksuissa maksupalvelulain 85 c §:ssä säädetty vaatimus vahvasta tunnistamisesta ja siihen liittyvästä maksutapahtuman määrän ja maksunsaajan yhdistämisestä toteutuu, kun maksaja hyväksyy pankin tunnistussovelluksessa korttimaksun, jonka tiedot sovelluksessa esitetään. Koska maksutapahtumat on tapauksessa toteutettu asiakkaan tunnistussovelluksessa antamaan suostumukseen perustuen, pankin näkemyksen mukaan kyse ei ole oikeudettomista maksutapahtumista. Siten vastuuta ei arvioida tapauksessa maksupalvelulain 62 §:n perusteella.

Asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksut, eivät kuulu pankin taloudellisen vastuun piiriin.

Jos kuitenkin pankkilautakunta katsoisi, ettei asiakas ole antanut maksutapahtumille tapauksessa suostumustaan, pankki katsoo toissijaisesti asiakkaan vastaavan vahingosta maksupalvelulain 62 §:n perusteella, koska asiakas on törkeästä huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaiset velvollisuutensa.

Pankki viittaa maksupalvelulain 53 §:n 1 momenttiin, 62 §:än ja hallituksen esityksessä HE 169/2009 törkeästä huolimattomuudesta todettuun sekä pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta kohtaan.

Tapauksessa sivullisen tietoon on päätynyt asiakkaan tunnistetietoja, kuten verkkopankin käyttäjätunnus sekä korttitietoja. Tämän lisäksi asiakas on tunnistussovelluksellaan hyväksynyt verkkopankkikirjautumisen sekä korttimaksuja, joista on nähnyt olennaiset tiedot. Maksunvahvistuspyyntö on sanamuodoltaan selkeä, eikä sen tarkoituksesta ole pankin näkemyksen mukaan erehtymisen vaaraa. Ottaen huomioon, että tunnistussovellusta käytetään pankkiasiointiin sekä henkilöllisyyden osoittamiseen kolmansien tahojen palveluissa, katsomme, että on erittäin varomatonta hyväksyä sovelluksessa herätteitä, joita asiakas ei ole lukenut tai joiden merkitystä asiakas ei jostain syystä ymmärrä. Pankki katsoo, että asiakkaan hyväksymistahdonilmaisut verkkopankkiin kirjautumiselle ja korttimaksujen vahvistamiselle tilanteessa, jossa asiakas ei ole ollut itse kirjautumassa verkkopankkiinsa tai tarkoittanut maksaa korttimaksuja, osoittavat erittäin vakavaa varomattomuutta ja piittaamatonta suhtautumista maksuvälineen käyttöön liittyviin turvallisuusriskeihin. Näin ollen asiakas vastaa pankin näkemyksen mukaan vahingosta täysimääräisesti.

FINEn esittämä lisäselvityspyyntö

Mitä asiakkaan tunnistussovelluksen vahvistuspyynnöissä on näkynyt siinä yhteydessä, kun asiakkaan verkkopankkiin on kirjauduttu kahteen otteeseen?

Asiakkaan sovellukseen on lähetetty seuraava vahvistusviesti:

Vill du logga in
i privatkundernas nätbank?
Inloggningskod:
FWKH
Innan du bekräftar, kontrollera att inloggningskoden är densamma som den som visas på inloggningssidan
Asiakas on hyväksynyt ko. vahvistuspyynnön ja huijarit ovat päässeet verkkopankkiin klo 15:17.54. Kyseisessä istunnossa on tehty asiakkaan omien tilien välinen siirto.

Ensimmäisestä kirjautumisesta (15:11:10) ei ole enää lokitietoa saatavilla, mutta vahvistusviesti verkkopankkikirjautumisissa on aina sama lukuun ottamatta vaihtuvaa kirjautumistunnistetta. Ensimmäisessä istunnossa ei ole tehty mitään toimenpiteitä, vaan ainoastaan selattu kortti- ja tilitietoja.

Miten ilman vahvaa tunnistamista tehty 1.300 euron siirto asiakkaan säästötililtä tämän käyttötilille on vaikuttanut asiassa toteutuneen vahingon määrään?

Pankki katsoo, ettei omien tilien välisellä siirrolla ole syy-yhteyttä asiakkaan kärsimään vahinkoon. Vahinko on aiheutunut asiakkaan suostumuksella tehdyistä maksutapahtumista, joita ei ole pidettävä oikeudettomana. Kyseiset asiakkaan hyväksymät korttitapahtumat ovat 2.000,00, 2.800,00 ja 2.900,00 euroa eli yhteensä 7.700,00 euroa.

Pankki ei jaa Pankkilautakunnan näkemystä aiemman ratkaisun FINE-075040 perusteluista siltä osin, kun lautakunta on katsonut pankin vastaavan vahingon siitä määrästä, joka on siirretty verkkopankin sisäisenä siirtona asiakkaan vallinnassa olevien tilien välillä ilman maksajan vahvaa tunnistamista. Pankkilautakunta on todennut kyseisessä ratkaisussaan, että lähtökohtaisesti asiakas vastaa suostumuksellaan tehdystä maksutapahtumasta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa. Lautakunta on kuitenkin arvioinut kokonaisselvityksen perusteella, että omien tilien välinen siirto on vaikuttanut aiheutuneen vahingon määrään ja että pankki vastaa vahingosta tältä osin. Pankin vastuuseen liittyvät juridiset perustelut jäävät lautakunnan ratkaisussa epäselviksi.

Nyt kysymyksessä olevaan tapaukseen liittyvässä omien tilien välisessä siirrossa ei ole edellytetty vahvaa tunnistautumista komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Maksutapahtuma, jossa maksaja ja maksunsaaja ovat olleet sama luonnollinen henkilö, on ollut oikeudeton, mutta maksutapahtumasta ei ole seurannut varallisuusvahinkoa asiakkaalle varojen säilyessä edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytys olisi täyttynyt, jos varat tässä yhteydessä olisivat päätyneet kolmannen osapuolen haltuun. Pankki ei jaa lautakunnan näkemystä siitä, että em. lainkohdan mukaista pankin vastuuta tulkittaisiin niin, että pankki vastaa maksutapahtumasta silloinkin, kun transaktiosta ei ole realisoitunut mitään vahinkoa.

Nyt arvioitavassa tapauksessa omien tilien välisen siirron on oikeudettomasti tehnyt huijari, mutta asiakas ei ole siirron johdosta menettänyt varoja. Omien tilien välinen siirto tapahtuu nimenomaisesti vain asiakkaan vallinnassa olevien tilien, eli sellaisten tilien välillä, joissa asiakas on tilinomistaja tai käyttöoikeudenhaltija. Tämä on peruste sille, että omien tilien väliset siirrot ilman maksajan vahvaa tunnistamista on ylipäätään voitu mahdollistaa sekä sääntelyllisesti että käytännössä.

Jos maksuvälineenä olisi käteinen, tilanne vertautuu siihen, että henkilö siirtää käteistä rahaa taskustaan toiseen taskuunsa. Varat pysyvät ko. henkilön hallinnassa varojen siirtämisestä huolimatta siihen saakka, kunnes hän antaa käteisvarat pois hallustaan ulkopuoliselle henkilölle.

Tapaukseen liittyviä maksutapahtumia tulee arvioida maksupalvelulain 62 §:n nojalla itsenäisinä tapahtumina, ei kokonaisuutena. Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat siirretään pois asiakkaan hallussa olevalta tililtä asiakkaan itse tunnistussovelluksellaan antaman suostumuksen perusteella. Tästä syystä pankki katsoo, että pankki ei ole miltään osin vastuussa maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta, koska pankki on nimenomaisesti edellyttänyt vahvaa tunnistautumista niiden maksutapahtumien osalta, jolla varat on siirretty asiakkaan tililtä huijarille. Jos huijaus olisi jostain syystä keskeytynyt omien tilien välisen siirron jälkeen, ei mitään vahinkoa olisi myöskään aiheutunut.

Vahingon määrän pieneneminen tai kokonaan toteutumatta jääminen olisi edellyttänyt sitä, että huijari ei olisi lainkaan saanut haltuunsa asiakkaan henkilökohtaisia tunnistetietoja ja että asiakas ei olisi itse vahvistanut huijarin kirjautumista asiakkaan verkkopankkiin tai ainakaan huijarin tekemiä korttimaksuja. Vahingon välttämättömiä edellytyksiä, conditio sine qua non ja oikeudellisesti relevantteja tapahtumia ovat edellä mainitut toimet eli asiakkaasta itsestään riippuva ja hänen kontrolloitavissaan oleva toiminta.

Asiakas on itse mahdollistanut vahingon syntymiseen luovuttamalla tunnistautumistietonsa huijareille ja hyväksymällä tämän jälkeen vahvistuspyyntöjä tunnistussovelluksessaan. Vastoin Pankkilautakunnan em. aiemmassa ratkaisussaan ottamaa kantaa, pankki katsoo jäävän näyttämättä, mikä merkitys vahvalla tunnistamisella olisi ollut omien tilien välisen siirron toteutumisen ja siten tapauksessa kokonaisuudessaan syntyneen vahingon kannalta. Huijaustilanteessa asiakas on ollut valmis hyväksymään hänelle osoitetut vahvistuspyynnöt, eli kirjautumisen verkkopankkiin ja maksutapahtuman tililtään vieraalle tilille. Vahvan tunnistautumisen käytön suorana seurauksena ei siten voida pitää omien tilien välisen siirron toteutumatta jäämistä eli asiakkaalle aiheutuneen vahingon rajautumista.

Yhteenvetona pankki toteaa, että korvausvelvollisuuden edellytyksenä on vastuuperuste, kyseiseen perusteeseen liittyvä vahinko ja vahingon syy-yhteys korvausvastuuseen johtavaan tekoon, toimintaan tai laiminlyöntiin. Tapauksessa pankin vastuuperuste on maksupalvelulain 62 §:n 3 momentin 4 kohdan mukainen palvelutarjoajan vastuu maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistautumista. Kyseiseen perusteeseen liittyvä vahinkoedellytys puuttuu, koska asiakkaalle ei ole aiheutunut mitään varallisuusvahinkoa omien tilien välisen siirron toteuttamisella. Asiakkaan laiminlyönti luovuttaessaan henkilökohtaisia tunnistetietojaan huijareille ja maksujen hyväksyminen ovat välttämättömässä syy-yhteydessä aiheutuneeseen vahinkoon, ei omien tilien välinen siirto. Vahingon määrä on ollut riippuvainen siitä, minkä suuruisia korttimaksuja asiakas on vahvistanut tehtäväksi tililtään ulkopuoliselle taholle.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin korttiehdot
- Pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi FINEn on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. korttitapahtumille vai onko maksutapahtumia pidettävä oikeudettomina. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on FINEn arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista asiakkaan omien tilien välisen tilisiirron yhteydessä?

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 8 §:n (Määritelmät.) mukaan

Tässä laissa tarkoitetaan:
[…]
24) vahvalla tunnistamisella maksupalvelun käyttäjän sähköistä tunnistamista, jossa suojataan tunnistamistiedon luottamuksellisuutta ja käytetään menettelyä, joka perustuu vähintään kahteen seuraavista kolmesta toisistaan riippumattomasta vaihtoehdosta:
a) johonkin, mitä vain maksupalvelun käyttäjä tietää;
b) johonkin, mitä vain maksupalvelun käyttäjällä on hallussaan;
c) maksupalvelun käyttäjän yksilöivään ominaisuuteen;
[…]

Maksupalvelulain 38 §:n (Maksajan suostumus maksutapahtuman toteuttamiseen) 1 momentin mukaan
Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Lain 54 §:n 1 momentin mukaan
Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Lain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 momentin mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla.
Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta.
Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa.
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Komission delegoidun asetuksen (EU) 2018/389 24 artiklan mukaan
Yhdistäminen maksupalvelunkäyttäjään
1. Maksupalveluntarjoajien on varmistettava, että henkilökohtaiset turvatunnukset, tunnistamislaitteet ja -ohjelmistot yhdistetään suojatulla tavalla ainoastaan maksupalvelunkäyttäjään.
2. Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki seuraavat vaatimukset täyttyvät:
a) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin, tunnistamislaitteisiin ja -ohjelmistoihin toteutetaan maksupalveluntarjoajan vastuulla suojatuissa ympäristöissä, jotka käsittävät ainakin maksupalveluntarjoajan toimitilat, sen tarjoaman internetympäristön tai muut vastaavat sen käyttämät suojatut verkkosivustot ja sen pankkiautomaattipalvelut, ottaen huomioon riskit, jotka liittyvät yhdistämisprosessin aikana käytettäviin laitteisiin ja peruskomponentteihin, jotka eivät ole maksupalveluntarjoajan vastuulla;
b) maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin ja tunnistamislaitteisiin ja -ohjelmistoihin etäkanavan välityksellä suoritetaan käyttämällä asiakkaan vahvaa tunnistamista.

Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin korttiehdot ja pankin pankkitunnuksilla käytettävien palvelujen yleiset ehdot (Pankkitunnusehdot).

Korttiehtojen Kortinhaltijan vastuu -kohdan mukaan
Kortinhaltija sitoutuu maksamaan ostoista, käteisnostoista tai toistuvaismaksuista tai muusta korttitapahtumasta syntyneen velan [pankille] tai muun korttiominaisuuden myöntäneelle yritykselle:
- hyväksymällä korttitapahtuman esim. vahvistamalla sen tunnusluvulla tai muulla [pankin] hyväksymällä tunnisteella.
- käyttämällä korttia internetissä
[…]

Korttiehtojen Kortin käyttäminen -kohdan mukaan
”[…]
Ennen korttitapahtuman hyväksymistä, kuten tunnusluvun näppäilemistä, muun [pankin] hyväksymän tunnisteen tai lähimaksuominaisuuden käyttämistä, kortinhaltijan on tarkistettava tapahtumaan merkityn valuutan, maksun määrän ja maksutavan oikeellisuus.
[…]

Korttiehtojen [Pankin] oikeudet -kohdan mukaan
[Pankilla] on oikeus vastata kortilla tehtyä käteisnosto ja/tai korttiostotapahtumaa koskevaan katetiedusteluun ja varata tapahtumalle kate korttiin liitetyltä tililtä.
[Pankki] on oikeutettu veloittamaan korttiin liitetyltä tililtä käteisnostot ja maksut, jotka kortinhaltija on hyväksynyt esim. käyttämällä korttia yhdessä tunnusluvun kanssa tai muun [pankin] hyväksymän tunnisteen kanssa, käyttämällä korttia internetissä, […]. [Pankki] vastaa siitä, että veloitukset kirjataan korttiin liitetylle tilille.
[…]

Pankkitunnusehtojen Tunnistautuminen Verkkopankkipalveluun -kohdan mukaan
Verkkopankkipalvelujen käyttämiseksi asiakas tunnistautuu ilmoittamalla pankille Verkkopankkipalveluun kirjautuessaan tunnistautumistietonsa. Asiakkaan kirjauduttua Verkkopankkipalveluun asiakas ei saa antaa avattua palveluyhteyttä muun tahon käytettäväksi.
Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Pankkitunnusehtojen Yleistä tunnistautumistietojen säilyttämisestä ja asiakkaan vastuusta -kohdan mukaan
Kuluttaja-asiakkaan tunnistautumistiedot ovat henkilökohtaiset, eikä niitä saa osittainkaan luovuttaa sivullisen tietoon tai haltuun. Kuluttaja- asiakas ei saa antaa valtuutusta tunnistautumistietojen käyttämiseen.
Yritys- tai yhteisöasiakkaan tunnistautumistiedot ovat asiakaskohtaiset, eikä niitä saa osittainkaan luovuttaa muille kuin niiden käyttöön oikeutetuille.
Asiakas sitoutuu säilyttämään tunnistautumistiedot huolellisesti ja varmistamaan säännöllisesti, että tunnistautumistiedot ovat tallessa. Asiakkaan tulee huolehtia, etteivät tunnistautumistiedot joudu osittainkaan sivullisen tietoon tai haltuun. Asiakas sitoutuu säilyttämään käyttäjätunnuksesta, tunnistautumislaitteesta, [pankin tunnistussovellus] -sovelluksesta, salasanasta, PIN-koodista tai muista pankin hyväksymistä tunnistautumistavoista koostuvat tunnistautumistiedot erillään toisistaan. Tunnistautumistietoja ei saa kopioida, tallentaa tai toisintaa muutoin kuin pankin järjestelmään tai pankin hyväksymällä tavalla.
Mikäli tunnistautumistiedot ovat kadonneet tai asiakkaalla on syytä epäillä, että ne ovat joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun, asiakas on velvollinen välittömästi ilmoittamaan tästä pankille palvelujen asiattoman käytön estämiseksi. Asiakkaan käyttäessä useita tunnistautumistietoja asiakas on velvollinen ilmoitusta tehdessään nimeämään ne tunnistautumistiedot, jotka ovat kadonneet taikka joutuneet tai saattaneet joutua osittainkin sivullisen tietoon tai haltuun. Mikäli asiakas ei pysty nimeämään kyseessä olevia tunnistautumistietoja, pankilla on oikeus sulkea tai keskeyttää kaikkien asiakkaan käytössä olevien tunnistautumistietojen käyttö asiakkaan vastatessa mahdollista kustannuksista ja vahingoista. Ilmoituksen voi tehdä henkilökohtaisesti Suomessa oleviin pankin konttoreihin niiden aukioloaikoina tai puhelimitse pankin asiakaspalveluun sen aukioloaikoina. Ilmoituksen voi tehdä asiakaspalvelun aukioloaikojen ulkopuolella pankin ilmoittamaan sulkupalveluun. Tieto pankin asiakaspalvelun aukioloajoista sekä sulkupalvelun yhteystiedot löytyvät pankin verkkosivuilta ([pankki].fi).

Asian arviointi

Pankin asiassa antamien selvitysten mukaan kirjautumiset asiakkaan verkkopankkiin 1.11.2023 sekä ko. korttimaksut on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on otettu käyttöön 25.2.2023. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo asiassa saadun selvityksen perusteella jääneen epäselväksi, millä tavalla rikolliset ovat saaneet tietoonsa ko. korttimaksujen tekemistä edellyttäneet asiakkaan korttitiedot. Lautakunta katsoo kuitenkin selvitetyksi, että asiakas on itse vahvistanut rikollisten kirjautumiset verkkopankkiinsa sekä ko. korttimaksut puhelimessaan olleella pankin tunnistussovelluksella. Edelleen lautakunta katsoo pankin toimittaman pankin lokitietoihin perustuvan selvityksen uskottavaksi ja että asiakkaan tunnistussovelluksessa on ennen vahvistusten antamista näkynyt - asiakkaan asian kiistämisestä huolimatta - asianmukaisesti aina kunkin vahvistettavan korttimaksun tiedot mukaan lukien hyväksyttävän maksun euromäärä ja saaja sekä kysymys: ”Nets begär bekräftelse. Vill du göra en betalning med Mastercard/Visa?”. Pankkilautakunta katsoo korttimaksujen vahvistamista koskevan menettelyn täyttäneen maksupalveluja koskevan sääntelyn mukaisen vahvan tunnistamisen edellytykset, kun vahvistamiseen on liittynyt kaksi erillistä ja toisistaan riippumatonta turvatekijää ja vahvan tunnistamisen elementtiä asiakkaan omaan puhelimeen aktivoidun pankin tunnistussovelluksen ja asiakkaan itse asettaman ja käyttämän PIN-koodin muodossa.

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Vaikka asiakas on myös tässä tapauksessa antanut em. vahvistukset korttimaksuille tultuaan rikollisten harhaan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo vakiintuneen ratkaisukäytäntönsä mukaisesti, että asiakas on antanut maksutapahtumille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtumien toteuttamiseen ja korttiehtojen mukaisen suostumuksensa pankille maksutapahtumien veloittamiselle kortteihinsa liitetyiltä tileiltä. Näin ollen lautakunta katsoo, etteivät kyseessä olevat maksutapahtumat ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia ja ettei käsillä siten ole perusteita pankin vastuulle korttimaksuista asiakkaalle aiheutuneesta vahingosta.

Tapauksessa asiakas on vedonnut Itä-Suomen hovioikeuden 13.11.2024 antamaan ratkaisuun. Tältä osin Pankkilautakunta toteaa selvyyden vuoksi, että kyseinen jo vuoden 2022 keväällä Pankkilautakunnassa käsitelty tapaus on tapahtumienkulultaan erilainen nyt käsittelyssä olevaan tapaukseen verrattuna ja lisäksi kyseisessä tapauksessa annettu hovioikeuden ratkaisu on vielä vailla lainvoimaa.

Verkkopankin sisällä tehdyn oikeudettoman tilisiirron tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa 1.300 euron suuruisen tilisiirron asiakkaan säästötililtä asiakkaan käyttötilille.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisen siirron tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä.

Tässä tapauksessa asiakkaan verkkopankin sisällä on tehty 1.300 euron suuruinen tilisiirto asiakkaan säästötililtä asiakkaan käyttötilille on rikollisten oikeudettomasti tekemä ja koska pankki on sallinut tilisiirron tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki tästä tilisiirrosta.

Pankkilautakunta toteaa, että asiassa aiheutunut 7.700 euron vahinko on tässä tapauksessa realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa yhteissummaltaan 7.700 euron maksutapahtumien toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksuista aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen em. korttimaksuja verkkopankissa tehty sisäinen siirto ja se, että pankki on sallinut kyseisen oikeudettoman siirron tekemisen ilman vahvaa tunnistamista. Kyseisellä oikeudettomalla tilisiirrolla, joka vahvan tunnistamisen puutteen vuoksi kuuluu asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on asiakkaan käyttötilille, jolta varoja on tämän jälkeen korttimaksuna siirtynyt pankin ulkopuolelle, siirretty tätä ennen asiakkaan säästötililtä 1.3000 euroa. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan kyseisen tilisiirron määrän osalta pankin vastuulle.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. yhteissummaltaan 7.700 euron korttimaksuille maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten vastaavan korttimaksuista aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa. Edelleen lautakunta kuitenkin katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. korttimaksuja tehty 1.300 euron suuruinen tilisiirto asiakkaan säästötililtä tämän käyttötilille. Koska pankki on sallinut kyseisen tilisiirron tekemisen ilman vahvaa tunnistamista ja siirto on oikeudeton, vastaa pankki kyseisestä tilisiirrosta ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseisen siirto on vahingon kokonaismäärää lisännyt.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 1.300 euroa tilille, jolta em. oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Makkonen ja Punakivi. Jäsen Piilon eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                     
Sihteeri Hidén

Jäsenet

Atrila
Makkonen
Piilo
Punakivi

Jäsen Piilon eriävä mielipide

Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin, että pankkia pidetään korvausvelvollisena vahingosta, kun varoja on siirretty ilman vahvaa tunnistamista asiakkaan omien tilien välillä.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemän asiakkaan omien tilien välisen siirron tekemiseksi.  Tilisiirto on tehty asiakkaan omien tilien välillä eli asiakas on ollut molempien tilien omistajana.  Omien tilien välillä tehdyn siirron jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista.  Varsinainen vahinko asiakkaalle on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille.   Nyt puheena olevassa tapauksessa asiakas on antanut maksupalveluin 38 §:n mukaisen suostumuksen tilisiirrolle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyyn tilisiirtoon, ei mitään vahinkoa olisi tapahtunut.  Syy-yhteyttä omien tilien välisillä siirroilla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdyistä siirroista ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.

Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisestä oikeudettomasta siirrosta, vaan asiakaan omalla maksupalvelulain 38 §:n mukaisella suostumuksella tehdystä tilisiirrosta, joka ei maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, joita ei ole pidettävä maksupalvelulain mukaan oikeudettomina. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehty oikeudeton siirto eivät ole syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 1.300 euroa tilille, joilta oikeudeton tilisiirto ilman vahvaa tunnistamista tehtiin.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä