Haku

FINE-64414-H8L7X

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-64414-H8L7X (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 26.05.2025

Miten vastuu asiakkaan verkkopankissa asiakkaan tililtä oikeudettomasti tehdyistä ja pankin tunnistussovelluksella vahvistetuista tilisiirroista jakautuu asiakkaan ja pankin välillä? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan huolimattomuus.

Tapahtumatiedot

Asiakas on autokaupan yhteydessä 19.7.2023 pyrkinyt kirjautumaan puhelimen verkkoselaimessa verkkopankkiinsa, mutta onkin hakukoneen kautta päätynyt rikollisten luomille pankin verkkosivuilta näyttäneille valesivuille. Valesivuilla asiakas on käyttänyt pankkitunnuksiaan kirjautuakseen pankin verkkopalveluun ja joutunut näin verkkourkinnan uhriksi. Asiakas on saanut verkkosivuilla virheilmoituksen, eikä kirjautuminen pankin verkkopalveluun ole yrityksistä huolimatta onnistunut, jolloin asiakas on mennyt läheiseen pankin konttoriin hoitamaan auton maksun.

Rikolliset ovat asiakkaan pankkitunnuksilla ja pankin asiakkaalle 19.7.2023 klo 15.25 lähettämässä tekstiviestissä olleella koodilla aktivoineet käyttöönsä pankin tunnistussovelluksen (jäljempänä X) omalle laitteelleen. Em. tekstiviestin lähettäjätietona on puhelimessa näkynyt pankin tunnistussovelluksen nimi X. Viesti on ollut sisällöltään seuraavanlainen:

”Aktivointikoodi X:lle. KÄYTÄ KOODIA VAIN X:n AKTIVOINTIIN. 5201.”

Minuutti kertakäyttökoodin sisältäneen tekstiviestin jälkeen asiakkaalle on lähetetty seuraava tekstiviesti pankilta:

 ”[Pankki] X:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut X:ää, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.”

Em. viestit ovat menneet asiakkaan vaimon numeroon, sillä asiakas oli turvallisuussyistä ilmoittanut pankkiin vaimonsa puhelinnumeron vahvistusnumerokseen.

Käyttöönotetulla tunnistussovelluksella rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja tehneet sovelluksella vahvistaen oikeudettomia tilisiirtoja asiakkaan tileiltä ja tileiltä, joiden käyttöoikeus asiakkaalla on ollut. Oikeudettomia tilisiirtoja on tehty 506 754,00 euron määrästä. Varoista on saatu palautettua 118 898,04 euroa, jolloin kokonaisvahingoksi on jäänyt 387 855,96 euroa.

Asiakkaan valitus

Asiakas vaatii pankkia palauttamaan 387 855,96 euroa.

Asiakkaan hallinnoimia pankkitilejä on 20.7.2023 käytetty oikeudettomiin tilinsiirtoihin siten, että tilit on käytännössä tyhjennetty huolimatta tilien päiväkohtaisista nostorajoista, tekstiviestivarmistuksista ym. toimista, joita pankki edellyttää asiakkaiden käyttävän turvallisuuden takia.

Asiakas on alkuun kiistänyt pankin esittämät tapahtumatiedot ja katsonut oikeudettoman käytön johtuneen pankin tietovuodosta tai ohjelmistovirheestä. Asiakas on myöhemmin kertonut, että numero, johon pankin tunnistussovelluksen X:n aktivointikoodi on lähetetty, kuuluu hänen vaimolleen. Asiakas oli turvallisuussyistä jakanut toiminnot kahdelle henkilölle, jotta heidän pitää käytännössäkin olla molempien paikalla, kun verkkopankissa asioidaan.

Asiakas on saanut pankin tunnistussovelluksen X:n aktivoitumisviestin, mutta hän ei ole ymmärtänyt, mitä se tarkoittaa, koska asia ei ole ollut hänelle tuttu. Hän on olettanut sen olevan pankin kuittaus siitä, että verkkopankki oli suljettuna ja toimii nyt normaalisti. Asiakas on asioinut tapahtuman jälkeen pankin konttorissa eikä verkkopankissa. Hän ei huomannut viestiä pankin tunnistussovelluksen aktivoitumisesta 24 tunnin kuluessa, koska hänellä on ollut tekstiviestit ja sähköpostit äänettömällä.

Asiakas ei ole itse käyttänyt pankin tunnistussovellusta, vaan on käyttänyt verkkopankkia perinteiseen tapaan tunnuslukutaulukolla, salasanalla ja tekstiviestivahvistuksella.

Asiakas ihmettelee, kuinka on mahdollista, että päivittäisistä nostorajoista huolimatta on voitu tehdä nostorajoja ylittäviä oikeudettomia siirtoja ulkomaille. Pankki korostaa nostorajoja tilienavauksen yhteydessä, mutta niillä ei käytännössä näytä olevankaan mitään merkitystä. Lisäksi asiakas ihmettelee, miksi pankki ei tietoisena huijaussivustoista ole estänyt niiden toimintaa.

Asiakas on lukenut tapaukset FINE-068552 ja FINE-062855, ja pitää ensimmäistä tapausta aivan samanlaisena kuin hänen tapauksensa.

Asiakas on asiamiehen välityksellä täydentänyt valitustaan ja tuonut esille pääpiirteittäin seuraavaa.

Tapahtumat

Asiakas oli 19.7.2023 autokaupoilla noin 15.30 aikaan iltapäivällä vaimonsa kanssa. Auton maksuhetkellä asiakas oli kirjautunut pankin verkkopankkiin vaimonsa kännykällä hakeutumalla verkkopankin sivuille hakukoneen kautta. Tämä oli ensimmäinen kerta, kun asiakas kirjautui kännykän selaimen kautta verkkopankkiin ja sivut näyttivät aivan samanlaiselle kuin pöytäkoneelta katsottuna, eikä mikään sivuilla näyttäytynyt asiakkaan silmiin poikkeukselliselta.

Asiakas kirjautui verkkopankkiin noin kello 15.35 kuten hän aina kirjautuu: antamalla käyttäjätunnuksen, salasanan, koodin fyysisestä, paperisesta tunnuslukutaulukosta sekä tekstiviestitse tulleen kertakäyttöisen tunnusluvun. Tunnuslukuviesti saapui pankilta. Kirjautuminen ei kuitenkaan toiminut, vaan sivusto antoi virheilmoituksen ja pyysi kokeilemaan uudelleen. Asiakas ei ihmetellyt virheilmoitusta, sillä hän oli ennenkin kohdannut virheilmoituksia verkkopankkiin kirjautuessa.  Asiakkuuden keston, noin 30 vuoden aikana, kirjautumisongelmia oli ennenkin ollut ja toisinaan verkkopankin ongelmat ovat ylittäneet uutiskynnyksenkin.

Asiakas yritti kirjautua uudelleen samalla tavalla kuin ensimmäisellä kerralla, eli antamalla käyttäjätunnuksen, salasanan, koodin fyysisestä tunnuslukutaulukosta sekä tekstiviestitse tulleen kertakäyttöisen tunnusluvun. Asiakas oli tilanteessa ärtynyt siitä, että verkkopankki ei taaskaan toimi kunnolla ja koitti vain päästä suorittamaan autokaupan maksua.

Toinenkin kirjatutumisyritys päättyi virheilmoitukseen, jolloin asiakas lähti kävelemään kohti läheistä pankin konttoria eikä hän enää katsonut siinä hetkessä kännykkää tarkemmin. Konttorille muutaman minuutin kuluttua saavuttuaan, noin kello 15.55, asiakas kertoi virkailijalle, että hänen oli täytynyt tulla konttorille maksamaan, kun nettipankki ei toimi. Virkailija ei kertonut, että nettipankin pitäisi kyllä olla toiminnassa eikä hän muutenkaan puuttunut mainintaan verkkopankin toimimattomuudesta, joten asiakas saattoi perustellusti olettaa, että verkkopankissa tosiaan oli vikaa, kun virkailija ei muuta kertonut.

Asiakas sai autokaupan maksun pankissa suoritettua. Asiakas muistelee, että vilkaisi pankkiin kävellessään kännykkään tullutta viestiä pankin tunnistussovelluksen X:n aktivoitumisesta, mutta ei tilanteessa, jossa automyyjä halusi rahansa, verkkopankki oli nurin ja pankkikonttori juuri sulkeutumassa, pysähtynyt viestin äärelle enempää. Asiakas arveli viestin liittyvän verkkopankin toimivuuteen tilanne huomioon ottaen.

Seuravana päivänä 20.7.2024 asiakas ei käynyt verkkopankissa. Asiakas sai 21.7.2023 pankin valvontaosastolta soiton kello 10.30 aikaan aamulla ja soitosta lähti purkautumaan nyt käsiteltävänä oleva tilanne.

Pankin vastuusta

Pankkilautakunnan ratkaisukäytännössä on usein keskitytty pitkälti asiakkaan vastuuseen. Pankkien vastuuta ei ole yhtä laajasti käsitelty. Nykymaailmassa eläminen, yrittäminen ja asioiminen ei ole käytännössä mahdollista ilman pankkitiliä ja verkkopankkitunnuksia. Pankit hallinnoivat käytännössä kaikkien ihmisten ja yritysten koko varallisuutta joko sijoitusten, lainojen tai tilivarojen muodossa. Henkilön on pakko valita pankki, jos hän haluaa kyetä vaivatta toimimaan yhteiskunnassa ja esimerkiksi perustaa yrityksen ja pyörittää sitä.

Pankkeja velvoittaa laaja lainsäädäntö ja pankkien on tunnettava asiakkaansa. Pankkien on selvitettävä asiakkaittensa varallisuuden lähde, tilillä liikkuvien rahojen keskimääräinen euromäärä ja pankkien on rahanpesun estämistä koskevan lainsäädännön nojalla seurattava asiakkaittensa toimintaa, että se vastaa sitä tietoa, mikä pankilla on ilmoitusvelvollisen toiminnasta. Jatkuvasti uutisoidaan tapauksista, joissa pankki on pysäyttänyt muutaman kymmenen euron maksun sukulaisten tai ystävysten välillä hupailevan, mutta ulkopuolelta kenties johonkin laittomaan viittaavan viestin tai ulkomaisen saajan vuoksi.

Pankin on seurattava asiakkaittensa tililiikennettä ja puututtava sellaisiin tilitapahtumiin, jotka poikkeavat asiakkaan normaalista maksukäyttäytymisestä. Pankki ei ole vastannut asiakkaan tiedusteluihin siitä, miten on mahdollista, että niin moni pankkitili on kyetty tyhjentämään ja yli 500 000 euroa siirtämään ulkomaille asiakkaan hallinnoimien eri tilien kautta useille eri henkilöille ilman, että pankki on havainnut asiaa. Pankki ei ole myöskään selvittänyt sitä, miten maksuja on kyetty tekemään pankkipalvelusopimuksessa määriteltyjä enimmäismaksurajoja ylittävissä määrin.

Pankki on kertonut, että maksurajat on nostettu verkkopankissa, mutta asiakas ihmettelee, miten tästä ei tullut mitään erillistä ilmoitusta tai tarkistussoittoa, sillä asiakkaan maksurajat ovat olleet samat siitä asti, kun hän on aloittanut asiakkuuden pankissa vuonna 1993, eli tapahtumahetkellä asiakas ei ollut koskenut maksurajoihin muutoin kuin väliaikaisesti, erikseen pankin kanssa sovitusti, noin 30 vuoteen.

Maksurajat oli määritelty tarkoituksella alhaisiksi pankin turvallisuusehdotuksen mukaan. Tästä oli seurannut se, että toisinaan asiakkaan yrityksen palkkojen maksaminenkin oli edellyttänyt yhteydenottoa pankkiin ja maksurajan korottamista yhden vuorokauden ajaksi. Maksurajojen muuttamisen oli siis tähän asti tehnyt aina pankki itse, asiakkaan nimenomaisesta henkilökohtaisesta pyynnöstä. Asiakas on aina ollut käsityksessä ja tiennyt, että yritystilin nostorajoja ei voi muuttaa verkkopankissa itse.

Pankin vastuulla on tarkastella asiakkaan maksuliikennettä riippumatta asiakkaan toiminnasta eikä pankki voi olla puuttumatta epätavalliseen toimintaan, vaikka se epäilisi asiakkaan huolimattomuutta. Pankin vastuulla on järjestelmien ja muiden mekanismien avulla havaita epätavalliset maksut sekä pysäyttää ne. Jos pankki epäonnistuu tässä velvollisuudessaan, pankilla on vastuu korvata omasta huolimattomuudestaan aiheutunut vahinko.

Pankin olisi tullut havaita asiakkaan tilin ja hänen hallinnoimiensa tilien äkillinen, hyvin poikkeava maksuliikenne ja pysäyttää maksut. Erityisesti kun maksut ovat ylittäneet asetetut maksurajat, joita asiakas oli itse kyennyt muuttamaan vain erillisellä puhelinsoitolla pankkiin. Pankki ei ole myöskään esittänyt selvitystä siitä, miten maksurajojen ylittäminen on ollut mahdollista ilman puhelinvahvistusta asiakkaalta. Asiakas ei ole myöskään saanut pankilta luetteloa, että milloin ja mihin summiin maksurajoja on tässä asiassa muutettu.

Riittävän huolellisesti toimien pankki olisi kyennyt pysäyttämään oikeudettomat maksut ja tiedustelemaan niistä asiakkaalta, jolloin vahinkoa ei olisi päässyt syntymään.

Pankki on lisäksi väittänyt, että pankkivirkailijan ei olisi tullut pitää merkityksellisenä asiakkaan ilmoitusta verkkopankin toimimattomuudesta hänen asioidessaan konttorissa 19.7.2023, koska asiakkailla on usein ongelmia esimerkiksi nettiyhteyden toimimattomuuden tai tunnusten väärin kirjoittamisen vuoksi.

Asiakkaan tapauksessa kyse ei ollut siitä, että nettiyhteydessä olisi ollut vikaa tai että hän olisi kirjoittanut tunnuksensa väärin, vaan nimenomaan siitä, että verkkopankki ei toiminut ja näin hän oli myös ilmaissut asian virkailijalle. Asiakas ei olisi syyttänyt verkkopankkia toimimattomuudesta, jos kysymys olisi ollut hänen omasta näppäilyvirheestään (josta tulee virheen yksilöivä virheilmoitus) tai nettiyhteyden ongelmista.

Asiakas kokee, että pankki ohittaa asiassa täysin oman vastuunsa. Asiakas on luovuttanut varallisuutensa ja yrityksensä varallisuuden ja perheensä varallisuuden pankin hallinoitavaksi. Pankki ei ole täyttänyt sitä koskevan sääntelyn mukaisia velvoitteita asiakkaansa tuntemista, kun pankki ei ole seurannut sääntelyn vaatimalla huolellisuudella asiakkaan ja hänen hallinnoimien tilien rahaliikennettä ja puuttunut ajoissa tileillä tapahtuneeseen rikolliseen toimintaan. Pankki ei ole havainnut maksurajojen äkkinäistä nostoa ja lukuisia, suuria siirtoja lukuisille ulkomaisille saajille, mikä on erittäin poikkeuksellista asiakkaan tavanomaiseen maksukäyttäytymiseen verrattuna.

Pankki on myös laiminlyönyt huolellisuusvelvoitteensa 19.7.2023, kun asiakas on asioinut konttorissa ja kertonut, että on joutunut tulla konttoriin maksamaan verkkopankin toimimattomuuden vuoksi. Pankkivirkailijan olisi tullut huolellisesti toimien tarttua asiakkaan kertomaan verkkopankin ongelmista, ja tällöin tapahtunut olisi huomattu ajoissa ja vahinko olisi voitu estää. Virkailija ei kertonut, että verkkopankin pitäisi kyllä olla toiminnassa eikä hän selvittänyt asiaa lainkaan, esimerkiksi pyytänyt asiakasta näyttämään puhelimestaan virheilmoitusta verkkopankin sivuilla. Virkailijan reagoimattomuuden vuoksi asiakas on jäänyt perustellusti käsitykseen, että verkkopankki ei todella toiminut sillä hetkellä.

Virkailijan päätteeltä on myös varmasti näkynyt, että asiakkuudelle on juuri aktivoitu pankin tunnistussovellus ja virkailija olisi voinut tiedustella asiakkaalta myös uuden tunnistautumisvälineen aktivoinnista, sillä asiakkaan ilmoitus verkkopankin toimimattomuudesta liitettynä asiakastiedoista nähtävillä olevaan uuteen tunnistautumisvälineeseen olisi pitänyt herättää pankin epäilykset, koska FINEn ratkaisukäytännöstä ilmenevästi samankaltaisia tapauksia on ollut ennenkin, eli pankki on ollut tietoinen varoitusmerkeistä, joita seurata.

On toki selvää, että pankin vastuu ja vastuun laiminlyönti on arvioitava erikseen asiakkaan toiminnasta, mutta sitä ei voi ohittaa asiassa. Pankkipalvelussa on kaksi osapuolta, pankki ja asiakas, ja molempien toiminnan arvioinnilla tulee olla merkitystä. Ei ole niin, että vain asiakkaan toiminnalla on merkitystä vastuunjaon kannalta ja pankin toiminnalla tai laiminlyönneillä ei olisi arvioinnissa lainkaan merkitystä.

Pankki on myös selvästi havainnut, että maksurajojen muuttaminen on tehty rikollisille liian helpoksi, sillä pankki on 7.12.2024 ilmoittanut uudesta turvallisuutta lisäävästä palvelusta.

Mikäli pankki olisi myöntänyt asioinnin turvallisuuspuutteen ja ottanut tällaisen palvelun käyttöön jo aikaisemmin, ei asiakkaan tapauksen tilannetta olisi päässyt syntymään, kun tilien vuorokausikohtaista maksurajaa ei olisi ollut mahdollista muuttaa rikollisten toimesta.

Pankki on edelleen vedonnut siihen, että asiakkaalla on oikeus tehdä isojakin tilisiirtoja, eikä yksinään se, että on kyse isommasta tilisiirrosta tarkoita, että siirrossa olisi jotain epäilyttävää. Asiakkaan tilit ja hänen hallinnoimansa tilit on käytännössä tyhjennetty muutamassa minuutissa ulkomaille maksurajat ylittävillä siirroilla. Kyse ei ole ollut yksittäisestä isosta kotimaisesta maksusta.

Asiakkaan oma toiminta ja huolellisuus

Pankin vastineista ymmärretään pankin esittäneen seuraavat väitteet asiakkaan toiminnasta ja sen väitetystä huolimattomuudesta:
- Pankin verkkopankkiin oli hakeuduttu hakukoneen kautta eikä selaimeen internetosoite kirjoittamalla
- Asiakkaan olisi tullut havaita tulleen aktivointikoodiviestin poikkeavan pankin aiemmista viesteistä
- Asiakkaan olisi tullut havaita tilanteen erikoisuus teknisistä ongelmista kertoneiden ilmoitusten vuoksi
- Asiakas olisi jättänyt huomioimatta pankin viestin pankin tunnistussovelluksen aktivoitumisesta 24 tunnin kuluttua ja jättänyt ottamatta yhteyttä pankkiin
- Asiakas olisi toiminut vastoin pankkisopimuksen ehtoja ja luovuttanut kertakäyttökoodin vaimolleen, joka on pankin näkemyksen mukaan johtanut epäselvyyksiin kirjautuessa.

Asiakkaan toiminta voidaan katsoa enintään huolimattomaksi, mutta ei vakavaksi varomattomuudeksi tai selväksi piittaamattomuudeksi, eikä siten törkeäksi huolimattomuudeksi. Asiakas on toiminnallaan nimenomaan pyrkinyt huolehtimaan pankkiasioinnin turvallisuudesta.

Asiakas vastaa näihin väitteisiin väitekohtaisesti seuraavasti:

Hakukoneen käyttö

Hakukoneen käyttöä ei ole kielletty pankin digitaalisten palvelujen ehdoissa eikä ehdoissa ole myöskään tuotu esille, että hakukonetta käyttäessä tulisi käyttää erityistä varovaisuutta. Myös FINEn ratkaisukäytännössä on katsottu, että hakukoneen käyttö pankin nettisivuille hakeuduttaessa vuonna 2023 ei osoita asiakkaan huolimattomuutta eikä hakukoneen käyttämisen ole katsottu sisältävän erityisiä turvallisuusriskejä (mm. FINE-060698 ja FINE-068552).

Sillä, että asiakas on hakukoneen kautta hakeutunut tapahtumahetkellä pankin verkkosivuille, ei ole asiassa merkitystä eikä se osoita asiakkaan toimineen huolimattomasti, saati törkeän huolimattomasti.

Pankki on lisävastineessaan vedonnut ohjeistukseensa, joka on julkaistu tapahtumasta lähes vuotta aiemmin ilmeisesti pankin nettisivuilla, ja jossa ohjeistuksessa on mm. kerrottu, ettei pankin sivustolle ole turvallista kirjautua asiakkaan saaman linkin kautta. Asiakas ei ole hakeutunut sivustolle minkään saamansa linkin kautta, vaan hakukoneen kautta.

Asiakas on pyrkinyt olemaan tarkkana tilanteessa, kun hän on kännykällä ensimmäistä kertaa hakeutunut verkkopankin sivuille. Asiakas ei huomannut osoitekentässä mitään hälyttävää, hän ei havainnut verkkosivun osoitteen tai verkkosivujen ulkoasun poikenneen millään tavoin pankin oikeiden verkkosivujen vastaavista.

Pankin turvallisuusvaroituksista

Pankki on esittänyt antamiaan eri varoituksia, jotka vaikuttavat annetun noin vuosi ennen tapahtunutta. Viestejä ei ole lähetetty keväällä tai kesällä 2023. Varoituksissa on erityisesti korostettu sitä, että asiakas ei saa klikata viestillä tulevia linkkejä tai antaa puhelimessa pankkitunnuksiaan / kirjautua puhelimitse tulevasta pyynnöstä verkkopankkiin tai asentaa puhelimitse tulevasta pyynnöstä jotakin ohjelmistoa. Asiakas ei ole toiminut millään näistä tavoista.

Missään pankin toimittamissa varoitusviesteissä ole tuotu esille sellaista tapahtumankulkua kuin nyt on käynyt, eli että huijarit voivat päästä valesivuston avulla asentamaan erillisen tunnistussovelluksen, jota kautta he voivat tehdä maksuja asiakkaan tietämättä. Pankin liitteenä toimittamista varoitusviesteistä havaitaan, että niissä ei kerrota mitään siitä, kuinka helposti tunnistussovellus voidaan kaapata, mikäli asiakas käyttää tekstiviestillä saatavia kertakäyttöisiä tunnuslukuja eikä sitä, miten kaappaus käytännössä tapahtuu.

Pankin varoitusviesteissä ei myöskään tuoda esille sitä, miten huijaustilanteissa tunnistussovelluksen asentaminen tapahtuu ja mitkä ovat juuri tällaisen tapauksen varoitusmerkkejä, joita tulisi seurata. Ohjeissa ei myöskään kerrota, että pankki ei muuta kertakäyttöisten tunnuslukuviestien sisältöä asiakkaalle ennalta ilmoittamatta.

Pankin tunnistussovelluksen aktivointikoodin havaitseminen/Ilmoitukset teknisistä ongelmista

Asiakas ei tapahtuma-aikana ollut käsityksessä, että pankin verkkopankki olisi toimintavarma. Sisäänkirjautumisen ja verkkopankin toimivuuden kanssa oli ollut ennenkin ongelmia, joten ilmoitukset teknisistä ongelmista eivät olleet asiakkaasta mitenkään poikkeuksellisia, vaan ne herättivät hänessä ainoastaan ärtymystä. FINE on myös omassa ratkaisukäytännössään katsonut, että on tavanomaista, että eri verkkopalveluissa esiintyy häiriöitä eivätkä ne osoita asiakkaalla olevan syytä epäillä pankkitunnustensa vaarantumista (mm. FINE-068552).

Asiakas oli suorittamassa maksutapahtumaa itse vaimonsa puhelimella. Asiakkaan omassa puhelimessa ei ollut tapahtuma-aikana nettiä eikä puhelinmalli ollut sellainen, että sillä olisi päässyt nettiin tai verkkopankkiin.

Asiakkaan vaimon kännykässä, kuten useimmissa kännyköissä, tekstiviestit voitiin esikatsella puhelimen näytön ylälaidassa siten, että alaspäin vetämällä viestistä näkyy tekstiä joidenkin lauseiden verran eikä viestiä tarvitse avata koko näytön kokoisena tekstiviestisovelluksessa. Asiakkaalla oli verkkopankki auki puhelimen näytöllä eikä hän halunnut poistua vahingossakaan sivulta ja ottaa riskiä, että kirjautuminen olisi pitänyt aloittaa alusta. Tämän vuoksi hän tarkasteli tilanteessa pankin viestejä esikatselunäkymän kautta. Tunnuslukukoodit olivat nähtävissä esikatselunäkymästä.

Asiakas ei esikatselunäkymästä havainnut, että viestit olisivat tulleet eri lähettäjiltä tai että niiden sisältö olisi poikennut toisistaan. Viesteissä oli molemmissa nelinumeroinen koodi, joka molemmilla kirjautumiskerroilla toimi siinä kohdassa kirjautumista, kun tekstiviestillä lähetettävä kertakäyttöinen tunnusluku annetaan. Viestien informaatioarvoon liittyen otetaan kantaa vielä jäljempänä.

Asiakas käytti ensimmäistä kertaa verkkopankkia kännykän selaimella ja hän pyrki olemaan yhtä huolellinen kuin hän tavanomaisestikin on pankkiasioita hoitaessaan. Asiakas ei ole toiminut huolimattomasti tai ainakaan törkeän huolimattomasti, kun hän ei tilanteessa ollut havainnut, että tunnuslukuviestien lähettäjä tai niiden sisältö eroaisivat toisistaan.

Viesti pankin tunnistussovelluksen aktivoitumisesta 24 h kuluttua

Asiakas oli havainnut tämän viestin saapumisen, kun hän oli toisen epäonnistuneen maksuyrityksen jälkeen kävelemässä kohti pankin konttoria. Asiakkaalla oli kiire, jotta hän ehtisi tekemään maksun konttoriin ennen sen sulkeutumista, sillä kello oli jo yli 15.35. Asiakas vilkaisi viestiä kävellessään ja koska viesti tuli pankilta, hän arveli sen tarkoittavan, että verkkopankki alkaisi taas toimia ja palautuisi 24h kuluttua.

Kun pankkikonttorissa virkailija ei sanonut mitään asiakkaan kertoessa, ettei verkkopankki toimi, ei asiakas osannut yhdistää viestiä muuhun kuin verkkopankin tai verkkopankkitunnusten toimintaan palaamiseen. Jos virkailija olisi sanonut, että verkkopankin pitäisi kyllä toimia normaalisti, olisi asiakas tulkinnut tilannetta eri tavoin.

Asiakkaan tilanteessa tulee huomioida koko tapahtumaketju arvioitaessa sitä, miten asiakas on voinut tai miten hänen olisi tullut ymmärtää kyseinen viesti. Hän oli suorittamassa maksua, mutta se ei onnistunut verkkopankin virheilmoituksen takia. Virheilmoituksia oli kirjautuessa tullut hänelle ennenkin, joten verkkopankin toimimattomuus ei näyttäytynyt asiakkaalle epäilyttävänä. Lisäksi hän oli kävelemässä viestin saapuessa pankkikonttoriin, jossa hän oli maininnut verkkopankin ongelmista, mutta virkailija ei ollut reagoinut asiakkaan sanomaan, joten asiakas ei voinut tietää verkkopankin todellisuudessa toimivan tuolloin ja hän oli voinut tilanteessa mieltää viestin liittyvän jotenkin verkkopankkiin tai pankkitunnuksiin ja niiden toimivuuteen. Asiakkaan ei voida katsoa toimineen huolimattomasti, saati törkeän huolimattomasti näiltäkään osin.

Lisähuomioita pankin lähettämistä viesteistä

Pankki on lisävastineensa perustella ymmärtänyt tekstiviestien esikatselunäkymän väärin. Pankilta tulleet viestit ovat kokonaisuudessaan näkyneet esikatselunäkymässä, sillä ne ovat olleet pituudeltaan lyhyitä eikä viestien osaa ole jäänyt piiloon.

Asiakas on lukenut molemmat viestit heti niiden saapuessa kokonaisuudessaan eikä mitään viestien informaatiosta ole jäänyt lukematta. Kirjautumiseen tarvittavat tunnusluvut ovat olleet pankin itsensä toimittamien tietojen perusteella kunkin tekstiviestin tekstisisällössä viimeisenä, joten koko viesti on tullut näkyviin ja luetuksi kun viimeisenä viestissä ollut tunnusluku on tullut luetuksi. Ei ole mahdollista avata viestiä esikatselunäkymässä siten, että siitä näkisi vain viestin loppuosan. Esikatselunäkymässä myös näkyy viestin lähettäjä.

Asiakas on myös jo aiemmassa vastineessaan kertonut avanneensa viestin tunnistussovelluksen aktivoitumisesta 24 h kuluessa matkallaan pankkiin. Tämän viestin hän on avannut nimenomaisesti tekstiviestisovelluksessa, toisin kuin pankki vaikuttaa väittävän.

Kaikki viestit tapahtumapäivänä ovat tulleet puhelimeen sen ollessa asiakkaan hallussa, joten tilanteessa ei ole myöskään kysymys siitä, että asiakas ei olisi itse nähnyt viestejä sen vuoksi, että puhelin olisi ollut jonkun muun hallussa.

Asiakas on nähnyt ja lukenut 19.7.2023 pankilta tulleet viestit kokonaisuudessaan, joten asiakkaan toiminta ei osoita näiltäkään osin vakavaa varomattomuutta tai selvää piittaamattomuutta.

Asiakas on lukenut viestit, mutta ei asiayhteydessä pitänyt niitä poikkeavina. Hän oli kirjautumassa verkkopankkiin ja molempien viestien nelinumeroinen koodi toimi kertakäyttöisen tunnusluvun kentässä ja viesti tuli samassa kohtaa kirjautumisprosessia kummallakin kertaa, joten asiakkaalla ei ollut syytä olettaa, että koodit olisivat eri koodeja. Yleisesti tiedossa on, että väärä koodi kirjautumiskenttään syötettäessä sivusto antaa virheilmoituksen. Sellaista ilmoitusta ei tullut.

Asiakas ei myöskään voinut tietää, oliko pankilla jokin järjestelmämuutos meneillään, joka vaikutti sekä verkkopankin toimimattomuuteen että pankin viestisisältöön. Pankit tekevät jatkuvasti muutoksia ja päivityksiä nettisivuillensa ja sovelluksiinsa, asiakas ei voi pysyä kärryillä siitä, mitä muutoksia milloinkin tapahtuu tai ei tapahdu, ellei pankki viesti niistä selkeästi.

Pankin mukaan asiakkaan on täytynyt tietää mikä tunnistussovellus on. Asiakas ei ole tiennyt tunnistussovelluksesta muuta kuin sen, että se liittyy jotenkin pankin toimintaan. Asiakas ei ollut selvittänyt asiaa ennen tapahtuma-aikaa.

Pankki on lisävastineessaan kirjoittanut, että kirjautuessaan verkkopankkiin asiakkaan tulee aina valita, kirjautuuko tunnistussovelluksella vai taulukolla, jonka vuoksi pankki on ilmeisesti katsonut asiakkaan tienneen mikä tunnistussovellus on. Pelkkä painike, jossa lukee tunnistussovelluksen nimi ei anna tai lisää tietoa siitä. Asiakas on aina valinnut tunnuslukutaulukon, koska hän tuntee sen, se on hänellä käytössä ja se on tapa, jolla pankki on aikanaan häntä ensimmäisen kerran neuvonut verkkopankkiin kirjautumaan. Asiakas on sen vuoksi aina käyttänyt tunnuslukutaulukkoa.

Asiakkaalle on erityisen tärkeää, että pankkiin voi kirjautua tunnuslukutaulukolla eikä millään muulla tunnistautumisvälineellä. Asiakas on pitänyt paperista tunnuslukutaulukkoa pankin kilpailuetuna muihin pankkeihin nähden ja myös tuonut tämän esille kilpaileville pankeille näiden ehdottaessa pankin vaihtoa.

Toiminta vasten pankkisopimuksen ehtoja

Asiakas kiistää toimineensa vastoin pankkisopimuksen ehtoja. Hän ei ole luovuttanut pankkitunnuksiaan, digitaalista allekirjoitusta tai osia niistä niiden käyttöön oikeudettomalle. Asiakas ei ole luovuttanut kertakäyttökoodia vaimolleen 19.7.2023, sillä hän on itse ollut se henkilö, joka operoi kyseistä puhelinta käsillä olevien tapahtumien aikana 19.7.2023.

Asiakas ja hänen vaimonsa ovat suorittaneet jokaisen verkkopankin kautta tehdyn maksun yhdessä ja samassa tilassa ollen. He ovat nimenomaan turvallisuussyistä toimineet näin – kumpikaan ei voisi toisen tietämättä tehdä maksuja toistensa tileiltä tai yrityksen tileiltä. Jos joku ulkopuolinen pääsisi käsiksi joko asiakkaan hallussa olleeseen tunnuslukutaulukkoon tai vaimon puhelimeen, olisi vain toinen ilman toista hyödytön ulkopuoliselle.

Joka tapauksessa, kun asiakas on itse käsitellyt vaimonsa puhelinta 19.7.2023 kirjautumisyrityksen yhteydessä kirjautumalla itse laitteella verkkopankkiin (tietämättään huijaussivustolle) ja käsittelemällä itse puhelinta ja siihen saapuneita tunnuslukutekstiviestejä 19.7.2023, ei asiakas ole luovuttanut pankkitunnuksiaan tai tunnuslukua vaimolleen.

Asiakas ei ole toiminut 19.7.2023 miltään osin piittaamattomasti tai huolimattomasti pankkisopimuksen ehtoihin nähden, vaan hän on nimenomaisesti itse käyttänyt tapahtumahetkellä sitä laitetta, johon kertakäyttöiset tunnusluvut ovat tulleet.

Asiakkaan toiminta pankkiasioissa muulloin kuin 19.7.2023 ei liity kyseisen päivän tapahtumien arviointiin ja joka tapauksessa toimintaa ei voida pitää pankkisopimuksen ehtojen vastaisena, vaan nimenomaan pyrkimyksenä toimia ehtojen mukaisesti lisäten asioinnin turvallisuutta oma-aloitteisilla turvatoimilla. Asiakas on aina itse läsnä jokaisessa maksutilanteessa ja kirjaa itse aina verkkopankkiin kirjautumiseen tarvittavat tiedot.

Asiakas ei ole rikkonut sopimusehtoja käsillä olevassa asiassa. Asiakkaan ei voida katsoa toimineen huolimattomasti, saati törkeän huolimattomasti näiltäkään osin.

Muita huomioita pankin vastineista

Pankki ei vaikuta tietävän mihin kellonaikaan sen lähettämät tekstiviestit 19.7.2023 ovat pankin tietojen mukaan lähteneet tai menneet perille.

Pankin työntekijä on sähköpostissaan asiakkaalle 27.7.2023 kertonut viestien lähteneen kello 15.25 ja 15.26. Pankin vastauksessa selvityspyyntöön 28.11.2023 pankki on kertonut, että kertakäyttöinen tunnusluku on lähetetty tekstiviestillä kello 14.23, tunnistussovelluksen aktivointikoodiviestin kellonajaksi on ilmoitettu 14.25 ja sen aktivoitumista 24 h kuluttua koskeva viesti olisi lähetetty 14.26. Vielä kolmannet kellonajat ovat pankin FINElle antamassa lausumassa 25.6.2024, jonka mukaan pankin tunnistussovellukseen liittyneet viestit olisi lähetetty kello 16.25 ja 16.26.

Asiakkaan alkuperäinen reaktio kieltää pankin tekstiviestien saapuminen ennen yhteydenottoa asiamieheensä on ollut paniikkireaktio.

Asiakas ei ilmoittanut tekstiviestistä pankkikonttorissa, koska hänellä ei ollut mitään syytä olettaa joutuneensa juuri huijauksen uhriksi ja että jotain väärinkäytöksiä olisi tapahtumassa.

Lisäksi pankki on nyt selvästi todennut viestiensä informaatiosisällön olleen riittämätön, sillä pankki on muuttanut vahvistusviestiensä sisältöä marras-joulukuun vaihteessa. Mikäli pankki olisi myöntänyt viestiensä sisällön informaatiopuutteet ja puutteellisen selkeyden jo aiemmin, ei asiakkaan tapauksen tilannetta olisi päässyt syntymään, jos jokaisessa tekstiviestissä olisi selvästi kerrottu mitä viesti tarkoittaa, mihin se liittyy ja mitä tapahtuu, jos viestissä olevan koodin käyttää. Lisäksi muuttunut viestisisältö osoittaa, että pankki voi muutella viestiensä sisältöä asiakkaalle ennalta ilmoittamatta, eikä viestin aiemmasta mahdollisesti osin poikkeava sisältö ole tämä seikka huomioiden ollut tapauksessa huomattavan hälyttävä tai huomiota erityisesti herättävä.

FINEn aiemmasta ratkaisukäytännöstä

FINE on mm. ratkaisuissaan FINE- 059980 ja FINE-068227 käsitellyt hyvin samanlaista tilannetta ja tapauksien ratkaisuselosteen sekä tapauksissa asiakkaiden saamien viestien sisällön perusteella myös pankki saattaa olla sama kuin asiakkaan tapauksessa. Tapauksissa asiakkaat olivat tietämättään kirjautuneet verkkopankkiin huijaussivuston kautta ja rikolliset olivat asentaneet omalle laitteelleen tunnistussovelluksen, joka oli aktivoitunut 24 tunnin kuluttua ja asiakkaille oli lähetetty sitä koskeva viesti. Kumpikin asiakas oli välittömästi tapauksen jälkeen asioinut pankissa onnistuneesti.

Tapauksissa on yhtäläisyyksiä nyt käsiteltävän tapauksen kanssa: Asiakas oli mieltänyt kirjautuvansa verkkopankkiin eikä hän ollut havainnut pankin tunnistussovellus X:n aktivointitunnuksen sisältävän viestin eroavan aiemmista pankin viesteistä tilanteessa. Asiakas oli lopulta asioinut pankin konttorissa onnistuneesti, eikä konttoriasioinnin yhteydessä ollut tarkemmin enää palannut lukemaan tunnistussovellus X:n aktivoitumista 24h kuluttua koskevaa viestiä, koska virkailija ei ollut korjannut asiakasta hänen kertoessaan, ettei verkkopankki toimi. Asiakas oli asiayhteydestä voinut perustellusti jäädä käsitykseen, että kysymys oli todella verkkopankin toimintaongelmista ja siihen liittyvästä viestistä, koska virkailija ei kertonut verkkopankin olevan toiminnassa. Koska viestissä ei selitetty mikä X on, on asiakas voinut mieltää sen olevan jokin verkkopankkiin tai sen käyttöliittymään liittyvä nykyaikainen termi.

Kuten tapauksien asiakkaat, myös asiakas on aina käyttänyt verkkopankkia pöytäkoneella ja joskus harvoin työmatkoilla hän on käyttänyt kannettavaa tietokonetta. Tapahtuma-aikana 19.7.2023 asiakas käytti asiointiin ensimmäisen kerran kännykkää ja kännykän selainta.

Kuten tapauksien asiakkaat, myös asiakas on käyttänyt verkkopankkia aina paperisen tunnuslukutaulukon avulla. Asiakas ei osannut tilanteessa yhdistää pankin tunnistussovellus X:ää johonkin erilliseen sovellukseen tai toimintoon, koska hän ei sellaista käytä eikä ole käyttänyt.

FINE on muun muassa mainituissa ratkaisuissaan kritisoinut pankin viestien informaatioarvoa. Myös tässä tapauksessa viestien informaatioarvo ei ollut riittävä. Viesteissä ei kerrota, että ne liittyisivät johonkin erilliseen, uuteen sovellukseen ja sen toimintojen aktivoimiseen tai että tällainen sovellus olisi juuri ladattu jollekin laitteelle. Viesteistä ei myöskään ilmene, että ne liittyvät johonkin sellaiseen sovellukseen, joka korvaa paperisen tunnuslukutaulukon. Pankin viestinnän puutteellisuus ja epäinformatiivisuus ei ole asiakkaan syyksi lankeava seikka.

Pankki on katsonut, että asiakkaan toiminta eroaa FINEn ratkaisukäytännöstä ensinnäkin siten, että hän ei olisi avannut pankilta saamiaan viestejä. Tätä asiaa on selostettu edellä: asiakas on avannut viestit ja ne ovat näkyneet hänelle kokonaisuudessaan. Pankin näkemys on siten virheellinen.

Pankki on lisäksi katsonut, että asiakkaan toiminta eroaa ratkaisukäytännöstä siten, että hän olisi luovuttanut osan pankkitunnuksistaan toiselle. Kuten edellä on selostettu, asiakas ei ole toiminut näin vaan hän on päinvastoin toiminut tismalleen pankin oikeaksi katsomalla toimintatavalla 19.7.2023.

Vielä pankki on katsonut tapauksen eroavan ratkaisukäytännöstä siten, että asiakas on osannut käyttää verkkopankkia. Viitatuissa ratkaisuissa ei ole ratkaisujen perusteluiden mukaan ollut kysymys tilanteista, joissa asiakkaat eivät olisi käyttäneet verkkopankkia aiemmin tai eivät olisi tienneet miten se toimii. Tapausselosteiden perusteella ei voida tehdä tällaista johtopäätöstä, vaan pikemminkin tapausselosteet osoittavat hyvin samankaltaiseen tilanteeseen asiakkaan kanssa.

Asiakas on vuosikaudet kirjautunut pankkiin aina tietokoneella ja aina samalla tavalla, kuten viitatuissa ratkaisuissakin oli tehty. Nyt hän kirjautui ensimmäisen kerran kännykän selaimella.

On riidatonta, että asiakas osaa käyttää verkkopankkia pöytäkoneella ja satunnaisesti kannettavalla tietokoneella ja osaa hallinnoida eri tilejä. Asiakkaan taidoilla verkkopankin eri ominaisuuksien kanssa sinne kirjautumisen jälkeen ei kuitenkaan ole merkitystä arvioidessa sitä, mitä 19.7.2023 kirjautumisyrityksen yhteydessä on tapahtunut. Kuten FINEn tapauksissa, myös asiakas oli onnistuneesti asioinut pankissa, konttorissa, kirjautumisyritysten jälkeen.

Ratkaisukäytännöstä asiakas haluaa vielä nostaa esille ratkaisun FINE-050512, jonka tapauksen yksityiskohdat osin eroavat asiakkaan tapauksesta ja aiemmin viitatuista ratkaisuista, mutta jossa on myös käsitelty tunnussovelluksen asentamista ja siihen liittyvän viestin informaatioarvoa.

Kyseisessä ratkaisussa oli kysymys tilanteesta, jossa henkilö oli kirjautunut tekstiviestillä saadun linkin kautta pankin verkkosivuilta näyttäneelle huijaussivustolle, ja sitä kautta kirjautumisyrityksen yhteydessä syöttänyt muun muassa saamastaan tekstiviestistä tunnussovelluksen asennuskoodin kertakäyttöisen tunnusluvun sijasta. Tässä ratkaisussa asiakas oli siis seurannut linkkiä, mikä poikkeaa käsillä olevasta tapauksesta. Tapaus on kuitenkin hyvin samankaltainen asiakkaan tapauksen kanssa. Asiakkaan saamat viestit eivät ole merkittävästi pituudeltaan poikenneet toisistaan ja molemmissa viesteissä on ollut samanpituinen, samankaltaisesti neljästä numerosta muodostunut koodi. Ja kysymyksessä on ollut rutiininomainen kirjautumistilanne.

Asiakas ei kiistä sitä, etteikö FINEn ratkaisukäytännössä olisi lähtökohtaisesti katsottu tunnussovelluksen aktivointiviestin eroavaisuuksien havaitsematta jättämisen osoittavan varomattomuutta tai joissain ratkaisussa jopa vakavaa varomattomuutta. Mutta kokonaisuutena arvioiden edellä ja aiemmin mainituissa tapauksissa ei ole katsottu asiakkaan toimineen törkeän huolimattomasti tai piittaamattomasti.

Pankin vetoamasta FINE:n ratkaisusta FINE-060698 asiakas toteaa, ettei se ole vastaavanlainen asiakkaan tapauksen kanssa. Asiakas ei ole poistanut viestejä eikä jättänyt reagoimatta niihin, kun ottaa huomioon, miten asiakas on tilanteessa kokonaisuutena arvioiden viestin merkityksen mieltänyt.

Kuten mainituissa ratkaisuissa, myös tässä tapauksessa tulee katsoa, että asiakas ei ole toiminut törkeän huolimattomasti.

Lopuksi

Asiakas vetoaa lisäksi maksupalveludirektiiviin (2015/2366/EU), jonka johdanto-osassa todetaan, että maksupalvelun käyttäjän huolimattomuuden tai törkeän huolimattomuuden arvioimisessa olisi otettava huomioon kaikki olosuhteet. Väitetyn huolimattomuuden osoittava näyttö ja huolimattomuuden vakavuusaste olisi yleensä arvioitava kansallisen lainsäädännön mukaisesti. Huolimattomuuden käsite viittaa huolellisuusvelvollisuuden rikkomiseen, mutta törkeä huolimattomuus olisi sen sijaan määriteltävä vakavammaksi kuin pelkkä huolimattomuus niin, että se sisältää käyttäytymisen, johon kuuluu merkittävä määrä piittaamattomuutta. (johdannon kappale 72)

Kotimaisessa oikeuskäytännössä ei ole maksupalvelulain tai direktiivin tarkoittamasta törkeästä huolimattomuudesta tai merkittävästä piittaamattomuudesta oikeuskäytäntöä, pois lukien KKO 2018:71, jossa luottokorttia oli säilytetty yhdessä tunnusluvun kanssa lukitsemattomassa tilassa, ja kyseisessä tapauksessa toimintaa ei ollut katsottu törkeän huolimattomaksi. Muissa yhteyksissä törkeää huolimattomuutta on arvioitu useissa KKO:n ratkaisuissa, kuten KKO 2005:77 ja KKO 2001:17 ja törkeänä huolimattomuutena on pidetty sellaista toimintaa, joka on ollut lähellä tahallista menettelyä. Tahallisessa menettelyssä toiminnan seurauksia pidetään varmana tai niihin suhtaudutaan täysin välinpitämättömästi ja sellaisesta ei ole asiakkaan tapauksessa kysymys.

Kun asiakkaan tapauksessa ei ole kysymys törkeästä huolimattomuudesta, vastuu tilisiirroista jää pankille.

Pankin vastine

Pankki kiistää asiakkaan vaatimuksen.

Asiakas on luultavasti päätynyt pankin nimissä olevalle huijaussivustolle kirjoittamalla selaimen osoiteriviin pankin nimen ja valitsemalla ehdotetuista vaihtoehdoista huijaussivuston. Kirjautumisyrityksen yhteydessä asiakkaalle on lähetetty useita tekstiviestejä. Klo. 16.25 lähetetyn tekstiviestin sisältö oli seuraava:

”Aktivointikoodi X:lle. KÄYTÄ KOODIA VAIN X:n AKTIVOINTIIN. 5201.” Tekstiviestin lähettäjä oli X.

Kuten viestistä käy ilmi, kertakäyttökoodi oli tarkoitettu vain pankin tunnistussovelluksen X:n aktivointiin. Pankin tunnistussovellus X oli mahdollista aktivoida ainoastaan tällä kertakäyttökoodilla. Kun asiakas antoi koodin ulkopuoliselle huijaussivuston kautta, ulkopuolinen pystyi aktivoimaan tunnistussovellus X:n asiakkaan nimissä. Näin aktivoidulla tunnistussovelluksella ulkopuolinen pääsi 24 tuntia myöhemmin hyväksymään kaikki valituksen kohteena olevat tilisiirrot.

Minuutti kertakäyttökoodin sisältävän tekstiviestin jälkeen asiakkaalle lähetettiin seuraava tekstiviesti pankilta:

 ”[Pankki] X:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut X:ää, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.”

Viimeistään tässä vaiheessa asiakkaan olisi pitänyt huomata, että viestien sisältö eroaa huomattavasti pankin aikaisemmista viesteistä. Asiakas ei kuitenkaan missään vaiheessa reagoinut näihin viesteihin eikä ottanut yhteyttä pankkiin tilanteen selvittämiseksi.

Pankin tekemän selvityksen perusteella on selvää, että viestit ovat tulleet perille asiakkaalle. Tämän osalta pankki vetoaa lautakunnalle toimittamiinsa järjestelmämerkintöihin.

Pankki edellyttää asiakkaan huomaavan, jos tekstiviestin lähettäjä ja sisältö poikkeavat aiemmin pankilta tulleista tekstiviesteistä verkkopankkiin sisäänkirjautumisen yhteydessä. Kirjautumisyrityksen yhteydessä asiakas vastaanotti kertakäyttökoodin tekstiviestinä, jossa sekä lähettäjä että sisältö eroavat aikaisemmista tekstiviesteistä sisäänkirjautumisen yhteydessä. Asiakas on tämän jälkeen saanut vielä yhden tekstiviestin, jossa häntä kehotetaan olemaan yhteydessä sulkupalveluun tai poistamaan pankin tunnistussovellus X verkkopankin kautta. Kun asiakas huomaa jotakin poikkeavaa kirjautuessaan sisään verkkopankkiin, hänen tulee välittömästi ottaa yhteyttä pankkiin ja keskeyttää kirjautumisyritys.

Ulkopuolinen on nostanut tilien päiväkohtaisia nostorajoja tunnistussovellus X:ää käyttäen. Mahdollisuudesta muuttaa tilien maksurajoja mobiili- tai verkkopankissa löytyy tietoa mm. pankin verkkosivuilla, eikä tämä voinut tulla asiakkaalle yllätyksenä. Asiakas on myös itse halunnut käyttöoikeuden muihin tileihin, siihen liittyvistä riskeistä huolimatta. Asiakkaalle on pitänyt olla selvää, että käyttöoikeus tiliin mahdollistaa tilisiirtojen tekemistä tililtä. Asiakkaalla on oikeus tehdä isojakin tilisiirtoja, eikä yksinään se, että on kyse isommasta tilisiirrosta tarkoita, että siirrossa olisi jotain epäilyttävää. Asiakas on mahdollistanut tunnistussovellus X:n käytön syöttämällä X:n aktivointia varten lähetetyn kertakäyttökoodin pankin nimissä olevalle huijaussivustolle.

Pankin vastaus perustuu tapahtuma-aikana pankin järjestelmiin tallennettuihin tietoihin. Syy tapahtumiin ei ole pankissa tapahtunut tietovuoto tai ohjelmistovirhe.

Kuten pankki on aikaisemmin todennut, viestit ovat saapuneet asiakkaan ilmoittamaan puhelinnumeroon. Viestistä käy selvästi ilmi, että koodi on aktivointikoodi tunnistussovellus X:lle, eikä viesti verkkopankin toimivuudesta. Mikäli asiakas ei ollut aktivoimassa pankin tunnistussovellus X:ää itselleen, hänen ei olisi pitänyt syöttää koodia verkkopankkiin. Asiakkaan lisäselvityksestä käy kuitenkin ilmi, että hänen antama puhelinnumero tekstiviestejä varten ei ollut hänen omansa, vaan hänen vaimonsa numero, mikä on voinut vaikuttaa näihin epäselvyyksiin.

Asiakas on tietoisesti luovuttanut kertakäyttökoodin vaimolleen, mikä on johtanut epäselvyyksiin kirjautumisyrityksen yhteydessä ja siten myös X:n aktivointiin ulkopuolisen laitteella. Tämän vuoksi pankki ei ole korvausvelvollinen asiassa.

Pankki vetoaa ehtoihinsa, joiden mukaan asiakas vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen digitaalisen allekirjoituksen käytöstä tai muusta digitaalisen allekirjoituksen oikeudettomasta käytöstä, jos hän on luovuttanut digitaalisen allekirjoituksen tai osan siitä sen käyttöön oikeudettomalle. Pankki vetoaa vastauksessaan myös digitaalisia palveluita koskevien yleisten ehtojen kohtiin ”Yleistä”,  ”Viestintälaitteet” sekä ”Digitaalisen allekirjoituksen suojaaminen” ja maksupalvelulain 53 §:n 1 momenttiin ja 62 §:ään. Pankki katsoo asiakkaan laiminlyöneen ehtojen mukaiset velvollisuutensa menettelyllään verkkopankkiin sisäänkirjautumisyrityksellään 19.7.2023 siinä määrin, ettei pankin korvausvelvollisuus koske valituksen kohteina olevia maksutapahtumia.

Lain esitöiden mukaan törkeällä huolimattomuudella tarkoitetaan sellaista erittäin vakavaa varomattomuutta, joka osoittaa selvästi piittaamatonta suhtautumista maksuvälineen hallintaan ja käyttöön liittyviin turvallisuusriskeihin.

Pankki arvioi, että asiakas on tässä tapauksessa toiminut törkeän huolimattomasti, minkä takia pankki ei ole vastuussa kyseessä olevista oikeudettomista tilisiirroista. Asiakas on toiminut välinpitämättömästi, kun hän on oman kertomansa mukaan jättänyt pankin lähettämät tekstiviestit lukematta sekä rikkonut pankin yleisiä ehtoja antamalla osan digitaalisesta allekirjoituksestaan ulkopuoliselle. Kokonaisuutena arvioiden asiakkaan toiminta vaikuttaa kiireiseltä ja tapauksessa on selvää, että asiakas on suhtautunut piittaamattomasti hänen käyttäytymiseensä liittyviin turvallisuusriskeihin mm. varoitusviestien lukematta jättämisen yhteydessä.

Alla pankki ottaa kantaa jokaiseen asiakkaan esittämään seikkaan yksityiskohtaisesti:

Hakukoneen käyttö

Digitaalisten palvelujen yleisistä ehdoista käy selvästi ilmi, että verkkopankin käyttö tapahtuu osoitteen www.[pankki].fi kautta. Vaikka hakukoneen käyttöä ei kielletä suoraan, asiakkaan on huolehdittava siitä, että verkkopankin käyttö tapahtuu mainitun verkkosivuston kautta.

Asiakas on luultavasti etsinyt pankin sivustoa hakukoneen avulla ja päätynyt sitä kautta aidoilta verkkosivuilta näyttäneelle valesivustolle tunnistamatta sitä valesivustoksi. Mikäli asiakas olisi tarkistanut sivun osoitteen, hän olisi voinut huomata olevansa väärällä verkkosivustolla. Pankki ei ole kuitenkaan väittänyt, että tällainen menettely yksinään osoittaisi asiakkaalta törkeää huolimattomuutta.

Pankin kaikille asiakkaille on myös lähetetty ohjeita turvallisempaan asiointiin, missä varoitetaan mm. siitä, että käyttämällä linkkiä kirjautumiseen on mahdollista päätyä huijaussivulle. Varoituksia huijauksista sekä ohjeita turvallisempaan asiointiin on myös julkaistu pankin verkkosivuilla.

Pankin tunnistussovelluksen aktivointikoodi ja pankin lähettämät tekstiviestit

Pankki vastaa viestien toimittamisesta asiakkaalle, mutta on asiakkaan vastuulla avata ja lukea pankin lähettämät tekstiviestit. Mikäli asiakas olisi avannut tekstiviestit siihen tarkoitukseen olemassa olevassa sovelluksessa, olisi hän voinut huomata, että sekä lähettäjä, että tekstiviestin sisältö poikkeavat huomattavasti hänelle aikaisemmin lähetetyistä viesteistä.

Päätös olla avaamatta tekstiviestiä, ja siten myös lukematta viestiä kokonaisuudessaan, osoittaa asiakkaalta välinpitämättömyyttä tällaiseen toimintaan liittyviin turvallisuusriskeihin. Tekstiviestien informaatioarvolla ei sinänsä ole tässä tapauksessa väliä, sillä asiakas ei avannut niitä. Tapauksessa on mahdotonta arvioida miten asiakas olisi reagoinut saamansa viesteihin, jos hän olisi avannut niitä kirjautumisyrityksensä yhteydessä. Viestistä käy selvästi ilmi, että kertakäyttökoodia saa käyttää vain X:n aktivointiin. Koska asiakkaan tarkoituksena ei ollut tunnistussovellus X:n aktivointi, hänen olisi pitänyt olla syöttämättä tällaista kertakäyttökoodia verkkosivulle. Asiakas on näin ollen omilla toimillaan aiheuttanut sen, että hänelle lähetetyistä tekstiviesteistä saatu tieto on ollut puutteellista. Asiakas on myös vähentänyt mahdollisuuksiaan saada pankin lähettämiä varoitusviestejä antamalla vaimonsa puhelinnumeron näitä tekstiviestejä varten.

Pankki on myös säännöllisesti julkaissut tietoa pankin tunnistussovellus X:stä. Asiakkaat valitsevat aina, miten he haluavat kirjautua sisään, X:llä vai taulukolla. Tämän perusteella on erittäin epätodennäköistä, että asiakas ei ollut tapahtumahetkellä tietoinen tunnistussovellus X:n olemassaolosta ja siitä, mihin tarkoitukseen sitä käytetään.

Toiminta vasten pankkisopimuksen ehtoja

Pankin ehdoista käy selvästi ilmi, että asiakas vastaa itse siitä, että asiakas hankkii, omistaa ja ylläpitää omalla kustannuksellaan kaikki välttämättömät laitteet, joita asiakas tarvitsee voidakseen käyttää digitaalisia palveluja. Se, että asiakkaan puhelimessa ei hänen oman kuvauksensa mukaan ollut internetyhteyttä, ei poista asiakkaan vastuuta varmistaa, ettei mikään osa hänen digitaalisesta allekirjoituksestaan päädy ulkopuolisten käsiin.

Antamalla vaimonsa puhelinnumeroa oman numeronsa sijaan pankin lähettämiä tekstiviestejä varten, asiakas on vähentänyt omaa mahdollisuuttaan varmistua siitä, että hänen tietojaan käytetään vain haluamaansa toimenpiteisiin. Asiakas on tietoisesti luovuttanut kertakäyttökoodin vaimolleen, mikä on johtanut epäselvyyksiin kirjautumisyrityksen yhteydessä ja siten myös X:n aktivointiin ulkopuolisen laitteella.

Asiakkaan ilmoittamasta kannasta liittyen tekstiviesteihin

Pankin ohjeissa kehotetaan asiakkaita lukemaan pankin lähettämät tekstiviestit huolellisesti ja ottamaan yhteyttä pankkiin heti, jos huomaavat viesteissä jotain poikkeavaa. Viestit poikkeavat huomattavasti, sekä sisällöltään, että lähettäjältään, aikaisemmista viesteistä. Asiakkaan selvitys tapahtumista liittyen tekstiviestien lukemiseen on myös ollut erittäin epäselvä ja muuttuu jatkuvasti. Ensimmäisessä valituksessaan pankille asiakas väitti, että hän ei saanut tapahtumapäivänä tekstiviestejä pankilta ja, että hän ei ole missään vaiheessa syöttänyt kertakäyttökoodia verkkosivulle. Pankin näkemyksen mukaan on hyvin epätodennäköistä, että asiakas on lukenut kaikki pankilta tulleet tekstiviestit huolellisesti, eikä siltikään huomannut niissä mitään tavallisesta poikkeavaa. Pankki ei valitettavasti pysty mitenkään tarkistamaan, mitä tilanteessa on tapahtunut, mutta haluaa kiinnittää lautakunnan huomiota jatkuvasti muuttuvaan selvitykseen. Asiakkaan aikaisempien vastausten mukaan, hän ei voinut soittaa sulkupalveluun, koska hän ei ikinä saanut/lukenut pankilta tulleita viestejä. Edellisessä vastineessaan hän kuitenkin toteaa, että tämä johtui viestien epäselvästä sisällöstä. Mikäli asiakas olisi avannut kaikki pankilta tulleet viestit ja lukenut ne huolellisesti, olisi hän huomannut, että sekä sisältö, että lähettäjä poikkeavat aikaisemmista viesteistä. Pankki on kantansa tueksi tuonut esille asiakkaan eri kirjelmissä antamien selvitysten tarkat päivämäärät ja sisällöt.

Pankki toteaa seuraavaa:
1) Asiakas on, vasten pankin yleisiä ehtoja, käyttänyt vaimonsa puhelinta pankin lähettämiä tekstiviestejä varten.
2) Kaikki pankin lähettämät tekstiviestit ovat saapuneet perille.
3) Asiakas ei ole ottanut yhteyttä sulkupalveluun saatuaan viestin X:n aktivoinnista, vaikka viestissä kehotettiin olemaan yhteydessä sulkupalveluun, mikäli hän ei ole itse aktivoinut X:ää.
4) Asiakas ei myöskään kertonut tekstiviesteistä saapuessaan pankin konttoriin.

FINEn aiemmasta ratkaisukäytännöstä

Vaikka mainituissa tapauksissa on yhtäläisyyksiä asiakkaan tapauksen kanssa, on myös selvää, että tapaukset eroavat merkittävästi toisistaan monella tavalla.

Esimerkiksi tapauksessa FINE-059980 Pankkilautakunta on katsonut ”huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit.” Asiakas ei kuitenkaan oman kertomuksensa mukaan edes avannut pankin lähettämiä tekstiviestejä, vaan katsoi niitä esikatselunäkymässä, missä ei ollut mahdollista huomata, että sekä viestien sisältö, että lähettäjä poikkeavat tavallisesta.

Kummassakaan mainitussa tapauksessa asiakkaat eivät ole myöskään luovuttaneet osia digitaalisista allekirjoituksistaan ulkopuolisille, eivätkä tapausten asiakkaat siten suoraan rikkoneet pankin yleisiä ehtoja.

Asiakas ei myöskään ole muilta osin verrattavissa kahdessa mainitussa ratkaisussa käsiteltyihin asiakkaisiin. Asiakkaalla on ollut tietoa siitä, miten verkkopankki toimii, ja hän on myös onnistuneesti hallinnoinut muun muassa yrityksen tapahtumia ja käyttöoikeuksia muihin tileihin ilman vaikeuksia. Kokonaisuutena tapaukset eivät siis ole suoraan verrattavissa toisiinsa.

Pankki vetoaa lautakunnan ratkaisuun FINE-060698. Myös tässä tapauksessa asiakas on jättänyt reagoimatta viestiin ja sen sisältöön, vaikka hänellä on ollut 24 tuntia aikaa ennen pankin tunnistussovelluksen aktivoitumista. Vaikka asiakas ei ole poistanut pankilta tulleita viestejä, ne eivät myöskään ole olleet hänen puhelimellaan, vaan hänen vaimonsa puhelimella, eli ei enää hänen hallussaan.

Kokonaisuuden arviointi

Asiakas on toiminut välinpitämättömästi sekä vasten pankin yleisiä ehtoja, ja toiminnallaan itse mahdollistanut ulkopuolisen tekemiä oikeudettomia tilisiirtoja. Asiakas on kirjautunut verkkopankkiin käyttämällä hakukonetta ja sitä kautta saanutta linkkiä, varmistamatta sivun aitoutta. Tämä on tehty pankin lähettämistä ohjeista ja varoituksista huolimatta. Kirjautumisyrityksensä yhteydessä asiakas on myös tahallaan jättänyt pankin tekstiviestit lukematta, minkä takia hän ei huomannut niiden poikkeavan pankin tavallisista tekstiviesteistä. Kun asiakas on huomannut viestin, jossa häntä kehotettiin olemaan yhteydessä sulkupalveluun, hän ei reagoinut viestiin eikä myöskään kertonut viestistä pankissa asioidessaan. Tämän lisäksi asiakas on rikkonut pankin yleisiä ehtoja käyttämällä vaimonsa puhelinnumeroa omansa sijaan pankin lähettämiä tekstiviestejä varten. Asiakas on tämän menettelyn myötä ottanut tietoisesti turvallisuusriskin ja vähentänyt mahdollisuuksiaan seurata, mitä hänen omille kirjautumistiedoilleen tapahtuu. Lisäksi tämä on pienentänyt mahdollisuutta siihen, että asiakas saisi varoitusviestejä ja muuta tietoa kohtuullisessa ajassa.

Vaikka yksittäisiä asiakkaan toimia ei voida pitää törkeän huolimattomina, on asiakkaan käyttäytyminen kokonaisuutena arvioituna törkeän huolimatonta.

Asiakas ei ole maksupalvelulain 53 §:n 1 momentin mukaisesti käyttänyt maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Asiakkaan menettelyä on pidettävä kokonaisuutena arvioituneena törkeän huolimattomana ja vastuu oikeudettomista tilisiirroista jää näin ollen asiakkaalle.

Pankin vastuu

Pankkeja velvoittaa laaja lainsäädäntö ja pankkien on tunnettava asiakkaansa. Pankki seuraa lainsäädäntöä ja sitä koskevaa oikeuskäytäntöä sekä päivittää jatkuvasti järjestelmiensä esim. huijausten ennaltaehkäisyn parantamiseksi. Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja mahdollisesti petolliset maksutapahtumat.

Pankkilautakunta on kuitenkin jo aikaisemmissa ratkaisusuosituksissaan todennut, että tällä velvollisuudella ei ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen käytön osalta.

Yksinään se, että asiakas ei päässyt suorittamaan maksua verkkopankissa ei ole perusteltu syy epäillä, että asiakas olisi tulossa huijatuksi. On tavanomaista, että verkkopalveluissa esiintyy häiriöitä eivätkä ne yksinään ole syy epäillä huijausta. Yleensä vaikeudet verkkopankin kanssa johtuu esimerkiksi asiakkaan omasta nettiyhteydestä tai väärin syötetystä salasanasta, eikä voida olettaa, että virkailijan olisi pitänyt kiinnittää siihen erityistä huomiota tilanteessa. Mikäli asiakas olisi näyttänyt hänelle lähetetyt varoitusviestit tunnistussovellus X:n aktivoimisesta, olisi virkailija varmasti reagoinut siihen. Näin asiakas ei kuitenkaan toiminut.

Pankki haluaa vielä korostaa, että pankin jo turvallisten järjestelmien jatkuva päivittäminen on osa normaalia pankkitoimintaa, eikä sen tulisi vaikuttaa asiakkaan huolimattomuuden arviointiin. Lisäksi järjestelmien päivittäminen ei tarkoita, että aikaisemmat järjestelmät olisivat olleet riittämättömiä. Pankilla on pakko ja oikeus parantaa tietojärjestelmiään jatkuvasti varmistaakseen asiakkaidensa turvallisuuden ja suojatakseen heitä uusilta uhkilta. Päivitykset tähtäävät pikemminkin muuttuvien olosuhteiden ja uusien uhkakuvien hallintaan, mikä on olennainen osa pankin vastuullista toimintaa ja tietoturvatyötä.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu mm. seuraavat asiakirjat:

  • Digitaalisten palvelujen yleiset ehdot
  • Tilikohtainen selvitys oikeudettomista maksuista ja palautuksista
  • Vahinkoilmoitus vakuutusyhtiölle 25.7.2023
  • Rikosilmoitus täydennettynä 25.7.2023
  • Rikosilmoitus verkossa 21.7.2023
  • Asiakkaan muistiinpanot rikosilmoituksen täydennystilaisuudessa 25.7.2023
  • Asiakkaalle lähetetyt tekstiviestit kelloaikoineen
  • Esimerkkejä pankin julkaisemista ja asiakkaille lähettämistä tiedotteista ja varoituksista

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, onko asiakkaan pankkitunnusten oikeudeton käyttö johtunut siitä, että asiakas on huolimattomuudestaan laiminlyönyt lain 53 § 1 momentin mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on ollut.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulain 53 §:n (Maksuvälineestä huolehtiminen.) 1-2 momentin mukaan
Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.
Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.

Lain 54 §:n (Katoamisilmoitus.) 1 momentin mukaan

Maksuvälineen haltijan on ilman aiheetonta viivytystä ilmoitettava palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä.) mukaan
Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.
Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.
Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.
Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta.) 1 momentin mukaan
Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Pankin Digitaalisten palvelujen yleisten ehtojen (jäljempänä pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta digitaalisen allekirjoituksen oikeudettomasta käytöstä maksujenvälityksessä, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä. Pankin vetoaman kohdan mukaan
Asiakas, joka on kuluttaja, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen digitaalisen allekirjoituksen käytöstä tai muusta digitaalisen allekirjoituksen oikeudettomasta käytöstä, jos hän on luovuttanut digitaalisen allekirjoituksen tai osan siitä sen käyttöön oikeudettomalle.

Pankkitunnusehtojen Yleistä -kohdan mukaan
[…] Yhteys pankin digitaalisiin palveluihin tapahtuu, kyseessä olevasta palvelusta riippuen, internetin ja verkkosivuston www.[pankki].fi avulla. Lisäksi digitaaliset palvelut ovat käytettävissä sovelluksen tai muun liitännän ja/tai ratkaisun kautta, jonka pankki kulloinkin valitsee tai osoittaa. Asiakkaan on käytettävä pankin tarjoamaa tai pankin hyväksymää sovellusta tai muuta ohjelmistoa digitaalisten palvelujen käyttämiseen. [...]
Asiakas voi käyttää digitaalisia palveluja todistamalla henkilöllisyytensä digitaalisella allekirjoituksellaan. Digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta, salasanasta ja tunnuslukutaulukosta sekä tietyissä tapauksissa tunnuslukutaulukkoa täydentävästä, tekstiviestinä lähetettävästä kertakäyttökoodista (esimerkiksi sisäänkirjautumista ja maksun hyväksymistä varten). Vaihtoehtoisesti digitaalinen allekirjoitus koostuu pankin antamasta henkilökohtaisesta käyttäjätunnuksesta ja Mobiilipankkiin rekisteröitävästä tunnusluvusta Tunnusluvun asemasta voidaan mahdollisesti käyttää biometristä tunnistusta, kuten sormenjäljen lukemista. Henkilökohtaista käyttäjätunnusta ja tunnuslukua tai biometristä tunnistusta kutsutaan yhdessä [pankki] [X]:ksi.
[…]
Digitaalinen allekirjoitus vastaa asiakkaan omakätistä allekirjoitusta. Asiakas hyväksyy siten omissa nimissään digitaalisten palvelujen käytön, kun digitaalinen allekirjoitus on vastaanotettu pankin tietojärjestelmään kunkin digitaalisen palvelun käyttämisen edellyttämällä tavalla.
Ainoastaan asiakkaalla on oikeus käyttää digitaalista allekirjoitusta. Digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle. Asiakkaalla on kuitenkin oikeus käyttää tilitieto- ja maksutoimeksiantopalveluja. Tarkempia ohjeita digitaalisesta allekirjoituksesta on pankin verkkosivustolla, www.[pankki].fi
[…]
Asiakkaan on täytettävä digitaalisten palvelujen käyttöä koskevat pankin kulloinkin ilmoittamat kohtuulliset turvallisuusvaatimukset ja noudatettava niitä.

Pankkitunnusehtojen Digitaalisen allekirjoituksen suojaaminen -kohdan mukaan
Asiakas sitoutuu
- säilyttämään henkilökohtaisen käyttäjätunnuksen, salasanan ja tunnuslukutaulukon sekä [pankki] [X:än] sisältyvän tunnusluvun huolellisesti ja erillään toisistaan,
- olemaan kirjaamatta tai käyttämättä henkilökohtaista käyttäjätunnusta, salasanaa tai [pankki] [X:än] sisältyvää tunnuslukua tavalla, jonka vuoksi se on helposti tunnistettavissa,
- noudattamaan pankin antamia ohjeita,
- suojaamaan digitaalisen allekirjoituksen sopivalla tavalla sitä käyttäessään,
- varmistamaan säännöllisesti, että tunnuslukutaulukko on hänen hallussaan, ja
- olemaan luovuttamatta digitaalista allekirjoitusta tai osaa siitä sen käyttöön oikeudettomalle.
Asiakas on ymmärtänyt, että
- pankki suosittelee, että asiakas opettelee henkilökohtaisen käyttäjätunnuksen, salasanan ja [pankki] [X:än] sisältyvän tunnusluvun ulkoa,
- pankki ei koskaan pyydä ilmoittamaan digitaalista allekirjoitusta tai osaa siitä sähköpostitse, ja
- pankki ei koskaan ota yhteyttä asiakkaaseen ja pyydä asiakkaalla digitaalista allekirjoitusta tai osaa siitä.

Pankkitunnusehtojen Digitaalisen allekirjoituksen sulkeminen -kohdan mukaan
Asiakas sitoutuu välittömästi ilmoittamaan pankille, jos digitaalinen allekirjoitus tai osa siitä on kadonnut, jos on syytä epäillä sen käyttöön oikeudettoman saaneen tiedon digitaalisesta allekirjoituksesta tai osasta siitä tai digitaalista allekirjoitusta käytetään oikeudettomasti.
[…]

Asian arviointi

Tapahtumakulku

Pankkilautakunta katsoo asiassa riidattomaksi, että kun asiakkaan tarkoituksena on 19.7.2023 ollut mennä puhelimella verkkopankkiinsa, on hän asiaa huomaamatta ja hakukoneen kautta päätynyt pankin verkkosivulta näyttävälle valesivustolle, jolla hän on käyttänyt verkkopankkitunnuksiaan sekä pankin asiakkaalle tekstiviestitse lähettämää koodia kirjautuakseen pankin verkkopalveluun.

Pankin 19.7.2023 klo 15.23 lähettämä tekstiviesti on ollut sisällöltään seuraavanlainen:

”Koodi: XXXX (Pankin) tekstiviestivahvistus. ” Lähettäjätietona on ollut pankin nimi.

Rikolliset ovat valesivujen kautta tietoonsa päätyneillä asiakkaan pankkitunnustiedoilla aloittaneet asiakkaan nimissä olevan pankin tunnistussovelluksen asentamisen omalle laitteelleen. Uuden tunnistussovelluksen asentamisen aloittamisen johdosta pankki on lähettänyt asiakkaalle 19.7.2023 klo 15.25 sovelluksensa käyttöönottoa koskevan vahvistuskoodin sisältäneen tekstiviestin. Viesti on ollut sisällöltään seuraavanlainen:

" Aktivointikoodi X:lle. KÄYTÄ KOODIA VAIN X:n AKTIVOINTIIN. 5201.”

Em. tekstiviestin lähettäjätietona on ollut pankin tunnistussovelluksen nimi X.

Pankkilautakunta katsoo asiassa riidattomaksi, että myös em. tekstiviestissä ollut koodi on päätynyt rikollisten tietoon siten, että asiakas on syöttänyt koodin em. pankin verkkosivuilta näyttäneille valesivuille. Vahvistuskoodin saatuaan rikolliset ovat voineet aktivoida käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen omalle laitteelleen.

Minuutti kertakäyttökoodin sisältäneen tekstiviestin jälkeen asiakkaalle on lähetetty seuraava tekstiviesti pankilta:

 ”[Pankki] X:si aktivoituu 24 tunnin kuluttua. Jos et ole aktivoinut X:ää, poista se Internetkonttorissa/Mobiilipankissa tai soita Sulkupalveluun.”

Saatuaan käyttöönsä asiakkaan nimissä olevan pankin tunnistussovelluksen rikolliset ovat kirjautuneet asiakkaan verkkopankkiin ja tehneet sovelluksella vahvistaen oikeudettomia tilisiirtoja asiakkaan tileiltä ja tileiltä, joiden käyttöoikeus asiakkaalla on ollut. Tunnistussovelluksella on ollut mahdollista muuttaa myös asiakkaan asettamia maksurajoja. Oikeudettomia tilisiirtoja on tehty 506 754,00 euron määrästä. Varoista on saatu palautettua 118 898,04 euroa, jolloin kokonaisvahingoksi on jäänyt 387 855,96 euroa.

Asiassa on riidatonta myös se, että asiakas on ilmoittanut vaimonsa numeron pankkiin numerokseen, jolloin em. vahvistuskoodit ovat menneet asiakkaan vaimon puhelimeen, joka on annetun selvityksen perusteella ollut tapahtuma-ajankohtana asiakkaan hallussa.

Pankkitunnuksen osan luovuttaminen

Pankki on tapauksessa katsonut, että asiakas vastaa pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta, koska on luovuttanut digitaalisen allekirjoituksen osan puolisolleen antamalla pankille puolisonsa puhelinnumeron vahvistusnumerokseen.

Maksupalvelulain 62 §:n 1 momentin 1 kohdan mukaan asiakas vastaa maksuvälineensä oikeudettomasta käytöstä, jos oikeudeton käyttö johtuu siitä, että hän on luovuttanut maksuvälineensä sen käyttöön oikeudettomalle. Maksupalvelulain säätämiseen johtaneen hallituksen esityksen (HE 169/2009 vp) mukaan em. lainkohdan mukaisella maksuvälineen luovuttamisella sen käyttöön oikeudettomalle tarkoitetaan maksuvälineen vapaaehtoista ja tietoista luovutusta toiselle.

Maksupalvelulain muuttamisesta annetun lain säätämiseen johtaneessa hallituksen esityksessä (HE 132/2017) on 62 §:n 1 momentin osalta todettu, että vastuuperusteen ja oikeudettoman maksutapahtuman välillä pitää olla riittävä syy-yhteys ja että kohdassa tarkoitettu maksuvälineen luovuttaminen sen käyttöön oikeudettomalle ei näin ollen tarkoittaisi, että maksupalvelun käyttäjä rajattomasti vastaa kaikesta tämän jälkeen tapahtuneesta maksuvälineen oikeudettomasta käytöstä.

Pankkilautakunta toteaa, että tässä tapauksessa asiakkaan puoliso ei ole tehnyt ko. riidanalaisia maksutapahtumia, eikä puoliso ole myöskään luovuttanut/paljastanut pankkitunnuksia tai niiden osaa maksutapahtumat tehneelle rikolliselle. Lautakunta katsoo siten, ettei pankkitunnuksen osan mahdollisella luovuttamisella puolisolle ja tapahtuneella tunnusten oikeudettomalla käytöllä ole sellaista syy-yhteyttä, jonka johdosta asiakas vastaisi asiassa aiheutuneesta vahingosta maksupalvelulain 62 § 1 momentin 1 kohdan perusteella.

Huolimattomuuden arviointi

Pankkitunnusehtojen mukaan yhteys pankin digitaalisiin palveluihin tapahtuu internetin ja verkkosivuston www.[pankki].fi avulla. Pankkitunnusehdoissa ei pankin verkkosivuston mainitsemista lukuun ottamatta tarkemmin määritellä, kuinka asiakkaan olisi toimittava pankin verkkopalveluun hakeutuessaan, taikka kielletä hakukoneen käyttämistä verkkopalveluun hakeutuessa. Pankki on tiedotteillaan kuitenkin pyrkinyt ohjeistamaan asiakkaitaan turvalliseen verkkopalveluiden käyttöön ja varoittanut asiakkaitaan erilaisista huijauksista ja myös hakukoneen käyttämisestä.

Pankkilautakunta on hakukoneen käyttämisen osalta aiemmassa ratkaisukäytännössään katsonut, ettei yleiseen tietämykseen ole tapahtuma-aikana kuulunut tieto siitä, että pankkien verkkopalveluihin hakeutuminen hakukoneita käyttäen sisältäisi erityisiä turvallisuusriskejä. Siten asiakkaan ei ole ratkaisuissa katsottu myöskään laiminlyöneen maksupalvelulain ja ehtojen mukaisia velvollisuuksiaan hakeutumalla verkkopankkiin hakukoneen kautta.

Lautakunnalla ei ole syytä arvioida nyt käsiteltävää tapausta toisin. Pankkilautakunta katsoo siten myös tässä tapauksessa, ettei asiakas ole huolimattomuudestaan laiminlyönyt maksupalvelulain tai pankkitunnusehtojen mukaisia velvollisuuksiaan hakeutuessaan hakukoneen avulla verkkopankkiin ja käyttäessään pankkitunnuksiaan näkemänsä ja käsittämänsä mukaisesti tunnusten tavanomaisessa käyttötarkoituksessa kirjautuakseen pankin verkkopalveluun.

Pankkitunnusehtojen mukaan digitaalista allekirjoitusta tai osaa siitä ei saa koskaan paljastaa kenellekään ulkopuoliselle, ei edes perheenjäsenelle.

Nyt arvioitavassa tapauksessa asiakas on ilmoittanut puolisonsa puhelinnumeron pankkiin, jolloin pankin lähettämät kertakäyttökoodit ovat saapuneet puolison puhelimeen. Tämän osalta lautakunta pitää ilmeisenä, että myös puolisolla on tosiasiallisesti ollut pankkitunnusehtojen vastaisesti pääsy osaan asiakkaan digitaalisesta allekirjoituksesta, ja asiakas on tältä osin rikkonut pankkitunnusehtoja.

Asiakkaan vastuu em. sopimusrikkomuksesta edellyttää kuitenkin sitä, että rikkomus on syy-yhteydessä maksuvälineen oikeudettomaan käyttöön. Asiassa on riidatonta, ettei asiakkaan puoliso ole itse väärinkäyttänyt eikä myöskään antanut ulkopuoliselle puhelimeensa tulleita kertakäyttökoodeja.  Näin ollen lautakunta katsoo, ettei kyseisellä sopimusrikkomuksella ole ollut tosiasiallista vaikutusta oikeudettomaan käyttöön eikä sitä siten voida myöskään pitää asiakkaan vastuuta lisäävänä seikkana.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään ja mihin se kuuluisi syöttää.

Tässä tapauksessa pankki on verkkopankkiin sisäänkirjautumista koskevan viestin jälkeen lähettänyt asiakkaalle toisen tunnistussovelluksen aktivointikoodin sisältäneen tekstiviestin eri lähettäjätiedolla ja hieman erilaisella muotoilulla kuin sisäänkirjautumisviesti. Jälkimmäisen viestin osalta lautakunta kiinnittää huomiota sen suppeaan muotoiluun ja vähäiseen informaatioarvoon; viestissä ei ilmoiteta, mihin viestissä ollut nelinumeroinen koodi tulisi syöttää taikka varoiteta väärinkäytön vaarasta. Viesti ei lautakunnan arvion mukaan ole omiaan havahduttamaan saajansa siitä vaarasta, joka aiheutuu, mikäli viestissä ollut koodi päätyy ulkopuolisen haltuun esimerkiksi valesivuston välityksin. Em. viitaten Pankkilautakunta katsoo ilmeiseksi, että ollessaan käsityksensä mukaisesti kirjautumassa pankin verkkopalveluun asiakas on sekoittanut pankilta tekstiviestitse saamansa nelinumeroisen koodin tavanomaiseen pankin lähettämään verkkopankkiin kirjautumista koskevaan nelinumeroiseen koodiin.

Pankki on minuutti em. tekstiviestin lähettämisen jälkeen lähettänyt asiakkaalle tekstiviestin, jossa pankki kertoo X:n aktivoituvan 24 tunnin kuluttua ja pyytää poistamaan X:n tai soittamaan sulkupalveluun, jos ei ole itse aktivoinut X:ää. Asiassa on asiakkaan esittämien eri kantojen perusteella jossain määrin tulkinnallista, onko asiakas havainnut ja lukenut pankin viestin.

Pankkilautakunta on vastaavanlaisessa verkkourkintatapauksessa FINE-049807 – jossa asiakas ei ollut pankkiasioinnin lopetettuaan huomannut pankin lähettämää viimeistä viestiä tunnistussovelluksen aktivoitumisesta – katsonut, ettei huolellisenkaan pankkitunnustenhaltijan voida edellyttää seuraavan jatkuvasti puhelintaan ja lukevan kaikki vastaanottamansa pankin viestit välittömästi. Kyseisessä tapauksessa vastuu maksuvälineen oikeudettomasta käytöstä jäi 50 euron ylittävin osin pankille.

Pankkilautakunta on sen sijaan päätynyt toisenlaiseen lopputulokseen tapauksessa FINE-060098, jossa asiakas oli huomannut, mutta poistanut saamansa viestin. Lautakunta katsoi asiakkaan jättäneen reagoimatta sen sisältöön tavalla, jota huolelliselta pankkitunnusten haltijalta voidaan edellyttää, ja asiakkaan menettelyn siten osoittavan selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin.

Lautakunta on arvioinut asiakkaan menettelyn huolellisuutta niin ikään vastaavanlaisessa tapauksessa FINE-059980, jossa lautakunta katsoi asiakkaan huomanneen X:n aktivoitumisesta kertovan tekstiviestin, mutta jättäneen sen sisältöön reagoimatta. Pankkilautakunta totesi asiakkaan menettelyn osoittavan vakavaa varomattomuutta, mutta ottaen huomioon sen, että iäkäs asiakas oli itse käyttänyt pankin digitaalisia palveluita ainoastaan tietokoneellaan ja paperista tunnuslukutaulukkoa käyttäen, eikä hän ollut käsittänyt mitä tekstiviesti koskien X:ää tarkoittaa, lautakunta katsoi, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoittanut maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Asiakkaan vastuu rajoittui näin ollen 50 euroon.

Nyt ratkaistavana olevassa tapauksessa lautakunta tulkitsee asiakkaan ilmoittamia kantoja niin, että asiakas on havainnut ja lukenut viestin, mutta jättänyt sen suuremmitta huomioitta ajateltuaan sen tarkoittavan verkkopankin toimivan jälleen 24 tunnin kuluttua. Asiakas on jatkanut pankkiasiointiaan onnistuneesta pankin konttorissa, jossa ei ole korjattu asiakkaan käsitystä verkkopankin toimimattomuudesta. Asiassa annetun selvityksen mukaan asiakas ei ole pankkiasioinnissaan käyttänyt pankin tunnistussovellusta, vaan on käyttänyt paperista tunnuslukutaulukkoa.

Pankkilautakunta toteaa olevan tavanomaista, että verkkoyhteyksissä ja erilaisten verkkopalvelujen toiminnassa esiintyy häiriöitä, minkä vuoksi asiakkaalla ei voida katsoa olleen erityistä syytä epäillä saamaansa ilmoitusta verkkopankin toimimattomuudesta tai ymmärtää myöskään sen perusteella pankkitunnustensa vaarantuneen asiointinsa yhteydessä.

Lautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista poikkeavalla tavalla kaksi tekstiviestiä X:n aktivoimisesta asiakkaan olisi tullut ymmärtää kyseenalaistaa verkkoasiointinsa asianmukaisuus, jättää saamansa koodi syöttämättä verkkosivuille sekä selvittää asiaa pankkinsa kanssa riippumatta siitä, ymmärtääkö asiakas viestissä käytettyä termistöä. Mikäli asiakas olisi esimerkiksi konttorilla käydessään tiedustellut menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä. Asiakkaan jätettyä huomioimatta pankin hänelle hänen verkkoasiointinsa yhteydessä lähettämien tekstiviestien sisällön Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n 1 momentin ja pankkitunnusehtojen mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittaen.   

Ottaen kuitenkin huomioon pankin lähettämien viestien muotoilun, asiakkaan väärinymmärryksen viestien sisällöstä ja tarkoituksesta sekä sen, että ikääntynyt asiakas on itse käyttänyt pankin digitaalisia palveluita ainoastaan paperista tunnuslukutaulukkoa käyttäen ja jatkanut asiointiaan pankin konttorissa onnistuneesti virkailijan korjaamatta asiakkaan virheellistä käsitystä verkkopankin toimivuudesta, lautakunta katsoo, ettei asiakkaan menettely kokonaisuutena kuitenkaan osoita selvää piittaamattomuutta pankkitunnusten hallintaan ja käyttöön liittyviin turvallisuusriskeihin eikä siten myöskään maksupalvelulaissa tarkoitettua törkeää huolimattomuutta. Näin ollen asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu 50 euroon.

Asian päättyessä asiakkaan hyväksi, lautakunnalla ei ole syytä käsitellä enemmälti asiakkaan vetoamia seikkoja pankin vastuusta ja tilien maksurajoista.

Lopputulos

Pankkilautakunta katsoo asiakkaan pankkitunnusten oikeudettoman käytön johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 §:n 1 momentin mukaisia velvollisuuksiaan vakavaa varomattomuutta osoittaen. Lautakunta kuitenkin katsoo, ettei asiakkaan menettely kokonaisuutena arvioiden osoita maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja että asiakkaan vastuu pankkitunnustensa oikeudettomasta käytöstä aiheutuneesta vahingosta rajoittuu näin ollen 50 euroon.

Pankkilautakunta suosittaa, että pankki ottaa vastatakseen pankkitunnusten oikeudettomasta käytöstä aiheutuneen vahingon siltä osin kuin se ylittää 50 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Tykkä                                                           

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä