Haku

FINE-64181-Y1L6T

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-64181-Y1L6T (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 28.08.2025

Miten vastuu asiakkaan tabletilla olevalla pankin tunnistussovelluksella vahvistetusta tiisiirrosta jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksajan suostumus maksutapahtumalle.

Tapahtumatiedot

Asiakas joutui 16.10.2023 huijauspuhelun kohteeksi. Kysymyksessä oli ns. turvatilihuijaus, jossa soittaja kalastelee uhrin verkkopankkitunnukset ja harhauttaa uhrin hyväksymään maksuja ”turvaan” asiakkaan omalta tililtä. Asiakkaan pankin tunnistussovelluksella on vahvistettu maksu 9 140,07 euroa, joka on veloitettu asiakkaan tililtä 16.10.2023 klo 8:54:06. Tätä ennen asiakkaan pankin tunnistussovelluksella on hyväksytty kirjautuminen verkkopankkiin, jossa on ennen suurempaa maksua tehty kaksi tilisiirtoa asiakkaan omien tilien välillä, 908,00 euroa ja 479,08 euroa. Pankista ulos lähtenyt 9 140,07 euron maksu on vahvistettu ja lisävahvistettu 16.10.2023 pankin tunnistussovelluksella, joka on aktivoitu käyttöön 24.3.2023. Pankki on saanut palautettua asiakkaalle 18.10.2023 5 291,30 euroa, joten asiakkaalle on koitunut tapauksesta vahinkoa 3 848,77 euroa.

Asiakkaan valitus

Asiakas vaatii pankkia korvaamaan hänelle 3 848,77 euroa vähennettynä 50 eurolla eli 3 798,77 euroa.

16.10.2023 asiakas oli puolisonsa kanssa aamuaskareissa, kun asiakkaan puhelin soi klo 8.43. Soittaja ’Anna [pankista]’ kertoi, että joku Mikkelin tienoilla oli yrittänyt päästä asiakkaan verkkopankkiin noin 30 min sitten. Hän jatkoi, ettei ole hätää, sillä pankki siirtää asiakkaan varat suoja- tai turvatileille. Asiakas kiitti ja sulki puhelimen. Asiakas pelästyi ja juoksi tablettinsa luo, jota hän käyttää mennessään verkkopankkiin. Asiakas halusi tarkistaa, että hänen varansa ovat tallella. Asiakas antoi käyttäjätunnuksensa, mutta sen jälkeen kuitenkin keskeytti asioinnin peloissaan. Nelinumeroista ID-numeroa asiakas ei uskaltanut antaa puhelun jälkeen.

Pankki olettaa soittajan kalastelleen asiakkaan verkkopankkitunnuksia. Asiakas painottaa, että soittaja ei halunnut häneltä mitään, soitti ja ilmoitti vain, että joku oli yrittänyt päästä asiakkaan verkkopankkiin 16.10.2023 edeltävänä viikonloppuna. Kaksi tilisiirtoa, 908,00 euroa ja 479,08 euroa, oli myös tehty asiakkaan pankkitilien välillä ennen 9 140,07 euron tilisiirtoa. Mitään näistä tilisiirroista asiakas ei ole tehnyt. Tilisiirtoon oli pankin mukaan tarvittu lisävahvistus, jonka kanssa asiakkaalla ei ollut mitään tekemistä.

16.10.2023 asiakas ei käynyt verkkopankissaan eikä tiennyt, miten hänen varoilleen on käynyt. ’Anna [pankista]’ ei pyytänyt asiakkaalta mitään tietoa eikä pyytänyt asiakasta tekemään mitään. Asiakas ei antanut mitään tietoja, ei klikannut mitään eikä tehnyt mitään. Verkkopankkia asiakas käyttää ainoastaan kotona ja ainoastaan tabletillaan (jotkut sanovat tabletin olevan turvallisempi kuin tietokone). Käyttäjätunnus ja ID-salasana ovat ainoastaan asiakkaan tiedossa ja ainoastaan asiakkaan päässä, eikä kukaan muu ole tietoinen siitä, mitä nämä tunnukset ovat. Asiakas ei ole luovuttanut käyttäjätunnustaan eikä ID-salasanaansa kenellekään eikä vahvistanut mitään kenenkään pyynnöstä. Asiakas ei myöskään ole klikannut mitään epäilyttävää netissä. Asiakas on huolellinen ja varovainen verkkopankin käyttäjä. Asiakkaan puoliso oli tapahtuman aikana koko ajan läsnä.

Samana päivänä asiakas soitti pankkiin ja kertoi, mitä oli tapahtunut. Asiakkaan verkkopankki suljettiin. Asiakas ei tiennyt edelleenkään, olivatko hänen varansa tallella. Asiakas teki rikosilmoituksen.

Seuraavana päivänä 17.10.2023 asiakas meni pankin konttoriin varmistamaan, että hänen varansa ovat turvallisesti tallessa. Kaikki mahdolliset asiakkaan varat eli 9 140,97 euroa oli siirretty 16.10.2023 X:n tilille (nimi vieras asiakkaalle.) 18.10.2023 pankki palautti 5 291,30 euroa. Pankin mukaan enempää pankki ei saanut pelastetuksi. Asiakas menetti 3 848,77 euroa. Asiakas oli pyörtyä. Asiakkaan näkemyksen mukaan, jos pankki olisi palauttanut rahat aikaisemmin, heti 16.10.2023 asiakkaan ilmoituksen jälkeen, pankki olisi mahdollisesti voinut pelastaa rahat kokonaan tai ainakin enemmän, kuin nyt palautettiin. Asiakas ihmettelee, miksi pankki odotti kaksi päivää, ennen kuin palautti rahoja.

Pankki ei ottanut asiakkaaseen kertaakaan yhteyttä asian johdosta, eikä pahoitellut asiaa. Asiakas oli yhteydessä ainoastaan nuorten, melko kokemattomien asiakaspalvelijoiden kanssa. Tapahtumasta on aiheutunut paljon henkistä kärsimystä asiakkaalle. Rahat asiakas oli työllään ansainnut ja säästänyt. Varoilla piti rahoittaa asiakkaan kirjallisen projektin painatuskulut.

Asiakas on toiminut asiassa rehellisesti ja huolellisesti. Pankin todistelu perustuu pankin IT-järjestelmiin, millä pankki esittää asiakkaan antaneen itse käyttäjätunnuksensa ja ID-salasanansa huijarin käyttöön. Asiakas ihmettelee, että koska tämä väite ei ole totta, onko pankin IT-järjestelmissä turvallisuusaukko tai jokin muu heikko kohta.

Asiakas on pyytänyt pankkia toimittamaan hänelle maallikolle ymmärrettävät todisteet siitä, että käyttäjätunnus on annettu sekä erikseen todisteen, joka ilmoittaa, että nelinumeroinen ID-tunnus on naputeltu kyseisessä tapauksessa. Asiakkaan näkemyksen mukaan, jos IT-systeemi kaikesta huolimatta ilmoittaa, että sekä käyttäjätunnus että nelinumeroinen ID-tunnus on annettu tähän tapaukseen liittyen asiakkaan koneelta, siinä tapauksessa kyseisessä IT-systeemissä on todennäköisesti virhe tai muu epäsäännöllisyys (irregularity).

Asiakas ei ole toiminut tahallisesti eikä törkeän huolimattomasti. Puheluja on tullut asiakkaalle tämän tapauksen jälkeenkin. Asiakas on sulkenut heti puhelimen, kun on kuullut, että puhelu on pankista.

Asiakas on näkemyksensä mukaan toiminut maksupalvelulain 53 §:n vaatimusten mukaisesti. Maksupalvelulain 38 §:n mukaan maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla. Lain pykälässä mainittua suostumusta asiakas ei ole antanut kyseisessä tapauksessa.

Asiakas on myös kertonut Pankkilautakunnalle tietoja taustastaan, mm. koulutuksesta ja työhistoriasta sekä esittänyt huomioita pankin IT-järjestelmistä ja järjestelmien toiminnasta.

Asiakas toivoo kovasti, että Pankkilautakunta harkitsee ja ratkaisee riita-asian siten, että heikommankin ääni kuuluu.

Pankin vastine

Tapahtumainkulku

Asiakkaan kertoman perusteella tapauksessa on kysymys ns. turvatilihuijauksesta, jossa soittaja kalastelee uhrin verkkopankkitunnukset ja harhauttaa uhrin hyväksymään maksuja ”turvaan” asiakkaan omalta tililtä.

Asiakkaan pankin tunnistussovelluksella on vahvistettu maksu 9 140,07 euroa, joka on veloitettu asiakkaan tililtä 16.10.2023 klo 8:54:06. Tätä ennen asiakkaan pankin tunnistussovelluksella on hyväksytty kirjautuminen verkkopankkiin, jossa on ennen suurempaa maksua tehty kaksi tilisiirtoa asiakkaan omien tilien välillä, 908,00 euroa ja 479,08 euroa. Omien tilien väliset siirrot eivät edellytä vahvaa tunnistamista, sillä varat eivät niissä siirry asiakkaan kontrollin ulkopuolelle.

Edellä mainitut toimenpiteet on tehty verkkopankki-istunnossa. Pankin järjestelmätietojen mukaan asiakas on käyttänyt asioinnissaan pääasiassa mobiilipankkia.

Maksu 9 140,07 euroa on vahvistettu asiakkaan käytössä olevalla pankin tunnistussovelluksella, joka on aktivoitu käyttöön 24.3.2023. Pankin tunnistussovellus, jota kiistetyn maksun vahvistamiseen on käytetty, oli aktivoitu laitteeseen iOS;16.7;iPad13,18;iPad;Apple. Laitteen mallinumeroa, joka on laitteen takaosassa ja löydettävissä myös laitteen Asetukset/Yleiset -kohdasta, ei pankilla ole tiedossa. Asiakkaan laitteella olevaa sovellusta ja asiakkaan tiedossa olevaa PIN-koodia on käytetty maksun vahvistamiseen. Pankin tunnistussovellukseen täytyy käyttäjätunnus näppäillä aina käytettävältä laitteelta. Sama koskee maksun vahvistamiseen tarvittavaa PIN-koodia. Tapauksessa maksulle on vaadittu myös lisävahvistus.

Vahvistuspyynnön sisältö 16.10.2023 klo 08:52:59:

”[Pankki] [pankin verkkopalvelu] pyytää vahvistusta
Haluan maksaa
summa: 9 140,07 EUR
saaja: [asiakkaan oma nimi]
tilille: [FIXXXXXXXXXXXXXXXX]
päiväys: 16.10.2023
tililtä: [FIXXXXXXXXXXXXXXXX]”

Tapahtuma on vahvistettu 16.10.2023 klo 08:53:10.

Lisävahvistuspyynnön sisältö 16.10.2023 klo 08:53:44:

”[Pankki] [pankin verkkopalvelu] pyytää vahvistusta
Olet tekemässä maksua joka vaatii lisävahvistuksen.
Tarkasta, että alla olevat tiedot ovat oikein.
summa: 9 140,07 EUR
tilille: [FIXXXXXXXXXXXXXXXX]
saaja: [asiakkaan oma nimi]
tililtä: [FIXXXXXXXXXXXXXXXX]”

Tapahtuma on lisävahvistettu 16.10.2023 klo 08:53:55.

Vahvistusviestissä näkyy saajana asiakkaan oma nimi, koska se on syötetty maksutoimeksiannossa maksunsaajan nimeksi, vaikka vastatilin omistaja on todellisuudessa muu henkilö.

Pankki on aloittanut toimet asiakkaan varojen palauttamiseksi 16.10.2023. Pankki on saanut palautettua asiakkaalle 18.10.2023 5 291,30 euroa, joten asiakkaalle on koitunut tapauksesta vahinkoa 3 848,77 euroa.

Vastuu pankkitunnuksilla vahvistetusta maksusta

Riidanalainen maksutapahtuma johtuu huijauksesta, jossa asiakas on kertomansa mukaan saanut soiton pankin edustajaksi esittäytyneeltä taholta. Kyse on ns. turvatilihuijauksesta, jossa asiakas on ollut käsityksessä, että hän siirtää varojaan turvaan, vaikka varat ovat todellisuudessa siirtyneet asiakkaan ulottumattomiin sivullisen tahon tilille.

Pahoiteltava erehtyminen maksun todellisesta luonteesta ei kuitenkaan siirrä vastuuta maksutapahtumasta pankille, kun maksutapahtuma tehdään asiakkaan suostumuksella käyttäen maksupalvelulaissa tarkoitettua vahvaa tunnistamista. Riidanalainen maksu jää asiakkaan vastuulle, sillä se on vahvistettu pankin tunnistussovelluksella, jossa olennaiset maksutiedot näytetään myös maksun hyväksymisen yhteydessä. Kun asiakas antaa pankille suostumuksensa maksun veloittamiseen, maksu ei ole oikeudeton maksupalvelulain 38 §:n mukaan, vaikka maksu jälkikäteen osoittautuisikin liittyvän huijaustapaukseen. Siten pankilla ei ole velvollisuutta korvata asiakkaalle vahinkoa, joka on aiheutunut riidan kohteena olevasta maksusta.

Pankki on toteuttanut maksun tilinumeron eli yksilöivän tunnisteen perusteella. Maksupalvelulain 44 § merkitsee, ettei pankilla ole velvollisuutta tarkistaa, että yksilöivä tunniste vastaa maksutoimeksiannossa annettuja muita tietoja. Pankilla ei ole ollut tapauksessa velvollisuutta tarkistaa, että vastaanottajan tilinumero ei kuulu maksunsaajaksi ilmoitetulle henkilölle.

Pankin asiakkaan joutuminen petoksen uhriksi on erittäin valitettavaa. Pankin on kuitenkin kohdeltava kaikkia samassa tilanteessa olevia asiakkaitaan yhdenvertaisesti. Voimassa olevasta lainsäädännöstä johtuu, että tietojenkalastelutapaukset, joissa asiakas itse hyväksyy maksun, eivät kuulu pankin taloudellisen vastuun piiriin.

Vastuu verkkopankin sisäisistä siirroista

Pankki on toimittanut Pankkilautakunnalle yhteenvedon asiakkaan pankkitilin tapahtumista.

Pankin näkemyksen mukaan asiakkaan kärsimän vahingon määrä on syy-yhteydessä ainoastaan siihen asiakkaan hyväksymään maksutapahtumaan, jolla asiakkaan varoja on siirretty ulkopuoliselle taholle.

Pankki ei jaa Pankkilautakunnan näkemystä aiemman ratkaisun FINE-075040 perusteluista siltä osin, kun lautakunta on katsonut pankin vastaavan vahingon siitä määrästä, joka on siirretty verkkopankin sisäisenä siirtona asiakkaan vallinnassa olevien tilien välillä ilman maksajan vahvaa tunnistamista. Pankkilautakunta on todennut kyseisessä ratkaisussaan, että lähtökohtaisesti asiakas vastaa suostumuksellaan tehdystä maksutapahtumasta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa. Lautakunta on kuitenkin arvioinut kokonaisselvityksen perusteella, että omien tilien välinen siirto on vaikuttanut aiheutuneen vahingon määrään ja että pankki vastaa vahingosta tältä osin. Pankin vastuuseen liittyvät juridiset perustelut jäävät lautakunnan ratkaisussa epäselviksi.

Nyt kysymyksessä olevaan tapaukseen liittyvissä omien tilien välisissä siirroissa ei ole edellytetty vahvaa tunnistautumista komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artiklan perusteella. Maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista. Maksutapahtuma, jossa maksaja ja maksunsaaja ovat olleet sama luonnollinen henkilö, on ollut oikeudeton, mutta maksutapahtumasta ei ole seurannut varallisuusvahinkoa asiakkaalle varojen säilyessä edelleen kokonaisuudessaan asiakkaan vallinnassa. Vahinkoedellytys olisi täyttynyt, jos varat tässä yhteydessä olisivat päätyneet kolmannen osapuolen haltuun. Pankki ei jaa lautakunnan näkemystä siitä, että em. lainkohdan mukaista pankin vastuuta tulkittaisiin niin, että pankki vastaa maksutapahtumasta silloinkin, kun transaktiosta ei ole realisoitunut mitään vahinkoa.

Nyt arvioitavassa tapauksessa omien tilien väliset siirrot on oikeudettomasti tehnyt huijari, mutta asiakas ei ole siirron johdosta menettänyt varoja. Omien tilien välinen siirto tapahtuu nimenomaisesti vain asiakkaan vallinnassa olevien tilien, eli sellaisten tilien välillä, joissa asiakas on tilinomistaja tai käyttöoikeudenhaltija. Tämä on peruste sille, että omien tilien väliset siirrot ilman maksajan vahvaa tunnistamista on ylipäätään voitu mahdollistaa sekä sääntelyllisesti että käytännössä.

Jos maksuvälineenä olisi käteinen, tilanne vertautuu siihen, että henkilö siirtää käteistä rahaa taskustaan toiseen taskuunsa. Varat pysyvät ko. henkilön hallinnassa varojen siirtämisestä huolimatta siihen saakka, kunnes hän antaa käteisvarat pois hallustaan ulkopuoliselle henkilölle.

Tapaukseen liittyviä maksutapahtumia tulee arvioida maksupalvelulain 62 §:n nojalla itsenäisinä tapahtumina, ei kokonaisuutena. Vahingon syntymisen välttämätön edellytys on ollut se, että kertaalleen omien tilien välillä siirretyt varat siirretään pois asiakkaan hallussa olevalta tililtä asiakkaan itse pankin tunnistussovelluksellaan antaman suostumuksen perusteella. Tästä syystä pankki katsoo, että pankki ei ole miltään osin vastuussa maksuvälineen oikeudettomasta käytöstä aiheutuneesta vahingosta, koska pankki palveluntarjoajana on nimenomaisesti edellyttänyt vahvaa tunnistautumista sen maksutapahtuman osalta, jolla varat on siirretty asiakkaan tililtä huijarille. Jos huijaus olisi jostain syystä keskeytynyt omien tilien välisen siirron jälkeen, ei mitään vahinkoa olisi myöskään aiheutunut.

Vahingon määrän pieneneminen tai kokonaan toteutumatta jääminen olisi edellyttänyt sitä, että huijari ei olisi lainkaan saanut haltuunsa asiakkaan henkilökohtaisia tunnistetietoja ja että asiakas ei olisi itse vahvistanut huijarin kirjautumista asiakkaan verkkopankkiin tai ainakaan huijarin luomaa maksutapahtumaa. Vahingon välttämättömiä edellytyksiä, conditio sine qua non ja oikeudellisesti relevantteja tapahtumia ovat edellä mainitut toimet eli asiakkaasta itsestään riippuva ja hänen kontrolloitavissaan oleva toiminta.

Asiakas on itse mahdollistanut vahingon syntymiseen luovuttamalla tunnistautumistietonsa huijareille ja hyväksymällä tämän jälkeen vahvistuspyyntöjä pankin tunnistussovelluksessaan. Vastoin Pankkilautakunnan em. aiemmassa ratkaisussaan ottamaa kantaa, pankki katsoo jäävän näyttämättä, mikä merkitys vahvalla tunnistamisella olisi ollut omien tilien välisten siirtojen toteutumisen ja siten tapauksessa kokonaisuudessaan syntyneen vahingon kannalta. Huijaustilanteessa asiakas on ollut valmis hyväksymään hänelle osoitetut vahvistuspyynnöt, eli kirjautumisen verkkopankkiin ja maksutapahtuman tililtään vieraalle tilille. Vahvan tunnistautumisen käytön suorana seurauksena ei siten voida pitää omien tilien välisen siirron toteutumatta jäämistä eli asiakkaalle aiheutuneen vahingon rajautumista.

Yhteenvetona pankki toteaa, että korvausvelvollisuuden edellytyksenä on vastuuperuste, kyseiseen perusteeseen liittyvä vahinko ja vahingon syy-yhteys korvausvastuuseen johtavaan tekoon, toimintaan tai laiminlyöntiin. Tapauksessa pankin vastuuperuste on maksupalvelulain 62 §:n 3 momentin 4 kohdan mukainen palvelutarjoajan vastuu maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistautumista. Kyseiseen perusteeseen liittyvä vahinkoedellytys puuttuu, koska asiakkaalle ei ole aiheutunut mitään varallisuusvahinkoa omien tilien välisen siirron toteuttamisella. Asiakkaan laiminlyönti luovuttaessaan henkilökohtaisia tunnistetietojaan huijareille ja maksun hyväksyminen ovat välttämättömässä syy-yhteydessä aiheutuneeseen vahinkoon, ei omien tilien välinen siirto. Vahingon määrä on ollut riippuvainen siitä, minkä suuruisen maksutapahtuman asiakas on vahvistanut tehtäväksi tililtään ulkopuoliselle taholle.

Selvitykset                         

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:
- Pankin pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot (10/2018)

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on ensin ratkaistava, voidaanko asiakkaan katsoa antaneen maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ko. maksutapahtumalle vai onko maksutapahtumaa pidettävä oikeudettomana. Mikäli tapauksessa katsotaan olevan kyse maksuvälineen oikeudettomasta käytöstä, on Pankkilautakunnan arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 §:n 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Edelleen lautakunnan on arvioitava, vaikuttaako asiakkaan ja pankin välisen vastuunjakoon se, että pankki ei ole edellyttänyt vahvaa tunnistamista kahden verkkopankin sisäisen tilisiirron yhteydessä.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain (290/2010) 38 §:n 1 momentin mukaan

Maksutapahtuma saadaan toteuttaa vain maksajan suostumuksella. Maksutapahtumaa pidetään oikeudettomana, jollei maksaja ole antanut siihen suostumustaan sovitulla tavalla.

Maksupalvelulain 53 §:n 1 momentin mukaan

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksupalvelulain 54 §:n 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelulain 62 §:n mukaan

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n 1 momentin mukaan

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n 1 momentin mukaan

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1)  käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.

Maksupalvelulain 85 c §:n 5 momentin mukaan

Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Maksupalvelulain lisäksi tapauksessa tulevat sovellettaviksi pankin pankkitunnuksilla käytettävien palvelujen yleiset sopimusehdot.

Pankin pankkitunnuksilla käytettävien palvelujen yleisten sopimusehtojen kohdan Tunnistautuminen verkkopankkipalveluun mukaan

Tunnistautumistiedot palvelun edellyttämällä tavalla annettuna vastaavat asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit, jotka on tehty käyttäen asiakkaan tunnistautumistietoja sitovat asiakasta tai sitä, jota asiakas edustaa, sen jälkeen, kun tunnistautumistiedot on annettu pankille Verkkopankkipalvelun edellyttämällä tavalla.

Asian arviointi

Pankin asiassa antamien selvitysten mukaan 16.10.2023 suoritettu 9 140,07 euron suuruinen tilisiirto on vahvistettu asiakkaan omalla pankin tunnistussovelluksella, joka on aktivoitu käyttöön 24.3.2023. Ko. maksu on myös lisävahvistettu kyseisellä pankin tunnistussovelluksella. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo selvitetyksi, että asiakas on vahvistanut ko. tilisiirron pankin tunnistussovelluksella. Tunnistussovelluksessa on ennen maksun vahvistuksen antamista lukenut asianmukaisesti ”[Pankki] [pankin verkkopalvelu] pyytää vahvistusta Haluan maksaa” ja lisäksi on näytetty maksun summa sekä saajan tilinumero ja nimi. Tilisiirron toteuttaminen on edellyttänyt myös pankin tunnistussovelluksessa annettua lisävahvistusta. Lisävahvistuspyynnössä on asianmukaisesti kerrottu ”[Pankki] [pankin verkkopalvelu] pyytää vahvistusta Olet tekemässä maksua joka vaatii lisävahvistuksen. Tarkasta, että alla olevat tiedot ovat oikein.” ja lisäksi on näytetty maksun summa sekä saajan tilinumero ja nimi.

Pankkilautakunta on ratkaisukäytännössään vakiintuneesti katsonut, että tapauksissa, joissa rikoksen uhri on huijattuna tullut itse hyväksyneeksi riidanalaiset maksut esimerkiksi omassa puhelimessaan olevalla pankin mobiilisovelluksella ja sovelluksessa on ennen vahvistuksen antamista näkynyt vahvistettavan maksun tiedot, ei pankkia ole suositettu hyvittämään asiassa aiheutunutta vahinkoa asiakkaalle. Näissä tapauksissa on katsottu, että vaikka asiakas on antanut maksujen vahvistukset rikollisten harhaan johtamana, on hän kuitenkin itse antanut maksuille maksupalvelulain 38 §:ssä ja sovellettavissa ehdoissa tarkoitetun suostumuksensa, eivätkä kyseessä olevat maksutapahtumat tällöin ole maksupalvelulaissa tarkoitetulla tavalla oikeudettomia. Tämän vuoksi käsillä ei ole myöskään ollut perusteita pankin vastuulle maksuista asiakkaalle aiheutuneesta vahingosta.

Vaikka asiakas on antanut em. vahvistuksen tilisiirrolle tultuaan rikollisten har­haan johtamaksi, tällä ei ole merkitystä asiakkaan ja pankin välisessä suhteessa. Pankkilautakunta katsoo, että asiakas on antanut maksutapahtumalle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa maksutapahtuman toteuttamiseen ja lisävahvistuksensa tilisiirtoa koskevan maksutoimeksiannon toteuttamiselle. Näin ollen Pankkilautakunta katsoo, ettei kyseessä oleva maksutapahtuma ole maksupalvelulaissa tarkoitetulla tavalla oikeudeton ja ettei käsillä siten ole lähtökohtaisesti perusteita pankin vastuulle maksusta asiakkaalle aiheutuneesta vahingosta.

Verkkopankin sisällä tehtyjen oikeudettomien maksujen tekeminen ilman vahvaa tunnistamista

Maksupalvelulain 8 §:ssä määritetään, mitä laissa tarkoitetaan vahvalla tunnistamisella, jota lain 85 c § edellyttää palveluntarjoajan käyttävän, jos maksaja käyttää maksutiliään tietoverkon välityksellä tai toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Edelleen lain 62 §:n 3 momentin 4 kohdan mukaan maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä, jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Vahvan tunnistamisen on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin (EU) 2015/2366 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa (RTS). Komission delegoidun asetuksen (EU) 2018/389 III luvussa luetellaan asiakkaan vahvaa tunnistamista koskevan periaatteen poikkeukset.

Em. asetuksen III luvun 15 artiklan, joka koskee saman luonnollisen henkilön hallussa olevien tilien välisiä tilisiirtoja, mukaan on sallittavaa, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.

Asiassa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista siinä yhteydessä, kun rikolliset ovat tehneet asiakkaan verkkopankissa kaksi asiakkaan omien tilien välistä siirtoa, 908,00 euroa ja 479,08 euroa, yhteensä 1 387,08 euroa.

Pankkilautakunta toteaa maksupalveluja ja vahvaa tunnistamista koskevan sääntelyn sallivan palveluntarjoajien tietyissä poikkeustilanteissa poikkeavan vahvan tunnistamisen vaatimuksesta ja tässä tapauksessa lautakunta katsoo, että pankki on voinut sallia verkkopankin sisäisten siirtojen tapahtuvan ilman vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalveluntarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mukaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edellyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen riskin maksuvälineen oikeudettomasta käytöstä. Sääntelyn sallimien poikkeuksien käyttö on pankin omassa harkinnassa, eikä velvoitetta poikkeuksien käytölle ole.

Tässä tapauksessa verkkopankin sisällä tehdyt kaksi, yhteensä 1 387,08 euron suuruista tilisiirtoa ovat rikollisten oikeudettomasti tekemiä.

Pankkilautakunta toteaa, että asiassa aiheutunut 3 848,77 euron vahinko on realisoitunut, kun asiakas on edellä esitetyn tavoin antanut maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa 9 140,07 euron suuruisen maksutapahtuman toteuttamiselle, minkä johdosta asiakas lähtökohtaisesti vastaa maksusta aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa siltä osin, kun pankki ei ole onnistunut palauttamaan varoja asiakkaalle.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuitenkin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut em. maksua ennen tehdyt verkkopankin sisäiset siirrot ja se, että pankki on sallinut kyseisten oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista. Kyseisillä oikeudettomilla tilisiirroilla, jotka vahvan tunnistamisen puutteen vuoksi kuuluvat asiakkaan ja pankin välisessä suhteessa pankin vastuulle, on siirretty asiakkaan omien tilien välillä yhteensä 1 387,08 euroa. Pankkilautakunta katsoo asiassa aiheutuneen vahingon kuuluvan 1 387,08 euron osalta pankin vastuulle.

Lopputulos

Pankkilautakunta katsoo asiakkaan antaneen ko. 9 140,07 euron suuruiselle tilisiirrolle maksupalvelulain 38 §:ssä tarkoitetun suostumuksensa ja asiakkaan siten lähtökohtaisesti vas­taavan tilisiirrosta aiheutuneesta vahingosta pankin ja asiakkaan välisessä suhteessa lukuun ottamatta ilman vahvaa tunnistamista tehtyjä pankin vastuulle jääviä siirtoja. Edelleen lautakunta katsoo, että vahingon kokonaismäärään on vaikuttanut verkkopankin sisällä ennen em. maksua tehdyt kaksi, yhteissummaltaan 1 387,08 euron suuruista tilisiirtoa asiakkaan omien tilien välillä. Koska pankki on sallinut kyseisten tilisiirtojen tekemisen ilman vahvaa tunnistamista ja siirrot ovat oikeudettomia, vastaa pankki kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta siltä osin kuin kyseiset siirrot ovat vahingon kokonaismäärää lisänneet. Oikeudettomilla asiakkaan omien tilien välisillä tilisiirroilla vahingon määrä on lisääntynyt 1 387,08 eurolla.

Edellä esitettyyn viitaten Pankkilautakunta suosittaa pankkia hyvittämään 1 387,08 euroa tileille, joilta em. oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Ratkaisusuositus syntyi äänin 4–1. Ratkaisusuosituksen antamiseen osallistuivat puheenjohtaja Sillanpää sekä jäsenet Atrila, Punakivi ja Tervonen. Jäsen Piilon eriävä mielipide on liitteenä.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää                                    
Sihteeri Pöntinen

Jäsenet

Atrila
Piilo
Punakivi
Tervonen

Jäsen Piilon eriävä mielipide

Olen eri mieltä Pankkilautakunnan enemmistön ratkaisusuosituksen perusteluista ja lopputuloksesta siltä osin, että pankkia pidetään korvausvelvollisena vahingosta, kun varoja on siirretty ilman vahvaa tunnistamista asiakkaan omien tilien välillä.

Asian kannalta merkitykselliset lainsäännökset ovat maksupalvelulain 38 § (Maksajan suostumus maksutapahtuman toteuttamiseen), maksupalvelulain 85 c §:n 1 ja 5 momentti (Tunnistaminen), komission delegoidun asetuksen (EU) 2018/389 III luvun 15 artikla (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot), maksupalvelulain 62 §:n 3 momentin 4 kohta (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) sekä maksupalvelulain 63 §:n 1 momentti (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta).

Tapauksessa on riidatonta, että pankki ei ole edellyttänyt asiakkaan vahvaa tunnistamista rikollisen tekemien asiakkaan omien tilien välisten siirtojen tekemiseksi. Tilisiirrot on tehty asiakkaan omien tilien välillä eli asiakas on ollut kaikkien tilien omistajana. Omien tilien välillä tehtyjen siirtojen jälkeen varat ovat edelleen olleet asiakkaan omalla tilillä ja hän on voinut määrätä varoista. Varsinainen vahinko asiakkaalle on tapahtunut, kun varat on siirretty ulkopuolisen omistamalle tilille. Nyt puheena olevassa tapauksessa asiakas on antanut maksupalveluin 38 §:n mukaisen suostumuksen tilisiirrolle, jolla varat siirrettiin pois hänen hallinnastaan ulkopuoliselle. Mikäli asiakas ei olisi antanut suostumustaan ulkopuoliselle tehtyyn tilisiirtoon, ei mitään vahinkoa olisi tapahtunut. Syy-yhteyttä omien tilien välisillä siirroilla ei ole varsinaiseen vahinkoon ja näin ollen omien tilien välillä tehdyistä siirroista ei ole aiheutunut asiakkaalle korvattavaa vahinkoa.

Asiakkaalle aiheutunut vahinko ei ole seurausta omien tilien välisistä oikeudettomista siirroista, vaan asiakaan omalla maksupalvelulain 38 §:n mukaisella suostumuksella tehdystä tilisiirrosta, joka ei maksupalvelulain mukaan ole maksuvälineen oikeudetonta käyttöä.

Lopputulos

Katson, että vahinko on aiheutunut maksupalvelulain 38 §:n mukaisella asiakkaan suostumuksella tehdyn maksutapahtuman seurauksena, jota ei ole pidettävä maksupalvelulain mukaan oikeudettomana. Asiakkaan omien tilien välillä ilman vahvaa tunnistamista tehdyt oikeudettomat siirrot eivät ole syy-yhteydessä asiakkaan myöhemmin vahvistamalla siirrolla hänelle aiheutuneeseen vahinkoon.

Edellä todetuin perustein katson, että pankki ei vastaa kyseisistä tilisiirroista ja asiassa aiheutuneesta vahingosta miltään osin, eikä Pankkilautakunnan tulisi suosittaa pankkia hyvittämään 1 387,08 euroa tileille, joilta oikeudettomat tilisiirrot ilman vahvaa tunnistamista tehtiin.

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä