Haku

FINE-65029-Q5Q1V

Tulosta
Takaisin ratkaisuihin

Asianumero: FINE-65029-Q5Q1V (2025)

Asiaryhmä: Tilinkäyttö ja maksaminen

Ratkaisu annettu: 25.04.2025

Miten vastuu asiakkaan kortin tiedoilla verkossa tehdyistä ja pankin korttisovelluksella vahvistetuista korttimaksuista jakautuu asiakkaan ja pankin välillä? Miten vastuunjakoon vaikuttaa se, että asiakkaan omien tilien välillä on ennen korttimaksuja tehty tilisiirtoja, joissa ei ole edellytetty vahvaa tunnistamista ja joita ei ole voinut hyväksyä käyttöön otetulla korttisovelluksella? Verkkourkinta. Maksuvälineen oikeudeton käyttö. Maksuvälineen haltijan törkeä huolimattomuus.

Tapahtumatiedot

Pankki on lähettänyt asiakkaan puhelinnumeroon 5.3.2024 klo 16:02:21 ja 16:04:50 tekstiviestit, joissa on annettu vahvistuskoodi pankin tunnuksilla kirjautumista varten.

Asiakkaan verkkopankkitunnuksilla ja pankin asiakkaan puhelinnumeroon klo 16:09:14 lähettämässä tekstiviestissä olleella koodilla on aktivoitu käyttöön pankin korttisovellus, jolla voi hallita asiakkaan kortteja ja vahvistaa korttimaksuja. Korttisovelluksella ei pysty hyväksymään muita maksuja kuin korttimaksuja. Pankin lähettämä tekstiviesti on pankin järjestelmän lokitietojen mukaan ollut muotoa: ”XXXX on [Pankin korttisovellus] -palvelun vahvistuskoodi. Tämä vahvistuskoodi on voimassa 30 minuuttia tai seuraavaan vahvistuskoodin lähetykseen.”

Tämän jälkeen asiakkaan numeroon on lähetetty klo 16:09:40 tekstiviesti, joka pankin järjestelmän lokitietojen mukaan on ollut muotoa: ”[Pankin korttisovellus] on aktivoitu laitteessa XXXXXX. Jos et ole itse aktivoinut laitetta, ole yhteydessä sulkupalveluun (24 h/vrk) [sulkupalvelun puhelinnumero].

Sovelluksen aktivoinnilla ei ole vielä pystynyt vahvistamaan maksuja vahvasti, vaan siihen on vaadittu korttisovelluksen varmenteen aktivointi. Tätä varten asiakkaan numeroon on lähetetty klo 16:10:16 tekstiviesti, joka pankin järjestelmän lokitietojen mukaan on ollut muotoa: ”Olet aktivoimassa [Pankin korttisovellus]-varmennetta. Aktivointikoodi on xxxxxxxx. Jos et ole itse aktivoimassa sitä, ole yhteydessä sulkupalveluun (24 h/vrk) [sulkupalvelun puhelinnumero].”

Asiakkaan säästötililtä on tehty 5.000 ja 4.650 euron tilisiirrot klo 16:13 ja 16:19 asiakkaan käyttötilille verkkopankissa. Ennen siirtoja asiakkaan käyttötilin saldo oli 65,26 euroa. Kirjautuminen sinne on tehty käyttäen asiakkaan käyttäjätunnusta, salasanaa ja tekstiviestitse lähetettyä kertatunnusta. Siirtoihin ei ole vaadittu vahvaa tunnistusta.

Asiakkaan kortin päiväkäyttörajoituksia on muutettu klo 16:13 siten, että korttimaksujen osalta raja on ollut 10.000 euroa ja käteisnostojen osalta 5.000 euroa. Muutokset on tehty käyttöön otetulla pankin korttisovelluksella. Asiakkaan kortilla on klo 16:17–16:22 tehty verkossa neljä korttimaksua, jotka ovat olleet 2.500, 2.500, 2.300 ja 2.400 euroa. Korttimaksujen tekoon on tarvittu asiakkaan korttitiedot (korttinumero, voimassaoloaika ja CVC-koodi). Korttimaksut on vahvistettu käyttöön otetulla pankin korttisovelluksella.

Asiakkaan kortti ja pankkitunnukset on suljettu asiakkaan oltua yhteydessä pankkiin. Asiakkaan kortti suljettu 5.3.2024 klo 16:31 sulkupalveluun tehdyn yhteydenoton perusteella ja verkkopankki on suljettu 5.3.2024 klo 16:35 pankin asiakaspalveluun tehdyn yhteydenoton perusteella.

Asiakkaan valitus

Asiakas joutui petoksen uhriksi myydessään vauvanvaatteita tori.fi-sivustolla. Hän sai Postin nimissä tulleen sähköpostin, joka oli aivan muiden Postin lähettämien viestien näköinen. Sähköpostissa oli linkki Postin sivuille. Asiakas oli postittamassa ensimmäistä kertaa postipakettia, joten hänellä ei ollut aiempaa kokemusta postipaketin toimituksesta. Tarkoitus oli kirjautua Postin palveluihin ja sitä kautta saada lähetystarra. Sivuilla asiakas valitsi pankkinsa, johon hän teki tunnistautumisen. Tunnistautuminen tapahtui kahdesti, sillä sivusto jumitti, jolloin hän teki kirjautumisen uudestaan. Vahvistuskoodit tulivat pankin tavanomaiseen viestiketjuun pankin nimissä, muiden viestien jatkoksi. Pankilla on usein häiriötä korttisovelluksessa ja tilillä olevissa tiedoissa mm. sijoitukset saattavat näyttää nollaa, asuntolaina saattaa näyttää virheellisiä erääntyneitä maksuja, laskut näkyvät kahtena, mobiilipankkiin ei pääse kirjautumaan tai tunnistautuminen ei onnistu. Asiakas ei voinut siten tietää, että kyseessä oli petos. Tällaista ammattirikollisen tekemää huijausta oli aivan mahdoton tunnistaa, sillä kaikki vaikutti ja näytti täysin uskottavalta. Asiakas ei käsityksensä mukaan syöttänyt korttitietojaan sivustolle.

Rikolliset pääsivät käsiksi hänen varoihinsa ja siirsivät säästötililtä 5.000 euroa ja 4.650 euroa käyttötilille, josta rahat siirrettiin eteenpäin korttimaksuina. Asiakas myöntää luovuttaneensa sähköpostiosoitteensa rikolliselle ja tehneensä kaksi tunnistautumista, joiden vahvistusviestit tulivat normaalisti pankin nimissä klo 16:02 ja 16:04.

Asiakkaan huomattua tilisiirrot hän soitti heti pankkiin ja hänen korttinsa ja tilinsä suljettiin. Asiakas teki seuraavana aamuna rikosilmoituksen. Asiakas teki reklamaation pankkiin, mutta pankki hylkäsi reklamaation vedoten huolimattomuuteen. Asiakas korostaa, että kyseessä oli ammattimainen huijaus, ja hänellä on vaikea lukihäiriö, joka tekee hänestä erityisen haavoittuvan tällaisille rikoksille.

Asiakas oli asentanut pankin suosituksesta vuonna 2021 aiempaan puhelimeensa pankin korttisovelluksen. Asiakkaalla ei ole tapahtumahetkellä ollut pankin korttisovellusta puhelimessaan. Pankki vastasi ensin, että uusi pankin korttisovellus on otettu käyttöön asiakkaan vuonna 2021 valitsemalla PIN-koodilla. Asiakas ei muista tätä koodia. Myöhemmin pankki on myöntänyt itse luovuttaneensa PIN-koodin ulkopuoliselle. Pankki on muutaman tunnin päästä ilmoittanut tämän olleen ”kirjoitusvirhe”. Sittemmin pankki on ilmoittanut, että tällaista koodia ei edes käytetty otettaessa käyttöön pankin korttisovellusta.

Asiakas ihmettelee, miksei pankilla ole säästötililtä käyttötilille siirtäessä varmennusta. Asiakas on tarkka raha-asioissansa ja säilyttää rahansa aina säästötilillä, josta ei voi suorittaa maksuja tai käyttää korttia. Asiakkaan käyttötilillä on aina maltillinen määrä rahaa juuri siitä syystä, jos pankkikortti esimerkiksi katoaa. Jos pankilla olisi varmennus säästötililtä siirtäessä, tätä varojen menetystä ei olisi päässyt tapahtumaan. Asiakas luotti pankkiin ja oletti, että nimenomaan säästötilillä rahat olisivat turvassa väärinkäytöksiltä.

Lisäksi pankin olisi pitänyt puuttua näihin asiakkaalle täysin poikkeuksellisiin omien tilien välisiin siirtoihin, turvarajojen muutoksiin ja korttimaksuihin.

Asiakas vaatii pankilta 9.700 euron palauttamista.

Pankin vastine

Pankki on vastineessaan kertonut, että asiakas on myynyt tavaroita myyntialustalla ja sen yhteydessä saanut tuntemattomalta henkilöltä sähköpostilla linkin palveluun, jonka asiakas on luullut olevan Postin palvelu. Asiakas on tunnistautunut vahvasti sivustolla, johon hän on päätynyt käyttämällä viestissä olevaa linkkiä.

Asiakkaalle on lähetetty ensin kaksi viestiä, joissa molemmissa on lukenut, että asiakas on kirjautumassa palveluun pankin verkkopankkitunnuksilla. Tämän yhteydessä asiakas on syöttänyt verkkopankkisopimuksen käyttäjätunnuksen, salasanan ja viestissä olleen kertatunnuksen sivustolle. Tämän jälkeen asiakkaalle on lähetetty viesti, jossa on lukenut, että viestissä oleva vahvistuskoodi on pankin korttisovellukseen tarkoitettu koodi. Asiakas on tämänkin syöttänyt sivustolle ja näin mahdollistanut sovelluksen aktivoinnin. Sovelluksen aktivoinnilla ei vielä ole pystynyt vahvistamaan maksuja vahvasti, vaan siihen on vaadittu sovelluksen varmenteen aktivointi, joka myös on edellyttänyt erillisen vahvan sähköisen tunnistustapahtuman. Asiakkaalle on lähetetty kertatunnus, eli vahvistuskoodi, ja viestissä on selkeästi lukenut, että sitä käyttämällä asiakas aktivoi sovelluksen varmenteen.

Sovelluksen aktivoinnin jälkeen asiakkaalle on vielä lähtenyt varoitusviesti siitä, että sovellus on aktivoitu toisessa laitteessa (laitenumero ja laitetyyppi) ja että mikäli asiakas ei itse ole tehnyt sitä, hänen tulisi heti soittaa sulkupalveluun. Tästä huolimatta asiakas on vielä tämän jälkeen käyttänyt toisessa viestissä ollutta vahvistuskoodia sovelluksen varmenteen aktivointiin. Tästä aktivoinnista on lähtenyt asiakkaalle samanlainen varoitusviesti jälkikäteen. Viestien lähetysaika ja sisältö ilmenevät pankin vastauksen liitteenä olevista lokitiedoista.

Asiakkaan tilien väliset siirrot (säästötililtä käyttötilille) on tehty verkkopankissa. Kirjautuminen sinne on tehty PSD2:n mukaisella tunnistamisella (käyttäjätunnus, salasana ja kertatunnus eli SMS OTP). Siirtoihin ei ole vaadittu erillistä tunnistustapahtumaa, koska kyseessä on ollut asiakkaan omien tilien välinen siirto (PSD2 RTS 15 artiklan mukaisesti).

Kortin ostorajojen muutokset on voitu tehdä sovelluksessa, kun asiakas on ollut PSD2:n mukaisella tunnistustapahtumalla vahvasti tunnistettuna siellä. Korttimaksut on vahvistettu sovelluksen varmenteella, eli 3D Secure PSD2:n mukaisella tunnistustapahtumalla, jonka käyttöönotto on myös vaatinut käyttäjätunnuksen, salasanan ja SMS OTP:n. Tämän lisäksi asiakkaan on pitänyt antaa ulkopuoliselle korttitietonsa (korttinumero, voimassaoloaika, CVC koodi), joilla asiakkaan reklamoidut korttimaksut on luotu. Ilman niitä korttimaksujen luonti ei olisi ollut mahdollista. Korttiehtojen mukaan asiakas ei saa luovuttaa korttitietoja ulkopuolisille.

Sovelluksen ja varmenteen käyttöönotto ovat siis vaatineet maksupalvelulain 8 §:n 24 kohdan mukaista tunnistamista, koska siinä on käytetty hallussapitoelementtiä (matkapuhelin, jonne asiakkaan numeroon on lähetetty kertatunnus aktivointia varten) ja tietoelementtiä (jotain, mitä vain asiakas tietää, joka on ollut asiakkaan verkkopankkisopimuksen henkilökohtainen ja itse luotu salasana).

Pankin aikaisemmassa antamassa vastauksessa FINEn tiedustelupyyntöön luki virheellisesti, että tietoelementti olisi ollut asiakkaan sovelluksen nelinumeroinen PIN-koodi, mutta lokitietojen tarkemman analyysin jälkeen pankki huomasi, että kyseessä oli kokonaan uusi sovelluksen ja varmenteen aktivointi, joka ei siis ole edellyttänyt aikaisempaa rekisteröintiä tai siihen liittyvää PIN-koodia. Tietoelementti on siis tässä ollut verkkopankkisopimuksen henkilökohtainen salasana.

Pankki on jatkuvasti eri kanavissa tiedottanut asiakkaitaan erilaisista huijausmuodoista ja turvallisesta verkkoasioinnista. Tori.fi-myyntialusta on myös itse tiedottanut kuriiri- ja postipalveluhuijauksista, joita on lähetetty heidän asiakkaillensa.

Asiakas ei ole toiminut kortti- ja verkkopankkiehtojen mukaisesti, kun on käyttänyt hänelle sähköpostitse lähetettyä linkkiä kirjautuakseen ulkopuolisen palveluntarjoajaan palveluun, jossa asiakas on luovuttanut tietoa, jota ei ehtojen mukaan saisi luovuttaa ulkopuoliselle (korttitiedot ja vahvaan tunnistamiseen vaadittavat tiedot).

Asiakas on antanut ulkopuoliselle verkkopankkisopimuksen käyttäjätunnuksen ja henkilökohtaisen salasanan lisäksi myös useamman kertakäyttöisen vahvistuskoodin, jotka on lähetetty hänen puhelinnumeroonsa tekstiviestillä. Mikäli asiakas olisi vain antanut yhden vahvistuskoodin, kirjautuminen verkkopankkiin olisi onnistunut rikollisilta, mutta muita maksuja kuin asiakkaan omien tilien välisiä maksuja he eivät olisi voineet tehdä. Asiakas on kuitenkin antanut myös vahvistuskoodin sovelluksen asentamiseen, sekä toisen vahvistuskoodin varmenteen käyttöönottoon. Vasta tämän jälkeen reklamoitujen korttimaksujen teko on voitu tehdä, ja niihinkin on tarvittu asiakkaan sivustolle antamia korttitietoja kokonaisuudessaan, koska nämä eivät ole olleet saatavilla verkkopankissa tai sovelluksessa. Kaikki tekstiviestit on lähetetty samasta teknisestä numerosta. Asiakas ei näe taustalla olevaa teknistä alanumeroa, josta tekstiviestit lähetetään. Tekstiviestin lähettäjätietona näkyy ainoastaan pankin nimi.

Asiakkaan olisi pitänyt reagoida hänelle tulleiden vahvistuskoodiviestien sisältöön ja myös hänelle tulleisiin erillisiin varoitusviesteihin, jossa pankki on kertonut ensin sovellukseen aktivoinnista ja myöhemmin varmenteen aktivoinnista. Tapahtumien kulku on lokitietojen ja asiakkaan antamien tietojen mukaan kestänyt puolisen tuntia, jolloin asiakkaalla olisi ollut mahdollisuus estää tapahtumien etenemisen soittamalla sulkupalveluun tai pankin asiakaspalveluun.

Pankin käsityksen mukaan asiakkaan menettely on osoittanut törkeää huolimattomuutta, koska asiakas on laiminlyönyt maksupalvelulain sekä verkkopankki- ja korttiehtojen mukaisia velvollisuuksiaan. Asiakas on käyttänyt hänelle lähetettyä linkkiä kirjautuakseen tuntemattomaan palveluun, syöttänyt korttitietojansa palveluun ja tämän lisäksi käyttänyt monta erillistä vahvistuskoodia tunnistautuakseen eri palveluihin ja ottaakseen palveluita käyttöön. Asiakas ei myöskään ole reagoinut hänelle lähetettyihin varoitusviesteihin.

Pankin käsityksen mukaan asiakkaan tilien välinen siirto ei olisi ollut mahdollinen ilman PSD2 vahvaa tunnistamista vaativaa kirjautumista verkkopankkiin. Tilien välinen siirto ei itsessään kuitenkaan ole aiheuttanut asiakkaalle mitään vahinkoa, koska varat ovat edelleen ollut hänen tilillään. Vahinko on aiheutunut siitä, että rahat on voitu siirtää ulos pankista. Näiden siirtojen osalta pankki on noudattanut kaikkia sääntelyn vaatimuksia, kun taas asiakkaan oma toiminta on johtanut siihen, että oikeudettomia maksuja on voitu tehdä. Pankin näkemyksen mukaan tilien välisellä siirrolla ei ole merkitystä pankin korvausvelvollisuuteen.

Edellä mainituilla perusteilla pankki on hylännyt asiakkaan korvausvaatimuksen hänen tililtään tehdyistä korttitapahtumista.

Selvitykset

Valitusta koskevan osapuolten kirjelmöinnin lisäksi lautakunnalle on toimitettu seuraavat asiakirjat:

  • Kaksi kuvankaappausta asiakkaan puhelimesta, joissa näkyy pankin asiakkaalle lähettämiä tekstiviestejä. Ensimmäisessä kuvassa näkyvät seuraavat pankin 5.3.2024 asiakkaalle lähettämät tekstiviestit:
    - Klo 16.02 kirjautumista koskeva viesti.
    - Klo 16.04 kirjautumista koskeva viesti.
    - Klo 16.38 ajanvarausta koskeva viesti.
  • Toisessa kuvassa näkyvät pankin asiakkaalle 2.6.2021 pankin korttisovelluksen aktivointia koskevat kaksi viestiä.
  • Pankin järjestelemästä toimitetut lokitiedot koskien asiakkaan tunnuksilla tehtyjä kirjautumisia ja pankin korttisovelluksen ja sen varmenteen käyttöönottoa koskevia tapahtumia.
  • Korttimaksujen tiedot.
  • Pankin kortti- ja verkkopankkitunnusten ehdot.

Ratkaisusuositus

Kysymyksenasettelu

Asiakkaan ja pankin välisen vastuunjaon ratkaisemiseksi Pankkilautakunnan on arvioitava, voidaanko maksuvälineen oikeudettoman käytön katsoa johtuneen siitä, että asiakas on huolimattomuudestaan laiminlyönyt maksupalvelulain 53 § 1 momentin sekä kortti- ja pankkitunnusehtojen mukaisia velvollisuuksiaan, sekä minkä asteista asiakkaan mahdollinen huolimattomuus on. Lisäksi lautakunnan on arvioitava sitä, mikä merkitys on vahingon aiheutumisen ja sen määrän osalta sillä, että asiakkaan tilien välillä on voitu tehdä oikeudeton tilisiirto, jossa ei ole edellytetty maksajan vahvaa tunnistamista.

Sovellettavat lainkohdat ja sopimusehdot

Maksupalvelulaki

Maksupalvelulain (290/2010) 53 §:n (Maksuvälineestä huolehtiminen) 1–2 momentin (898/2017) mukaan:

Maksuvälineen haltijan on käytettävä maksuvälinettä sen myöntämistä ja käyttöä koskevien ehtojen mukaisesti. Erityisesti hänen on kohtuullisin toimenpitein huolehdittava maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista. Maksuvälineen myöntämistä ja käyttöä koskevat ehdot eivät saa olla perusteettomia, kohtuuttomia tai syrjiviä.

Maksuvälineen haltijan velvollisuus huolehtia maksuvälineestä ja siihen liittyvistä henkilökohtaisista turvatunnuksista alkaa, kun hän vastaanottaa ne.”

Lain 62 §:n (Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä) (898/2017) mukaan:

Maksupalvelun käyttäjä, joka on tehnyt maksuvälinettä koskevan sopimuksen palveluntarjoajan kanssa, vastaa kadonneen tai oikeudettomasti toisen haltuun joutuneen maksuvälineen käytöstä tai muusta maksuvälineen oikeudettomasta käytöstä vain, jos oikeudeton käyttö johtuu siitä, että hän tai muu maksuvälineen haltija on:
1) luovuttanut maksuvälineen sen käyttöön oikeudettomalle;
2) huolimattomuudesta laiminlyönyt 53 §:n 1 momentin mukaiset velvollisuutensa; taikka
3) laiminlyönyt ilman aiheetonta viivytystä ilmoittaa palveluntarjoajalle tai sen nimeämälle muulle taholle havaitsemastaan maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä.

Maksupalvelun käyttäjän vastuu maksuvälineen oikeudettomasta käytöstä 1 momentin 2 ja 3 kohdassa tarkoitetuissa tapauksissa on enintään 50 euroa. Tätä rajoitusta ei sovelleta, jos maksupalvelun käyttäjä tai muu maksuvälineen haltija on toiminut tahallisesti tai törkeän huolimattomasti.

Maksupalvelun käyttäjä ei vastaa maksuvälineen oikeudettomasta käytöstä:
1) siltä osin kuin maksuvälinettä on käytetty sen jälkeen, kun palveluntarjoajalle tai sen nimeämälle muulle taholle on ilmoitettu maksuvälineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä;
2) jos palveluntarjoaja on laiminlyönyt huolehtia siitä, että maksuvälineen haltijalla on mahdollisuus tehdä milloin tahansa 1 kohdassa tarkoitettu ilmoitus;
3) jos maksunsaaja ei ole maksuvälinettä käytettäessä asianmukaisesti varmistunut maksajan oikeudesta käyttää maksuvälinettä; tai
4) jos palveluntarjoaja ei ole edellyttänyt maksajan vahvaa tunnistamista.

Sen estämättä, mitä 3 momentissa säädetään, maksupalvelun käyttäjä on vastuussa maksuvälineen oikeudettomasta käytöstä, jos hän tai muu maksuvälineen haltija on tahallaan tehnyt väärän ilmoituksen tai toiminut muuten petollisesti.

Maksupalvelulain 63 §:n (Palveluntarjoajan vastuu oikeudettomasta maksutapahtumasta) 1 momentin (898/2017) mukaan:

Jos maksutapahtuma on toteutettu oikeudettomasti eikä 62 §:stä muuta johdu, palveluntarjoajan, jonka asiakkaan varoja on käytetty maksutapahtuman toteuttamiseen, on välittömästi ja viimeistään seuraavana työpäivänä siitä, kun se havaitsi maksutapahtuman tai sille ilmoitettiin maksutapahtumasta, palautettava maksutapahtuman rahamäärä asiakkaalleen tai palautettava tämän maksutili siihen tilaan, jossa se olisi ollut ilman veloitusta.

Maksupalvelulain 85 c §:n (Tunnistaminen) 1 ja 5 momentin (575/2020) mukaan:

Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja:
1) käyttää maksutiliään tietoverkon välityksellä;
2) käynnistää sähköisen maksutapahtuman;
3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski.
[…]
Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään.

Maksupalveludirektiivin tekniset sääntelystandardit

Komission delegoidun asetuksen (EU) 2018/389 (PSD2 RTS), joka koskee maksupalveludirektiivin (PSD2) teknisiä sääntelystandardeja, 15 artiklan (Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot) mukaan:

Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.”

Pankin ehdot

Pankin korttiehtojen ja verkkopankin ja verkkopankkitunnusten käyttö sekä tunnistuspalvelu -ehtojen (pankkitunnusehdot) kohta, joka koskee asiakkaan vastuuta pankkitunnusten oikeudettomasta käytöstä maksuvälineenä pankin verkkopalvelussa, vastaa maksupalvelulain 62 §:n kuluttajan hyväksi pakottavia säännöksiä.

Korttiehtojen kohdan 3.4 (Kortin turvallinen käyttö) mukaan:

Kortin tietoja ei saa luovuttaa maksunsaajalle verkossa, muussa sähköisessä muodossa, puhelimessa tai postimyynnin tilauslomakkeessa muutoin kuin näissä ehdoissa mainitulla tavalla. Pankin verkkosivulla on ohjeita ja tietoa maksamisesta verkkokaupassa ja muussa etämyynnissä, sekä ohjeet turvallisesta asioinnista verkossa.

Korttia on säilytettävä huolellisesti. Korttinumero, kortinhaltijan nimi, kortin voimassaoloaika, turvaluku, kortinhaltijan laskutusosoite ja muut korttitiedot ovat kortin tunnistetietoja, joihin liittyy väärinkäyttöriski. Kortinhaltija on myös velvollinen säilyttämään korttitiedot huolellisesti, eikä kortinhaltija saa antaa korttitietoja sellaisessa muodossa, joka mahdollistaa niiden väärinkäytön.

Pankkitunnusehtojen kohdan 2 (Tunnusten käyttäminen ja säilyttäminen) mukaan:

Tunnusten käyttäminen pankin Verkkopankissa tai muussa pankin tarjoamassa palvelussa siinä edellytetyllä tavalla vastaa asiakkaan allekirjoitusta. Kaikki maksut, toimeksiannot, hakemukset, sopimukset sekä muut tahdonilmaisut ja viestit sitovat palvelussa tunnistettua asiakasta sen jälkeen, kun ne on lähetty pankille palvelussa edellytetyllä tavalla.
[…]
Asiakas ei saa luovuttaa tunnuksiaan osaksikaan toiselle henkilölle, ei edes samaan perheeseen kuuluvalle henkilölle. Asiakas ei myöskään saa antaa tunnuksiaan tai niiden osaa Verkkopankin tai Tunnistuspalvelun ulkopuolisille sovelluksille, verkkosivustoille tai muille palveluille.
[…]
Asiakas sitoutuu säilyttämään Verkkopankkitunnuksiin kuuluvat yksittäiset tunnisteet erillään toisistaan ja huolehtimaan siitä, että ne eivät joudu sivullisen haltuun tai tietoon.
[…]
Asiakas ei saa ilmaista tunnuksia tai niiden osaa puhelimessa suullisesti niitä kysyvälle eikä antaa tai lähettää niitä tekstiviestillä, sähköpostilla tai muulla viestivälineellä saapuneen pyynnön perusteella.

Asian arviointi

Tapahtumienkulku

Pankki on tapauksessa esittänyt selvityksen tapahtumista ja siitä, mitä tietoja rikollisilla on täytynyt olla, jotta he ovat voineet aktivoida omalle laitteelleen asiakkaan nimissä olevan uuden pankin korttisovelluksen, jolla riidanalaiset tapahtumat on vahvistettu. Pankkilautakunnalla ei ole syytä epäillä pankin esittämän pankin järjestelmätietoihin perustuvan selvityksen paikkansa pitävyyttä.

Pankkilautakunta katsoo riidattomaksi, että asiakas on syöttänyt pankkitunnustietonsa (käyttäjätunnus, salasana ja asiakkaalle 16:02 ja 16:04 lähetetyissä tekstiviesteissä olleen kertatunnuksen), kun hän on yrittänyt kirjautua pankin palveluihin hänelle sähköpostissa olleen linkin takaa auenneille Postin sivuilta näyttäville huijaussivuille.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että pankin asiakkaalle tekstiviestitse 16:09 lähettämä pankin korttisovelluksen vahvistuskoodi ja pankin asiakkaalle tekstiviestitse 16:10 lähettämän varmennetta koskevan vahvistuskoodi ovat päätyneet rikollisten tietoon siten, että asiakas on syöttänyt tiedot em. valesivuille. Rikolliset ovat voineet asiakkaalta saaduilla tiedoilla ottaa käyttöön asiakkaan nimissä pankin korttisovelluksen ja aktivoida sen varmenteen.

Pankkilautakunta katsoo, ettei asiassa saadun selvityksen perusteella ole muuta mahdollisuutta kuin että asiakkaan on täytynyt syöttää myös korttitietonsa linkin kautta avautuneilla rikollisten luomilla valesivuilla.

Pankkilautakunta katsoo, että rikolliset ovat kirjauduttuaan asiakkaan verkkopankkiin tehneet asiakkaan säästötililtä kaksi tilisiirtoa asiakkaan käyttötilille. Tämän jälkeen rikolliset ovat muuttaneet käyttöön otetulla pankin korttisovelluksella asiakkaan kortin ostorajan ja hyväksyneet sovelluksella asiakkaan kortilla tekemänsä neljä verkko-ostosta.

Asiakkaan menettelyn arviointi

Pankkitunnusehtojen mukaan asiakas ei saa ilmaista tunnuksia tai niiden osaa puhelimessa suullisesti niitä kysyvälle eikä antaa tai lähettää niitä tekstiviestillä, sähköpostilla tai muulla viestivälineellä saapuneen pyynnön perusteella.

Asiakas on ollut myymässä vauvanvaatteita Tori.fi-kauppapaikalla ja on käyttänyt pankkitunnuksiaan Postin nimissä lähetetyssä sähköpostissa olleen linkin kautta avautuneilla Postin sivuilta näyttäneillä valesivuilla tunnistautumiseen sivujen näkymän näyttäessä asiakkaan mukaan aivan samalta kuin mikä tahansa sähköinen tunnistautuminen.

Pankkilautakunnalla ei ole syytä epäillä, etteivätkö linkin kautta avautuneet valesivut olisi näyttäneet aitoja vastaavilta. Lautakunta katsoo, ettei asiakkaalla voida asiassa saadun selvityksen perusteella katsoa olleen syytä epäillä Postin nimissä sähköpostitse tulleen yhteydenoton ja sitä seurannutta valesivuilla tapahtuneen ja asiakkaan käsityksen mukaan tuotteen postittamista varten edellytetyn tunnistautumistilanteen asianmukaisuutta.

Pankkilautakunta kiinnittää tässä huomiota siihen, että nykyään moninaiset toimijat lähetyspalveluista terveydenhuollon palveluihin ja päivittäistavarakaupan toimijoihin lähettävät asiakkailleen heidän asiointiaan koskevia ja verkkotunnuksiltaan hyvinkin erilaisia linkkejä sisältäviä sähköposteja, mikä on tehnyt tämänkaltaisista yhteydenotoista arkipäiväisiä ja on osaltaan voinut vaikuttanut siihen, ettei huolellinenkaan pankin asiakas osaa kyseenalaistaa hänelle entuudestaan tutun palveluntarjoajan nimissä tulevan sähköpostin ja viestissä olevan linkin asianmukaisuutta.

Pankkitunnusehtojen mukaan asiakas ei saa antaa tai lähettää tunnuksia tai niiden osaa sähköpostilla saapuneen pyynnön perusteella. Lautakunta katsoo, että asiakkaan ei ehtojen perustella ole pitänyt ymmärtää, että sähköpostitse tulleen linkin kautta avautuneilla sivuilla pankkitunnusten käyttäminen kirjautumista varten olisi ollut ehtojen mukaan kiellettyä. Lisäksi tässä tapauksessa asiakas on verkkosivujen näkymän perusteella luullut käyttävänsä tunnuksiaan tavanomaisella pankkitunnusehtojen mukaisella tavalla tunnistautumistarkoituksessa. Ottaen kuitenkin huomioon, että asiakas on kirjautunut pankkitunnuksillaan tuntemattoman asiakkaan lähettämässä sähköpostissa olleesta linkistä auenneilla verkkosivulla ja syöttänyt sinne korttitietonsa, Pankkilautakunta katsoo asiakkaan huolimattomuudestaan laiminlyöneen maksupalvelulain 53 §:n sekä pankkitunnus- ja korttiehtojen mukaisia velvollisuuksiaan. Pankkilautakunta katsoo kuitenkin, ettei asiakkaan laiminlyöntien lain ja ehtojen noudattamisen suhteen osoita edellä mainituilta osin lievää suurempaa huolimattomuutta.

Pankkilautakunta kuitenkin katsoo, että saatuaan tavanomaisesta verkkopankkiasioinnista tai tunnistautumistilanteesta poikkeavalla tavalla ensin pankin korttisovelluksen aktivointikoodin sisältäneen tekstiviestin ja sen jälkeen korttisovelluksen varmenteen aktivointikoodin sisältäneen tekstiviestin asiakkaan olisi tullut – erityisesti viestien sisältö huomioiden – ymmärtää kyseenalaistaa saamansa yhteydenoton asianmukaisuus ja tarkoitus, ja jättää saamansa aktivointikoodit laittamatta verkkosivuilla niille varattuun kohtaan. Mikäli asiakas olisi tuossa vaiheessa esimerkiksi viesteissä olleen kehotuksen mukaisesti ottanut itse yhteyttä sulkupalveluun taikka pankkiinsa tiedustellakseen menettelyn asianmukaisuutta, olisi tapauksessa asiakkaan pankkitunnusten oikeudettomasta käytöstä aiheutuneelta vahingolta voitu välttyä.

Pankkilautakunta katsoo, että em. pankin asiakkaalle lähettämissä tekstiviesteissä kerrotaan asianmukaisesti mm., mitä tarkoitusta varten viestissä ollut koodi on.

Pankkilautakunta on ratkaisukäytännössään katsonut huolelliselta pankkitunnustenhaltijalta edellytettäviin perusvaatimuksiin kuuluvan sen, että pankkitunnuksia käyttäessään hän lukee ja huomioi omassa toiminnassaan asiointinsa yhteydessä pankiltaan saamansa viestit. Edelleen lautakunta on katsonut, että pankin vastuulla puolestaan on, että pankin asiakkaalle lähettämät viestit ovat sisällöltään ymmärrettäviä siten, ettei esimerkiksi huolelliselle pankkitunnustenhaltijalle pitäisi jäädä epäselväksi, missä tarkoituksessa pankin viestissä ollutta koodia käytetään.

Yhteenvetona Pankkilautakunta katsoo, että asiakkaan syötettyä linkin kautta avautuneille sivuille kortti- ja pankkitunnustensa lisäksi pankin tekstiviestitse lähettämät koodit ymmärtämättä tekstiviestin sisältöä, on asiakkaan menettelyn kokonaisuutena katsottava poikkeavan selvästi ja olennaisesti siitä, mitä maksuvälineen haltijan huolelliselta menettelyltä vaaditaan. Näin ollen Pankkilautakunta katsoo asiakkaan menettelyn kokonaisuutena osoittavan maksupalvelulaissa tarkoitettua törkeää huolimattomuutta ja asiakkaan siten vastaavaan täysimääräisesti maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta asiakkaan ja pankin välisessä suhteessa.

Pankin velvollisuus estää maksutapahtumia

Asiakas on lisäksi vedonnut siihen, että pankin olisi pitänyt valvoa asiakkaan kortin käyttöä ja estää asiakkaan reklamoimat korttimaksut.

Maksupalvelusääntelyn perusteella pankeilla on oltava käytössään maksutapahtumien valvontamekanismit, joiden avulla ne voivat havaita oikeudettomat ja petolliset maksutapahtumat. Tällä velvollisuudella ei kuitenkaan ole suoraa vaikutusta pankin ja asiakkaan väliseen vastuunjakoon maksuvälineen oikeudettoman käytön osalta. Pankkilautakunta katsoo, että pankki ei siten ole velvollinen korvaamaan asiakkaalle aiheutunutta vahinkoa sillä perusteella, että pankki ei ole estänyt ko. oikeudettomia maksuja.

Omien tilien välinen siirto

Vaikka edellä on katsottu asiakkaan vastaavan maksuvälineensä oikeudettomasta käytöstä aiheutuneesta vahingosta täysimääräisesti, asiassa on kuitenkin arvioitava sitä, mikä merkitys asiassa sillä on, että ennen asiakkaan käyttötililtä tehtyjä korttimaksuja asiakkaan omien tilien välillä on tehty kaksi tilisiirtoa, joiden osalta ei ole edellytetty vahvaa tunnistamista.

Asiakkaan verkkopankkiin kirjautuminen ja korttimaksut on hyväksytty vahvaa tunnistamista käyttäen. Omien tilien välinen siirto on tehty, kun verkkopankkiin on kirjauduttu vahvasti tunnistautuneena, mutta tilisiirtoja ei ole vahvistettu vahvalla tunnistamisella. PSD2-maksupalveludirektiivin teknisten sääntelystandardien mukaisesti on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja. Tämä tarkoittaa sitä, että on sallittua, että omien tilien väliseen tilisiirtoon ei vaadita vahvaa tunnistamista.

Vaikka sääntely tietyissä poikkeustilanteissa sallii sen, ettei maksupalvelujentarjoajan ole edellytettävä maksujen yhteydessä maksajan vahvaa tunnistamista, ei maksupalvelun käyttäjä maksupalvelulain 62 §:n 3 momentin 4 kohdan mu­kaan kuitenkaan vastaa maksuvälineensä oikeudettomasta käytöstä, jos maksupalveluntarjoaja ei ole maksuvälineen oikeudettoman käytön yhteydessä edel­lyttänyt maksajan vahvaa tunnistamista. Näin ollen salliessaan maksutapahtumia tehtävän ilman maksajan vahvaa tunnistamista ottaa pankki vastuulleen ris­kin maksuvälineen oikeudettomasta käytöstä.

Asiakkaan korttimaksut on tehty asiakkaan käyttelytililtä, jolla oli 65,26 euroa ennen edellä mainittuja yhteensä 9.650 euron oikeudettomia tilisiirtoja. Tämän jälkeen käyttelytililtä on tehty yhteensä 9.700 euron korttimaksut, jotka on hyväksytty käyttöön otetulla pankin korttisovelluksella käyttäen vahvaa tunnistamista. Ilman oikeudettomia tilisiirtoja korttimaksuja olisi voitu tehdä vain 65,26 eurolla, joten oikeudettomat tilisiirrot ovat lisänneet vahingon määrää 9.634,74 eurolla. Käyttöön otetulla korttisovelluksella ei voi vahvistaa tilisiirtoja.

Tässä tapauksessa tilisiirrot asiakkaan tilien välillä ovat rikollisten oikeudettomasti tekemä ja koska pankki on sallinut tilisiirtojen tekemisen ilman maksajan vahvaa tunnistamista, vastaa pankki näistä tilisiirroista. Pankki on tältä osin vedonnut siihen, että vahinkoa ei ole tapahtunut, kun omien tilien välinen siirto on tehty ja varat ovat edelleen olleet asiakkaan hallussa, ja vahinko on aiheutunut siitä, että rahat on voitu siirtää ulos pankista korttimaksuina.

Pankkilautakunta toteaa, että asiassa aiheutunut 9.700 euron vahinko on tässä tapauksessa realisoitunut korttimaksuilla, joista asiakas lähtökohtaisesti vastaa edellä todetun mukaisesti toimittuaan törkeän huolimattomasti.

Tapauksessa saadun kokonaisselvityksen perusteella Pankkilautakunta kuiten­kin katsoo, että asiassa aiheutuneen vahingon määrään on vaikuttanut ennen korttimaksuja tehdyt tilisiirrot ja se, että pankki on sallinut näiden oikeudettomien siirtojen tekemisen ilman vahvaa tunnistamista, jota käyttöön otetulla korttisovelluksella ei olisi voinut tehdä. Näillä oikeudettomilla tilisiirroilla vahingon määrä on lisääntynyt 9.634,74 eurolla. Pankkilautakunta katsoo asiassa aiheuneen vahingon kuuluvan tämän määrän osalta pankin vastuulle.

Lopputulos

Pankkilautakunta suosittaa pankkia korvaamaan asiakkaalle 9.634,74 euroa.

Pankkilautakunta oli yksimielinen.

PANKKILAUTAKUNTA

Puheenjohtaja Sillanpää
Sihteeri Heino

Jäsenet:
Atrila
Piilo
Punakivi
Tervonen

Tulosta
 Takaisin ratkaisuihin

Etkö löytänyt etsimääsi?

Ota yhteyttä
Usein kysyttyjä kysymyksiä